Tech

Principais indicadores em logs do CloudTrail para chaves de API roubadas

Photo of LifeTechWeb LifeTechWebAugust 21, 2024
0 5 minutos lidos
Principais indicadores em logs do CloudTrail para chaves de API roubadas
sans 3

À medida que a infraestrutura de nuvem se torna a espinha dorsal das empresas modernas, garantir a segurança desses ambientes é basic. Com a AWS (Amazon Internet Providers) ainda sendo a nuvem dominante, é importante para qualquer profissional de segurança saber onde procurar por sinais de comprometimento. O AWS CloudTrail se destaca como uma ferramenta essencial para rastrear e registrar atividades de API, fornecendo um registro abrangente das ações realizadas em uma conta AWS. Pense no AWS CloudTrail como um log de auditoria ou evento para todas as chamadas de API feitas em sua conta AWS. Para profissionais de segurança, monitorar esses logs é essencial, principalmente quando se trata de detectar acesso potencial não autorizado, como por meio de chaves de API roubadas. Essas técnicas e muitas outras eu aprendi por meio dos incidentes em que trabalhei na AWS e que construímos no SANS FOR509, Enterprise Cloud Forensics.

1. Chamadas de API e padrões de acesso incomuns

A. Aumento repentino em solicitações de API

Um dos primeiros sinais de uma potencial violação de segurança é um aumento inesperado nas solicitações de API. O CloudTrail registra todas as chamadas de API feitas na sua conta AWS, incluindo quem fez a chamada, quando foi feita e de onde. Um invasor com chaves de API roubadas pode iniciar um grande número de solicitações em um curto espaço de tempo, seja sondando a conta em busca de informações ou tentando explorar determinados serviços.

O que procurar:

  • Um aumento repentino e atípico na atividade da API.
  • Chamadas de API de endereços IP incomuns, principalmente de regiões onde usuários legítimos não operam.
  • Tentativas de acesso a uma ampla variedade de serviços, especialmente se eles não são normalmente usados ​​pela sua organização.

Observe que o serviço de guarda (se ativado) sinalizará automaticamente esses tipos de eventos, mas você precisa estar atento para encontrá-los.

B. Uso não autorizado da conta root

A AWS recomenda fortemente evitar o uso da conta root para operações do dia a dia devido ao seu alto nível de privilégios. Qualquer acesso à conta root, especialmente se chaves de API associadas a ela estiverem sendo usadas, é um sinal de alerta significativo.

O que procurar:

  • Chamadas de API feitas com credenciais de conta root, especialmente se a conta root não for normalmente usada.
  • Alterações nas configurações de nível de conta, como modificação de informações de cobrança ou configurações de conta.

2. Atividade IAM anômala

A. Criação suspeita de chaves de acesso

Os invasores podem criar novas chaves de acesso para estabelecer acesso persistente à conta comprometida. Monitorar os logs do CloudTrail para a criação de novas chaves de acesso é essential, especialmente se essas chaves forem criadas para contas que normalmente não as exigem.

O que procurar:

  • Criação de novas chaves de acesso para usuários do IAM, especialmente aqueles que não precisavam delas antes.
  • Uso imediato de chaves de acesso recém-criadas, o que pode indicar que um invasor está testando ou utilizando essas chaves.
  • Chamadas de API relacionadas a `CreateAccessKey`, `ListAccessKeys` e `UpdateAccessKey`.

C. Padrões de Assunção de Papéis

A AWS permite que os usuários assumam papéis, concedendo a eles credenciais temporárias para tarefas específicas. O monitoramento de padrões incomuns de assunção de papéis é important, pois um invasor pode assumir papéis para girar dentro do ambiente.

O que procurar:

  • Chamadas de API `AssumeRole` incomuns ou frequentes, especialmente para funções com privilégios elevados.
  • Suposições de funções de endereços IP ou regiões normalmente não associadas aos seus usuários legítimos.
  • Premissas de papéis que são seguidas por ações inconsistentes com as operações comerciais normais.

3. Acesso e movimentação anômalos de dados

A. Acesso incomum ao bucket S3

O Amazon S3 é frequentemente um alvo para invasores, já que pode armazenar grandes quantidades de dados potencialmente sensíveis. Monitorar o CloudTrail para acesso incomum aos buckets do S3 é essencial para detectar chaves de API comprometidas.

O que procurar:

  • Chamadas de API relacionadas a `ListBuckets`, `GetObject` ou `PutObject` para buckets que normalmente não veem tal atividade.
  • Downloads ou uploads de dados em grande escala de e para buckets do S3, especialmente se ocorrerem fora do horário comercial regular.
  • Tentativas de acesso a buckets que armazenam dados confidenciais, como backups ou arquivos confidenciais.

