20 de agosto de 2024The Hacker NewsCiberseguridad / Seguridad en la nube A medida que la infraestructura en la nube se convierte en la columna vertebral de las empresas modernas, garantizar la seguridad de estos entornos es primordial. Dado que AWS (Amazon Web Services) sigue siendo la nube dominante, es importante que cualquier profesional de la seguridad sepa dónde buscar señales de vulneración. AWS CloudTrail se destaca como una herramienta esencial para rastrear y registrar la actividad de la API, y proporciona un registro completo de las acciones realizadas dentro de una cuenta de AWS. Piense en AWS CloudTrail como una auditoría o un registro de eventos para todas las llamadas a la API realizadas en su cuenta de AWS. Para los profesionales de la seguridad, monitorear estos registros es fundamental, en particular cuando se trata de detectar un posible acceso no autorizado, como a través de claves API robadas. Estas técnicas y muchas otras las he aprendido a través de los incidentes en los que he trabajado en AWS y que incorporamos a SANS FOR509, Enterprise Cloud Forensics. 1. Llamadas API inusuales y patrones de acceso A. Aumento repentino de las solicitudes API Una de las primeras señales de una posible violación de seguridad es un aumento inesperado de las solicitudes API. CloudTrail registra cada llamada API realizada dentro de su cuenta de AWS, incluido quién realizó la llamada, cuándo se realizó y desde dónde. Un atacante con claves API robadas podría iniciar una gran cantidad de solicitudes en un corto período de tiempo, ya sea para sondear la cuenta en busca de información o para intentar explotar ciertos servicios. Qué buscar: Un aumento repentino e inusual de la actividad API. Llamadas API desde direcciones IP inusuales, particularmente desde regiones donde los usuarios legítimos no operan. Intentos de acceso a una amplia variedad de servicios, especialmente si su organización no los usa habitualmente. Tenga en cuenta que Guard Duty (si está habilitado) marcará automáticamente este tipo de eventos, pero debe estar atento para encontrarlos. B. Uso no autorizado de la cuenta raíz AWS recomienda encarecidamente evitar el uso de la cuenta raíz para las operaciones diarias debido a su alto nivel de privilegios. Cualquier acceso a la cuenta raíz, especialmente si se utilizan claves API asociadas a ella, es una señal de alerta importante. Qué buscar: llamadas API realizadas con credenciales de cuenta raíz, especialmente si la cuenta raíz no se utiliza habitualmente. Cambios en la configuración a nivel de cuenta, como modificar la información de facturación o las configuraciones de la cuenta. 2. Actividad IAM anómala A. Creación sospechosa de claves de acceso Los atacantes pueden crear nuevas claves de acceso para establecer un acceso persistente a la cuenta comprometida. Es fundamental supervisar los registros de CloudTrail para la creación de nuevas claves de acceso, especialmente si estas claves se crean para cuentas que normalmente no las necesitan. Qué buscar: creación de nuevas claves de acceso para usuarios de IAM, en particular aquellos que no las han necesitado antes. uso inmediato de claves de acceso recién creadas, lo que podría indicar que un atacante está probando o utilizando estas claves. llamadas API relacionadas con `CreateAccessKey`, `ListAccessKeys` y `UpdateAccessKey`. C. Patrones de asunción de roles AWS permite a los usuarios asumir roles, otorgándoles credenciales temporales para tareas específicas. Monitorear patrones inusuales de asunción de roles es vital, ya que un atacante podría asumir roles para cambiar de entorno. Qué buscar:Llamadas API `AssumeRole` inusuales o frecuentes, especialmente a roles con privilegios elevados.Asunciones de roles de direcciones IP o regiones que normalmente no están asociadas con sus usuarios legítimos.Asunciones de roles seguidas de acciones incompatibles con las operaciones comerciales normales. 