Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Modify Authentication Process: Conditional Access Policies

Other sub-techniques of Modify Authentication Process (9)

ID	Название
.001	Аутентификация на контроллере домена
.002	DLL-библиотеки фильтров паролей
.003	Подключаемые модули аутентификации
.004	Аутентификация на сетевых устройствах
.005	Обратимое шифрование Active Directory
.006	Многофакторная аутентификация
.007	Гибридная облачная аутентификация
.008	Network Provider DLL
.009	Conditional Access Policies

Adversaries may disable or modify conditional access policies to enable persistent access to compromised accounts. Conditional access policies are additional verifications used by identity providers and identity and access management systems to determine whether a user should be granted access to a resource. For example, in Entra ID, Okta, and JumpCloud, users can be denied access to applications based on their IP address, device enrollment status, and use of multi-factor authentication.(Citation: Microsoft Conditional Access)(Citation: JumpCloud Conditional Access Policies)(Citation: Okta Conditional Access Policies) In some cases, identity providers may also support the use of risk-based metrics to deny sign-ins based on a variety of indicators. In AWS and GCP, IAM policies can contain `condition` attributes that verify arbitrary constraints such as the source IP, the date the request was made, and the nature of the resources or regions being requested.(Citation: AWS IAM Conditions)(Citation: GCP IAM Conditions) These measures help to prevent compromised credentials from resulting in unauthorized access to data or resources, as well as limit user permissions to only those required. By modifying conditional access policies, such as adding additional trusted IP ranges, removing Multi-Factor Authentication requirements, or allowing additional Unused/Unsupported Cloud Regions, adversaries may be able to ensure persistent access to accounts and circumvent defensive measures.

ID: T1556.009

Относится к технике: T1556

Тактика(-и): Credential Access, Defense Evasion, Persistence

Платформы: IaaS, Identity Provider

Источники данных: Active Directory: Active Directory Object Modification, Cloud Service: Cloud Service Modification

Дата создания: 02 Jan 2024

Последнее изменение: 16 Sep 2024

Название	Описание
Примеры процедур
Scattered Spider	Scattered Spider has added additional trusted locations to Azure AD conditional access policies. (Citation: MSTIC Octo Tempest Operations October 2023)

Контрмера	Описание
Контрмеры
User Account Management	Manage the creation, modification, use, and permissions associated to user accounts.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Modify Authentication Process: Conditional Access Policies

Other sub-techniques of Modify Authentication Process (9)

Примеры процедур

Контрмеры

Ссылки

Связанные риски

Каталоги