Техники: T1556 , T1556.001 , T1556.002 , T1556.003 , T1556.004 , T1556.005 , T1556.006 , T1556.007 , T1556.008 , T1556.009
Злоумышленники могут отключать или изменять политики условного доступа, чтобы обеспечить постоянный доступ к взломанным учетным записям. Политики условного доступа - это дополнительные проверки, используемые поставщиками идентификационных данных и системами управления идентификацией и доступом для определения того, следует ли предоставлять пользователю доступ к ресурсу.
Например, в Entra ID, Okta и JumpCloud пользователям может быть отказано в доступе к приложениям на основании их IP-адреса, статуса регистрации устройства и использования многофакторной аутентификации.(Цитата: Microsoft Conditional Access)(Цитата: JumpCloud Conditional Access Policies)(Цитата: Okta Conditional Access Policies) В некоторых случаях провайдеры идентификации могут также поддерживать использование метрик на основе риска, чтобы отказывать во входе в систему на основании различных показателей. В AWS и GCP политики IAM могут содержать атрибуты `условия`, которые проверяют произвольные ограничения, такие как IP-адрес источника, дата выполнения запроса и характер запрашиваемых ресурсов или регионов.(Цитата: AWS IAM Conditions)(Цитата: GCP IAM Conditions) Эти меры помогают предотвратить компрометацию учетных данных и несанкционированный доступ к данным или ресурсам, а также ограничить полномочия пользователей только теми, которые необходимы.
Изменяя политики условного доступа, например добавляя дополнительные доверенные диапазоны IP-адресов, удаляя требования Многофакторная аутентификация или разрешая дополнительные Неиспользуемые/неподдерживаемые облачные регионы, злоумышленники могут обеспечить постоянный доступ к учетным записям и обойти защитные меры.
https://attack.mitre.org/techniques/T1556/009
Визуализация смежных техник для T1556.009
| № | Техника |
|---|
