det0424-detection-strategy-for-disable-or-modify-cloud-firewall

# DET0424 — Detection Strategy for Disable or Modify Cloud Firewall ## Descrição Grupos de ameaça com acesso a ambientes cloud modificam ou desabilitam firewalls de nuvem (Security Groups AWS, Network Security Groups Azure, Firewall Rules GCP) para facilitar acesso a recursos internos, habilitar movimento lateral, ou abrir canais de exfiltração. Essa técnica é especialmente perigosa porque as mudanças são imediatas, afetam toda a infraestrutura associada ao grupo de segurança, e podem passar despercebidas em ambientes com muitas mudanças de infraestrutura frequentes. Exemplos de abuso incluem: adicionar regras de ingresso permitindo conexões SSH/RDP de `0.0.0.0/0` (qualquer IP), remover regras de egress que bloqueavam comunicação para IPs externos específicos, ou criar novos Security Groups sem restrições e associá-los a instâncias críticas. Em ambientes Kubernetes, modificações em NetworkPolicies podem igualmente expor serviços internos. A detecção baseia-se em monitoramento de CloudTrail (AWS), Activity Log (Azure) e Cloud Audit Logs (GCP) para operações de modificação de regras de firewall. Políticas de segurança como AWS Config Rules e Azure Policy podem alertar em tempo real sobre Security Groups com regras excessivamente permissivas. A correlação entre mudanças de firewall e novos padrões de conexão de rede é o indicador mais forte de uso malicioso. ## Indicadores de Detecção - `AuthorizeSecurityGroupIngress` (AWS) adicionando regra com CIDR `0.0.0.0/0` para portas administrativas (22, 3389, 5985) - Modificação de Security Group em horário fora de janelas de mudança aprovadas - Criação de novo Security Group sem tags de Owner/Project e associação a instâncias de produção - `RevokeSecurityGroupEgress` removendo regras de bloqueio de saída para IPs conhecidos como maliciosos - Mudanças em Network ACLs de VPC produzindo permitência de tráfego previamente bloqueado ## Técnicas Relacionadas - [[T1562007-disable-or-modify-cloud-firewall|T1562.007 — Disable or Modify Cloud Firewall]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[t1021-remote-services|T1021 — Remote Services]] ## Analytics Relacionadas - [[an1188-analytic-1188|AN1188 — Analytic 1188]] --- *Fonte: [MITRE ATT&CK — DET0424](https://attack.mitre.org/detectionstrategies/DET0424)*