Отключение или изменение облачных журналов - это техника уклонения от защиты, с помощью которой злоумышленники манипулируют облачными службами регистрации, чтобы избежать обнаружения и скрыть свою деятельность. Облачные среды полагаются на такие решения для ведения журналов, как AWS CloudTrail, Azure Monitor и Google Cloud Logging, для отслеживания системных событий, действий пользователей и инцидентов безопасности. Эти журналы очень важны для обнаружения угроз, реагирования на инциденты и проведения криминалистических расследований. Отключая, изменяя или удаляя облачные журналы, атакующие могут замести следы, затрудняя командам безопасности выявление несанкционированного доступа, повышения привилегий или утечки данных.
Что такое облачные журналы?
Журналы облачных вычислений - это записи, создаваемые различными приложениями, сервисами и системами в среде облачных вычислений. Эти журналы фиксируют важную информацию о событиях, действиях и показателях производительности, предоставляя подробные сведения о том, что происходит в облачной инфраструктуре. Облачные журналы служат ценным ресурсом для администраторов, разработчиков и сотрудников службы безопасности, позволяющим получить представление о поведении и состоянии облачных систем.
Облачные журналы могут включать в себя широкий спектр данных, в том числе сообщения об ошибках, действия пользователей, системные события и показатели использования ресурсов. Облачные журналы часто хранятся централизованно в специальном сервисе или платформе регистрации, что облегчает сбор и анализ данных из нескольких источников. К распространенным службам ведения журналов в облачных средах относятся AWS CloudWatch Logs, Google Cloud Logging и Azure Monitor Logs.
Использование злоумышленниками отключения или модификации облачных журналов
Облачные среды, как правило, предлагают надежные средства ведения журналов, которые помогают организациям отслеживать и анализировать деятельность в своей инфраструктуре. Однако эти механизмы ведения журналов также являются потенциальными целями для злоумышленников. Злоумышленники используют технику отключения или модификации облачных журналов для манипулирования и уклонения от обнаружения в средах облачных вычислений. Этот метод предполагает подделку или подавление записей журнала, чтобы подорвать усилия по обнаружению и реагированию на инциденты.
В Amazon Web Services (AWS) злоумышленник может нарушить целостность процесса мониторинга, отключив CloudWatch или CloudTrail. Эти службы необходимы для отслеживания вызовов API, изменений ресурсов и действий пользователей. Отключив эти интеграции, злоумышленники гарантируют, что их последующие действия не будут записаны. Кроме того, злоумышленники могут изменить настройки CloudTrail, чтобы прекратить доставку журналов в централизованное хранилище S3, либо удалить или изменить журналы напрямую, если им удастся получить необходимый доступ. Изменение целостности журнала может быть таким же тонким, как изменение функции проверки файлов журнала CloudTrail. Отключив эту функцию, злоумышленники смогут манипулировать файлами журналов, не обнаруживая их. Аналогичным образом, отключение шифрования файлов журналов или отключение многорегиональной регистрации может позволить злоумышленникам сосредоточить свои нарушения на одном регионе, в то время как деятельность в других регионах остается без контроля.
Более того, отключение или изменение журналов «облака» выходит за рамки инфраструктуры и распространяется на «облачные» приложения и сервисы. Например, в Microsoft Office 365 злоумышленники могут отключить или обойти ведение журналов для определенных пользователей. Используя команду Set-MailboxAuditBypassAssociation, они могут настроить почтовый ящик на обход регистрации аудита, по сути дела делая действия, выполняемые этим пользователем, невидимыми для механизма регистрации по умолчанию.