Rekomendacje związane z atakami wymierzonymi w usługi chmurowe
Zespół CERT Polska obserwuje wzrost liczby ataków wymierzonych w usługi chmurowe polskich podmiotów.
Atakujący uzyskują dostęp do kont administratorów, między innymi za pomocą kampanii phishingowych i szkodliwego oprogramowania, a następnie wykorzystują wykupione licencje i usługi do swoich działań. Administratorom i zespołom odpowiedzialnym za dostęp organizacji do rozwiązań chmurowych (np. Microsoft Azure, Microsoft Entra ID) pilnie rekomendujemy:
Bezzwłoczną weryfikację, czy wszystkie konta o uprawnieniach administratora (z wyjątkiem kont pełniących rolę tzw. break glass) mają wymuszone uwierzytelnianie dwuskładnikowe. Szczególną uwagę należy zwrócić na konta:
Administrator Globalny (ang. Global Admin)
Administrator Uwierzytelniania Uprzywilejowanego (ang. Privileged Authentication Administrator)
Dzierżawca (ang. Tenant)
Weryfikację, czy nie odnotowano nieautoryzowanych zmian w:
użytkownikach
aplikacjach
dodatkowych/niestandardowych domenach
Ograniczenie liczby kont uprzywilejowanych i posiadających uprawnienia administratora do koniecznego minimum - takie konta powinny być pod ścisłym nadzorem administratorów.
Dopasowanie wykorzystywanego konta do wykonywanej akcji, zgodnie z zasadą najniższych potrzebnych uprawnień. W szczególności przestrzegamy przed wykorzystywaniem roli Administratora Globalnego do akcji, które nie wymagają podwyższonych uprawnień (np. obsługa poczty, korzystanie z aplikacji). Przypominamy, że część zadań posiada dedykowane role z ograniczonymi uprawnieniami - przykładowo w Microsoft Entra ID rolą, która odpowiada za reset haseł zwykłych użytkowników, jest rola Helpdesk Administrator.
Wdrożenie obowiązkowego uwierzytelniania wieloskładnikowego (2FA/MFA) także dla kont wszystkich pozostałych użytkowników.
W wielu incydentach zgłoszonych do naszego zespołu aktywność włamywaczy rozpoczynała się od udanego logowania na konto z zagranicznego adresu IP. Jeżeli wszyscy użytkownicy w organizacji nominalnie łączą się z Polski, to warto monitorować logi dostępowe pod kątem takich anomalii.
Więcej zaleceń dotyczących bezpieczeństwa środowisk chmurowych można znaleźć na stronach dostawców tych usług. Zalecenia dotyczące środowiska Microsoft 365 znajdą Państwo pod tym linkiem.
W przypadku stwierdzenia nieautoryzowanych działań w Państwa organizacji lub środowisku chmurowym, zachęcamy do zgłoszenia incydentu na stronie incydent.cert.pl.