MITRE ATT&CK - Техника Отключение или перенастройка облачного межсетевого экрана

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Impair Defenses: Отключение или перенастройка облачного межсетевого экрана

Other sub-techniques of Impair Defenses (9)

ID	Название
.001	Отключение или перенастройка средств защиты
.002	Отключение журналирования событий Windows
.003	Повреждение журнала истории команд
.004	Отключение или перенастройка системного межсетевого экрана
.006	Блокировка сбора признаков активности
.007	Отключение или перенастройка облачного межсетевого экрана
.008	Отключение облачного журналирования
.009	Загрузка в безопасном режиме
.010	Атака через понижение версии

Adversaries may disable or modify a firewall within a cloud environment to bypass controls that limit access to cloud resources. Cloud firewalls are separate from system firewalls that are described in Disable or Modify System Firewall. Cloud environments typically utilize restrictive security groups and firewall rules that only allow network activity from trusted IP addresses via expected ports and protocols. An adversary may introduce new firewall rules or policies to allow access into a victim cloud environment. For example, an adversary may use a script or utility that creates new ingress rules in existing security groups to allow any TCP/IP connectivity.(Citation: Expel IO Evil in AWS) Modifying or disabling a cloud firewall may enable adversary C2 communications, lateral movement, and/or data exfiltration that would otherwise not be allowed.

ID: T1562.007

Относится к технике: T1562

Тактика(-и): Defense Evasion

Платформы: IaaS

Требуемые разрешения: User

Источники данных: Firewall: Firewall Disable, Firewall: Firewall Rule Modification

Версия: 1.1

Дата создания: 24 Jun 2020

Последнее изменение: 08 Mar 2021

Контрмера	Описание
Контрмеры
Audit	Perform audits or scans of systems, permissions, insecure software, insecure configurations, etc. to identify potential weaknesses.
User Account Management	Manage the creation, modification, use, and permissions associated to user accounts.

Обнаружение

Monitor cloud logs for modification or creation of new security groups or firewall rules.

Ссылки

A. Randazzo, B. Manahan and S. Lipton. (2020, April 28). Finding Evil in AWS. Retrieved June 25, 2020.

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.