3. Acceso y movimiento anómalos de datos A. Acceso inusual a buckets S3 Amazon S3 suele ser un objetivo para los atacantes, dado que puede almacenar grandes cantidades de datos potencialmente confidenciales. Monitorear CloudTrail para detectar acceso inusual a buckets S3 es esencial para detectar claves API comprometidas. Qué buscar:Llamadas API relacionadas con `ListBuckets`, `GetObject` o `PutObject` para buckets que normalmente no ven dicha actividad.Descargas o cargas de datos a gran escala hacia y desde buckets S3, especialmente si ocurren fuera del horario comercial normal.Intentos de acceso a buckets que almacenan datos confidenciales, como copias de seguridad o archivos confidenciales. B. Intentos de exfiltración de datos Un atacante puede intentar sacar datos de su entorno de AWS. Los registros de CloudTrail pueden ayudar a detectar dichos intentos de exfiltración, especialmente si los patrones de transferencia de datos son inusuales. Qué buscar: Grandes transferencias de datos desde servicios como S3, RDS (Relational Database Service) o DynamoDB, especialmente a direcciones IP externas o desconocidas. Llamadas de API relacionadas con servicios como AWS DataSync o S3 Transfer Acceleration que no se usan normalmente en su entorno. Intentos de crear o modificar configuraciones de replicación de datos, como las que involucran la replicación entre regiones de S3. 4. Modificaciones inesperadas del grupo de seguridad Los grupos de seguridad controlan el tráfico entrante y saliente a los recursos de AWS. Un atacante podría modificar estas configuraciones para abrir vectores de ataque adicionales, como habilitar el acceso SSH desde direcciones IP externas. Qué buscar:Cambios en las reglas del grupo de seguridad que permiten el tráfico entrante desde direcciones IP fuera de su red de confianza.Llamadas API relacionadas con `AuthorizeSecurityGroupIngress` o `RevokeSecurityGroupEgress` que no se alinean con las operaciones normales.Creación de nuevos grupos de seguridad con reglas demasiado permisivas, como permitir todo el tráfico entrante en puertos comunes. 5. Pasos para mitigar el riesgo de claves API robadas A. Aplicar el principio del mínimo privilegio Para minimizar el daño que un atacante puede hacer con claves API robadas, aplique el principio del mínimo privilegio en su cuenta de AWS. Asegúrese de que los usuarios y roles de IAM solo tengan los permisos necesarios para realizar sus tareas. B. Implementar la autenticación multifactor (MFA) Exigir MFA para todos los usuarios de IAM, en particular aquellos con privilegios administrativos. Esto agrega una capa adicional de seguridad, lo que dificulta que los atacantes obtengan acceso, incluso si tienen claves API robadas. C. Rotar y auditar regularmente las claves de acceso Rotar regularmente las claves de acceso y asegurarse de que estén vinculadas a los usuarios de IAM que realmente las necesitan. Además, auditar el uso de las claves de acceso para asegurarse de que no se estén abusando de ellas ni se estén usando desde ubicaciones inesperadas. D. Habilitar y supervisar CloudTrail y GuardDuty Asegúrese de que CloudTrail esté habilitado en todas las regiones y de que los registros estén centralizados para su análisis. Además, AWS GuardDuty puede proporcionar supervisión en tiempo real de la actividad maliciosa, lo que ofrece otra capa de protección contra credenciales comprometidas. Considere AWS Detective para tener algo de inteligencia construida sobre la base de los hallazgos. E. Usar AWS Config para supervisar el cumplimiento AWS Config se puede utilizar para supervisar el cumplimiento de las mejores prácticas de seguridad, incluido el uso adecuado de las políticas de IAM y los grupos de seguridad. Esta herramienta puede ayudar a identificar configuraciones incorrectas que podrían dejar su cuenta vulnerable a ataques. Conclusión La seguridad de su entorno de AWS depende de la supervisión atenta y la detección rápida de anomalías dentro de los registros de CloudTrail. Al comprender los patrones típicos de uso legítimo y estar alerta a las desviaciones de estos patrones, los profesionales de seguridad pueden detectar y responder a posibles ataques, como los que involucran claves API robadas, antes de que causen daños significativos. A medida que los entornos de nube continúan evolucionando, mantener una postura proactiva en materia de seguridad es esencial para proteger los datos confidenciales y garantizar la integridad de su infraestructura de AWS. Si desea obtener más información sobre qué buscar en AWS en busca de señales de intrusión, junto con las nubes de Microsoft y Google, puede considerar mi clase FOR509 que se lleva a cabo en SANS Cyber ​​Defense Initiative 2024. Visite for509.com para obtener más información. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.