Обнаружение облачных служб

Злоумышленник может попытаться перечислить облачные службы, работающие в системе после получения доступа. Эти методы могут отличаться от платформы как услуги (PaaS) к инфраструктуре как услуге (IaaS) или программному обеспечению как услуге (SaaS). Множество служб существует у различных облачных провайдеров и может включать непрерывную интеграцию и непрерывную доставку (CI/CD), функции Lambda, Entra ID и т.д. Они также могут включать службы безопасности, такие как AWS GuardDuty и Microsoft Defender for Cloud, и службы ведения журналов, такие как AWS CloudTrail и Google Cloud Audit Logs. Злоумышленники могут попытаться обнаружить информацию о службах, включенных в среде. Инструменты и API Azure, такие как Microsoft Graph API и Azure Resource Manager API, могут перечислять ресурсы и службы, включая приложения, группы управления, ресурсы и определения политик, а также их отношения, которые доступны для идентификатора. Например, Stormspotter — это инструмент с открытым исходным кодом для перечисления и построения графа для ресурсов и служб Azure, а Pacu — это фреймворк эксплуатации AWS с открытым исходным кодом, поддерживающий несколько методов обнаружения облачных служб. Злоумышленники могут использовать полученную информацию для формирования последующих действий, таких как нацеливание на данные или учетные данные из перечисленных служб или обход выявленных средств защиты через отключение или изменение инструментов или отключение или изменение облачных журналов.