01 定义与手法
攻击者可能会枚举云存储基础设施中的对象。攻击者可能会在自动发现过程中使用这些信息来策划、进行后续攻击,包括从云存储中请求所有或特定对象。与本地主机上的文件和目录发现类似,在确定可用的存储服务(即云基础设施发现)之后,攻击者可以访问存储在云基础设施中的内容、对象。
云服务提供商提供的API允许用户枚举存储在云存储中的对象。示例包括AWS中的ListObjectsV2和Azure中的List blob。
02 程序示例
03 缓解措施 名称 描述 用户账 户管理 限制向必要帐户授予与在云存储中列出对象相关的权限。
04 检测方法 ID 数据来源 数据组件 检测方式 DS0010 云服务 云存储 接入 监视对云提供商存储服务的异常查询。如检测到意外来源的活动,则可能表明有设置不正确的允许访问数据权限。此外,若检测到用户对某个对象的失败尝试,随后同一用户权限升级,以及对同一对象的访问,则可能暗示有可疑活动。 DS0010 云服务 云存储 枚举 监视用于文件或对象枚举的异常活动API所调用的云日志。系统和网络发现技术通常在攻击者了解环境的整个操作过程中出现。不应孤立地看待数据和事件,而应将其视为一系列行为的一部分,这些行为可能会使攻击者根据所获得的信息开展其他活动,例如收集和窃取。
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
往期推荐 关于我们 云纷科技自成立以来,就把成为交付“监测-分析-响应”完整能力闭环的下一代MSSP作为自己的使命。我们将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程。基于云原生和人工智能的安全运营平台——InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。 云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,以“实践+数据+AI”重塑安全运营链路,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
Comments are closed