B. Tentativas de exfiltração de dados

Um invasor pode tentar mover dados para fora do seu ambiente AWS. Os logs do CloudTrail podem ajudar a detectar tais tentativas de exfiltração, especialmente se os padrões de transferência de dados forem incomuns.

O que procurar:

  • Grandes transferências de dados de serviços como S3, RDS (Relational Database Service) ou DynamoDB, especialmente para endereços IP externos ou desconhecidos.
  • Chamadas de API relacionadas a serviços como AWS DataSync ou S3 Switch Acceleration que normalmente não são usados ​​em seu ambiente.
  • Tenta criar ou modificar configurações de replicação de dados, como aquelas que envolvem replicação entre regiões do S3.

4. Modificações inesperadas no grupo de segurança

Os grupos de segurança controlam o tráfego de entrada e saída para recursos da AWS. Um invasor pode modificar essas configurações para abrir vetores de ataque adicionais, como habilitar o acesso SSH de endereços IP externos.

O que procurar:

  • Alterações nas regras do grupo de segurança que permitem tráfego de entrada de endereços IP fora da sua rede confiável.
  • Chamadas de API relacionadas a `AuthorizeSecurityGroupIngress` ou `RevokeSecurityGroupEgress` que não se alinham com operações normais.
  • Criação de novos grupos de segurança com regras excessivamente permissivas, como permitir todo o tráfego de entrada em portas comuns.

5. Etapas para mitigar o risco de chaves de API roubadas

A. Aplicar o princípio do menor privilégio

Para minimizar os danos que um invasor pode causar com chaves de API roubadas, aplique o princípio do menor privilégio em sua conta AWS. Garanta que os usuários e funções do IAM tenham apenas as permissões necessárias para executar suas tarefas.

B. Implementar autenticação multifator (MFA)

Exija MFA para todos os usuários do IAM, particularmente aqueles com privilégios administrativos. Isso adiciona uma camada adicional de segurança, tornando mais difícil para invasores obterem acesso, mesmo que tenham chaves de API roubadas.

C. Gire e audite regularmente as chaves de acesso

Gire regularmente as chaves de acesso e garanta que elas estejam vinculadas aos usuários do IAM que realmente precisam delas. Além disso, audite o uso das chaves de acesso para garantir que elas não estejam sendo abusadas ou usadas de locais inesperados.

D. Habilitar e monitorar CloudTrail e GuardDuty

Garanta que o CloudTrail esteja habilitado em todas as regiões e que os logs estejam centralizados para análise. Além disso, o AWS GuardDuty pode fornecer monitoramento em tempo actual para atividades maliciosas, oferecendo outra camada de proteção contra credenciais comprometidas. Considere o AWS Detective para ter alguma inteligência construída sobre as descobertas.

E. Use o AWS Config para monitoramento de conformidade

O AWS Config pode ser usado para monitorar a conformidade com as melhores práticas de segurança, incluindo o uso adequado de políticas de IAM e grupos de segurança. Esta ferramenta pode ajudar a identificar configurações incorretas que podem deixar sua conta vulnerável a ataques.

Conclusão

A segurança do seu ambiente AWS depende do monitoramento vigilante e da detecção rápida de anomalias nos logs do CloudTrail. Ao entender os padrões típicos de uso legítimo e estar alerta para desvios desses padrões, os profissionais de segurança podem detectar e responder a possíveis comprometimentos, como aqueles envolvendo chaves de API roubadas, antes que causem danos significativos. À medida que os ambientes de nuvem continuam a evoluir, manter uma postura proativa em relação à segurança é essencial para proteger dados confidenciais e garantir a integridade da sua infraestrutura AWS. Se você quiser saber mais sobre o que procurar na AWS para sinais de intrusão, junto com as nuvens Microsoft e Google, você pode considerar minha aula FOR509 em execução na SANS Cyber ​​Protection Initiative 2024. Visite for509.com para saber mais.

Tags
Photo of LifeTechWeb LifeTechWebAugust 21, 2024
0 5 minutos lidos
Photo of LifeTechWeb

LifeTechWeb

Artigos relacionados

Novo ataque Silver SAML evita defesas Golden SAML em sistemas de identidade

Novo ataque Silver SAML evita defesas Golden SAML em sistemas de identidade

February 29, 2024
Nova campanha de phishing de código QR explora a influência da Microsoft para roubar credenciais

Nova campanha de phishing de código QR explora a influência da Microsoft para roubar credenciais

August 28, 2024
Mini PC X37 Edge RTX 3070 Intel Core i7-11800H

Mini PC X37 Edge RTX 3070 Intel Core i7-11800H

June 13, 2024
Servidores GPU de mídia e entretenimento apresentados pela MSI

Servidores GPU de mídia e entretenimento apresentados pela MSI

April 15, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button