MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1578: Изменение облачной вычислительной инфраструктуры

Злоумышленники могут попытаться изменить вычислительную инфраструктуру, связанную с облачной учетной записью, для обхода защитных механизмов. Модификация вычислительной инфраструктуры может включать создание, удаление или изменение одного или нескольких компонентов, таких как вычислительные экземпляры, виртуальные машины и снапшоты.

Изменения в компонентах инфраструктуры могут привести к получению разрешений, которые обойдут ограничения на доступ к существующей инфраструктуре. Изменение компонентов инфраструктуры также может помочь злоумышленнику избежать обнаружения и скрыть следы своего присутствия.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vk_cloud: PT-CR-2103: VK_Cloud_VM_Metadata_Contains_Sensitive_Value: Конфиденциальные данные обнаружены в пользовательских метаданных виртуальной машины, что может привести к компрометации облачной инфраструктуры
vk_cloud: PT-CR-2105: VK_Cloud_VM_Security_Group_Operation: Пользователь не из списка разрешенных изменил список групп безопасности виртуальной машины, что может свидетельствовать о попытке злоумышленника изменить сетевую конфигурацию
vk_cloud: PT-CR-2291: VK_Cloud_Critical_VM_Operation: Недоверенный пользователь выполнил операцию с критически важной виртуальной машиной в облачном сервисе VK Cloud. \nЗлоумышленники могут получать доступ к важным виртуальным машинам, управлять ими, изменять их конфигурацию, в том числе сетевую. Это позволит им помешать работе важных виртуальных машин, раскрыть хранящуюся на них информацию и подготовить окружение для развития атаки
vk_cloud: PT-CR-2292: VK_Cloud_VM_Public_Address_Assign: Виртуальной машине назначен публичный адрес, что может свидетельствовать о попытке злоумышленника изменить сетевую конфигурацию
vk_cloud: PT-CR-2305: VK_Cloud_Critical_DB_Operation: Недоверенный пользователь выполнил действие с критически важной базой данных в облачном сервисе VK Cloud.\nЗлоумышленники могут обойти защиту или закрепиться в системе путем изменения, удаления, создания резервной копии или пользователя важной базы данных. Перечисленные действия позволят злоумышленникам получить доступ к закрытой информации, хранящейся в базе данных, и использовать ее для развития атаки
vk_cloud: PT-CR-2306: VK_Cloud_New_VM_from_Critical_Objects: Пользователь создал виртуальную машину из копии критически важного объекта в облачном сервисе VK Cloud. Подобные действия позволяют злоумышленникам получать доступ к данным, хранящимся на важных объектах, за пределами видимости систем безопасности и скрывать следы своих действий. Кроме того, злоумышленники могут попытаться выдать свою виртуальную машину за легитимное устройство
vk_cloud: PT-CR-2307: VK_Cloud_Critical_Objects_Clone: Клонирование, создание мгновенных снимков (snapshot) и резервных копий дисков важных виртуальных машин в облачном сервисе VK Cloud.\nКопирование важных объектов позволяет злоумышленникам получать доступ к хранящимся на них данным, создавать свои виртуальные машины за пределами видимости систем безопасности и скрывать следы своих действий. Полученные данные злоумышленники могут использовать для дальнейшего развития атаки

Подтехники

Способы обнаружения

IDDS0034Источник и компонент данныхТом: Метаданные томаОписание

Периодически сравнивайте тома блочных облачных хранилищ со стандартными, чтобы выявить изменения и дополнения, внесенные злоумышленниками.

IDDS0030Источник и компонент данныхЭкземпляр: Остановка экземпляраОписание

Создайте централизованный журнал активности экземпляров, который можно использовать для отслеживания и анализа системных событий даже после возврата к снапшоту, отката изменений или изменения параметров постоянства данных или типа хранилища. Отслеживайте события, связанные с деактивацией экземпляров, происходящие вне рамок плановых процессов. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников.

IDDS0020Источник и компонент данныхСнапшот: Удаление снапшотаОписание

Собирайте данные об активности компонентов вычислительной инфраструктуры облачных служб в определенных журналах. Отслеживайте подозрительные последовательности событий, включая удаление нескольких снапшотов за короткий период. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников.

IDDS0034Источник и компонент данныхТом: Удаление томаОписание

Отслеживайте неожиданное удаление или несанкционированное отсутствие томов блочных облачных хранилищ. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников.

