Защита от несанкционированного удаления учетных записей из AWS Organizations
Несанкционированное удаление учетных записей из AWS Organizations может привести к потере контроля и увеличению уязвимости к атакам. Это может произойти, если threat actors получат доступ к учетным записям с необходимыми разрешениями. Все организации, использующие AWS, должны быть осведомлены об этой угрозе.
Подробности
Эта тактика начинается с использования threat actors учетных данных с разрешением organizations:LeaveOrganization. Это разрешение предоставляет доступ к API-вызову LeaveOrganizations, который, при вызове из учетной записи-члена, пытается удалить эту учетную запись из организации. После удаления учетной записи из организации ограничения, унаследованные в качестве части этой организации (например, SCP, которые предотвращали разрушительные действия, ограничивали использование регионов AWS или блокировали определенные вызовы API), больше не применяются.Что делать
Чтобы защитить вашу организацию от несанкционированного удаления учетных записей, используйте наименьший привилегий подход к авторизации (least privilege approach). Это означает предоставление учетным записям и ролям только тех разрешений, которые необходимо для выполнения их задач. Кроме того, важно использовать MFA, TLS и другие меры безопасности, чтобы предотвратить несанкционированный доступ к вашим учетным записям. Для получения дополнительной информации обращайтесь к документации AWS Identity and Access Management (IAM) и руководству по работе с единицами организации (OU) и реализацией политик управления службами (SCP). В заключении, важно быть осведомленным об этой угрозе и принять меры для защиты вашей организации от несанкционированного удаления учетных записей. Это включает в себя реализацию наименьшего привилегий подхода к авторизации, использование MFA и другие меры безопасности.Источник: AWS Security Blog