T1199: ДОВІРЕНІ ВІДНОСИНИ
Зловмисники зламують або використовують організації, які мають доступ до цільових жертв. Зловживання сторонніми довіреними відносинами дозволяє використовувати існуючі з'єднання, які часто захищені слабше або піддаються менш суворому контролю, ніж стандартні механізми доступу до мережі. Це стосується ІТ-підрядників, постачальників послуг безпеки (MSSP) або обслуговуючих компаній.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть здійснювати злам або іншим чином використовувати організації, які мають доступ до запланованих жертв. Доступ через довірені відносини з третьою стороною базується на зловживанні існуючим з’єднанням, яке може бути не захищеним або перевірятися менш ретельно, ніж стандартні механізми отримання доступу до мережі.
Організації часто надають розширений доступ зовнішнім постачальникам (другій або третій стороні) для того, щоб дозволити їм керувати внутрішніми системами, а також хмарними середовищами. Деякі приклади таких відносин включають підрядників з ІТ-послуг, керованих постачальників послуг безпеки, підрядників з обслуговування інфраструктури (наприклад, вентиляція та кондиціювання (HVAC), ліфти, фізична безпека). Доступ стороннього постачальника може бути призначений лише для інфраструктури, що обслуговується, але він може існувати в тій самій мережі, що й решта підприємства. Таким чином, валідні облікові записи (Valid Accounts), які використовуються іншою стороною для доступу до внутрішніх мережевих систем, можуть бути скомпрометовані та використані зловмисниками.
У середовищах Office 365 організації можуть надавати партнерам або посередникам Microsoft дозволи делегованого адміністратора. Компрометуючи обліковий запис партнера або посередника, зловмисник може скористатися існуючими відносинами делегованого адміністрування або надіслати клієнтам нові пропозиції щодо делегування повноважень, щоб отримати адміністративний контроль над тенантом (tenant) жертви.