IDDS0020Источник и компонент данныхСнапшот: Создание снапшотаОписание

Собирайте данные об активности компонентов вычислительной инфраструктуры облачных служб в определенных журналах. Отслеживайте подозрительные последовательности событий, включая создание нескольких снапшотов за короткий период. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников.

IDDS0030Источник и компонент данныхЭкземпляр: Изменения в экземпляреОписание

Создайте централизованный журнал активности экземпляров, который можно использовать для отслеживания и анализа системных событий даже после возврата к снапшоту, отката изменений или изменения параметров постоянства данных или типа хранилища. Отслеживайте события, связанные со снапшотами и откатами, а также изменениями конфигурации ВМ, происходящие вне рамок обычных рабочих процессов. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников.

IDDS0030Источник и компонент данныхЭкземпляр: Удаление экземпляраОписание

Удаление нового экземпляра или виртуальной машины — стандартный элемент работы во многих облачных средах. Поэтому рекомендуется рассматривать события не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников. Например, обнаружение такой последовательности событий, как создание экземпляра, монтирование снапшота к этому экземпляру и удаление этого экземпляра от имени новой учетной записи пользователя, может указывать на подозрительную активность.

В AWS журналы CloudTrail фиксируют удаление экземпляра в событии TerminateInstances, а в Azure удаление ВМ может быть зафиксировано в журналах активности Azure . Журналы аудита администратора Google, хранящиеся в аудитах облачных служб, позволяют выявить использование вычислительных экземпляров Google Cloud для удаления ВМ.

IDDS0020Источник и компонент данныхСнапшот: Метаданные снапшотаОписание

Периодически сравнивайте снапшоты со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.

IDDS0025Источник и компонент данныхОблачная служба: Метаданные облачной службыОписание

Отслеживайте увеличение квот во всех регионах, особенно в тех случаях, когда квота увеличивается несколько раз за короткий период или увеличивается в неиспользуемых регионах. Отслеживайте изменения в настройках на уровне тенанта, связанных с подписками и включенными регионами.

IDDS0030Источник и компонент данныхЭкземпляр: Создание экземпляраОписание

Создание нового экземпляра или виртуальной машины — стандартный элемент работы во многих облачных средах. Поэтому рекомендуется рассматривать события не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников. Например, создание экземпляра от имени новой учетной записи пользователя или неожиданное создание одного или нескольких снапшотов с последующим созданием экземпляра может указывать на подозрительную активность. В AWS журналы CloudTrail фиксируют создание экземпляра в событии RunInstances, а в Azure создание ВМ может быть зафиксировано в журналах активности Azure . Журналы аудита администратора Google, хранящиеся в аудитах облачных служб, позволяют выявить использование вычислительных экземпляров Google Cloud для создания ВМ.

IDDS0034Источник и компонент данныхТом: Изменение в томеОписание

Отслеживайте неожиданное внесение изменений в тома блочных облачных хранилищ. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников.

IDDS0020Источник и компонент данныхСнапшот: Изменения в снапшотеОписание

Собирайте данные об активности компонентов вычислительной инфраструктуры облачных служб в определенных журналах. Отслеживайте подозрительные события, включая монтирование снапшота в новом экземпляре новыми или нетипичными пользователями. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников.

IDDS0030Источник и компонент данныхЭкземпляр: Запуск экземпляраОписание

Создайте централизованный журнал активности экземпляров, который можно использовать для отслеживания и анализа системных событий даже после возврата к снапшоту, отката изменений или изменения параметров постоянства данных или типа хранилища. Отслеживайте события, связанные с активацией экземпляров, происходящие вне рамок обычных рабочих или плановых процессов. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников.

IDDS0030Источник и компонент данныхЭкземпляр: Метаданные экземпляраОписание

Периодически сравнивайте экземпляры со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.

IDDS0034Источник и компонент данныхТом: Создание томаОписание

Отслеживайте неожиданное создание или несанкционированное наличие томов блочных облачных хранилищ. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте права на создание новых инстансов по принципу минимальных привилегий. Организациям следует ограничить количество пользователей с ролью IAM, имеющей привилегии администратора, а также уменьшить количество постоянных привилегированных ролей и периодически проверять пользователей, роли и политики IAM.

IDM1047НазваниеАудитОписание

Регулярно проверяйте права пользователей, чтобы убедиться, что возможность создавать новые экземпляры имеют только те пользователи, которым это требуется.