01 定义与手法
攻击者可能会使用带有被盗凭证的云服务看板GUI从云运营环境中获取有用信息,例如特定的服务、资源和功能。例如,GCP命令中心可用于查看所有资产、潜在安全风险的发现,并运行额外的查询,例如查找公共IP地址和开放端口。
根据环境配置,攻击者可能能够通过图形化看板枚举比API更多的信息。这可以使攻击者在不发出任何API请求的情况下获取信息。
02 程序示例
03 缓解措施 名称 描述 用户账 户管理 将看板的可见性限制为仅对所需的资源执行最少特权原则,但这可能会限制看板在帐户受损时的发现值。
04 检测方法 ID 数据来源 数据组件 检测方式 DS0028 登陆 会话 登陆会 话创建 监视跨云服务管理控制台新构建的登录行为。 DS0002 用户 账户 用户账 号认证 将其他安全系统与登录信息(如用户帐户、IP地址和登录名)关联起来。
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
关于我们 云纷科技自成立以来,就把成为交付“监测-分析-响应”完整能力闭环的下一代MSSP作为自己的使命。我们将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程。基于云原生和人工智能的安全运营平台——InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。 云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,以“实践+数据+AI”重塑安全运营链路,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
Comments are closed