Site icon Kiber.ba

Otkrivanje narušavanja AWS naloga: Ključni indikatori u CloudTrail logovima za ukradene API ključeve

Otkrivanje narušavanja AWS naloga: Ključni indikatori u CloudTrail logovima za ukradene API ključeve-Kiber.ba

Otkrivanje narušavanja AWS naloga: Ključni indikatori u CloudTrail logovima za ukradene API ključeve-Kiber.ba

Kako infrastruktura oblaka postaje osnova modernih preduzeća, osiguravanje sigurnosti ovih okruženja je najvažnije. S obzirom da je AWS (Amazon Web Services) i dalje dominantan oblak, važno je da svaki stručnjak za sigurnost zna gdje da traži znakove kompromisa. AWS CloudTrail se ističe kao suštinski alat za praćenje i evidentiranje API aktivnosti, pružajući sveobuhvatan zapis o radnjama preduzetim unutar AWS naloga. Zamislite AWS CloudTrail kao reviziju ili evidenciju događaja za sve API pozive obavljene na vašem AWS nalogu. Za profesionalce za sigurnost, praćenje ovih dnevnika je kritično, posebno kada je u pitanju otkrivanje potencijalnog neovlaštenog pristupa, poput ukradenih API ključeva.

1. Neobični API pozivi i obrasci pristupa#

A. Iznenadni skok u API zahtjevima#

Jedan od prvih znakova potencijalnog kršenja sigurnosti je neočekivano povećanje zahtjeva za API-jem. CloudTrail bilježi svaki API poziv upućen unutar vašeg AWS naloga, uključujući i ko je uputio poziv, kada je upućen i odakle. Napadač sa ukradenim API ključevima može pokrenuti veliki broj zahtjeva u kratkom vremenskom periodu, bilo da traži informacije na računu ili pokušava da iskoristi određene usluge.

Šta tražiti:

Imajte na umu da će Guard Duty (ako je omogućena) automatski označiti ove vrste događaja, ali morate paziti da ih pronađete.

B. Neovlašteno korištenje root računa#

AWS snažno preporučuje izbjegavanje korištenja root naloga za svakodnevne operacije zbog visokog nivoa privilegija. Svaki pristup root nalogu, posebno ako se koriste API ključevi povezani sa njim, predstavlja značajnu crvenu zastavicu.

Šta tražiti:

2. Anomalna IAM aktivnost#

A. Sumnjivo kreiranje pristupnih ključeva#

Napadači mogu kreirati nove pristupne ključeve kako bi uspostavili trajni pristup narušenom nalogu. Nadgledanje CloudTrail dnevnika za kreiranje novih pristupnih ključeva je ključno, posebno ako su ovi ključevi kreirani za račune koji ih obično ne zahtijevaju.

Šta tražiti:

B. Uzorci pretpostavke uloge#

AWS omogućava korisnicima da preuzmu uloge, dajući im privremene kredencijale za određene zadatke. Praćenje neobičnih obrazaca preuzimanja uloga je od vitalnog značaja, jer napadač može preuzeti uloge koje će se okretati unutar okruženja.

Šta tražiti:

3. Anomalni pristup podacima i kretanje#

A. Neobičan S3 Bucket Access#

Amazon S3 je često meta napadača, s obzirom na to da može pohraniti ogromne količine potencijalno osjetljivih podataka. Nadgledanje CloudTrail-a za neobičan pristup S3 buckets je od suštinskog značaja za otkrivanje narušenih API ključeva.

Šta tražiti:

B. Pokušaji eksfiltracije podataka#

Napadač može pokušati da premjesti podatke iz vašeg AWS okruženja. CloudTrail evidencije mogu pomoći u otkrivanju takvih pokušaja eksfiltracije, posebno ako su obrasci prijenosa podataka neobični.

Šta tražiti:

4. Neočekivane izmjene sigurnosne grupe#

Sigurnosne grupe kontrolišu ulazni i odlazni promet do AWS resursa. Napadač može izmijeniti ove postavke kako bi otvorio dodatne vektore napada, kao što je omogućavanje SSH pristupa sa vanjskih IP adresa.

Šta tražiti:

5. Koraci za ublažavanje rizika od ukradenih API ključeva#

A. Sprovesti princip najmanje privilegija#

Da biste umanjili štetu koju napadač može učiniti ukradenim API ključevima, implementirajte princip najmanje privilegija na svom AWS nalogu. Osigurajte da IAM korisnici i uloge imaju samo dozvole potrebne za obavljanje svojih zadataka.

B. Implementacija višefaktorske provjere autentičnosti (MFA)#

Zahtijevajte MFA za sve IAM korisnike, posebno one sa administrativnim privilegijama. Ovo dodaje dodatni sloj sigurnosti, što napadačima otežava pristup, čak i ako su ukrali API ključeve.

C. Redovno rotirajte i provjeravajte pristupne ključeve#

Redovno rotirajte pristupne ključeve i osigurajte da su vezani za IAM korisnike kojima su zaista potrebni. Dodatno, provjerite upotrebu pristupnih ključeva kako biste osigurali da se ne zloupotrebljavaju ili koriste s neočekivanih lokacija.

D. Omogućite i nadgledajte CloudTrail i GuardDuty#

Osigurajte da je CloudTrail omogućen u svim regijama i da su dnevnici centralizirani za analizu. Pored toga, AWS GuardDuty može da obezbedi praćenje u realnom vremenu za zlonamjerne aktivnosti, nudeći još jedan sloj zaštite od narušenih kredencijala. Uzmite u obzir da AWS Detective ima neku inteligenciju izgrađenu na vrhu nalaza.

E. Koristite AWS Config za praćenje usklađenosti#

AWS Config se može koristiti za praćenje usklađenosti sa najboljim sigurnosnim praksama, uključujući ispravnu upotrebu IAM politika i sigurnosnih grupa. Ovaj alat može pomoći u identifikaciji pogrešnih konfiguracija koje mogu učiniti vaš račun ranjivim na napade.

Zaključak#

Sigurnost vašeg AWS okruženja zavisi od budnog nadzora i brzog otkrivanja anomalija unutar CloudTrail dnevnika. Razumijevanjem tipičnih obrazaca legitimne upotrebe i opreza na odstupanja od ovih obrazaca, stručnjaci za sigurnost mogu otkriti i odgovoriti na potencijalne kompromise, poput onih koji uključuju ukradene API ključeve, prije nego što prouzrokuju značajnu štetu. Kako okruženja u oblaku nastavljaju da se razvijaju, održavanje proaktivnog stava o sigurnosti je od suštinskog značaja za zaštitu osjetljivih podataka i osiguravanje integriteta vaše AWS infrastrukture. Ako želite da saznate više o tome šta tražiti u AWS-u za znakove upada, zajedno sa Microsoft i Google oblacima, razmislite o mojoj klasi FOR509 koji se izvodi na SANS Cyber ​​Defense Initiative 2024 .

Izvor: TheHackerNews

Exit mobile version