DEV Community

Rodrigo Fernandes
Rodrigo Fernandes

Posted on

AWS Incident Response

Anotações sobre Respostas a incidentes para ajudar na preparação das certificações AWS.

Até o momento as anotações são para as certificações abaixo:

Image description

Incident Response

E uma abordagem organizada para abordar e gerenciar as consequências de um incidente de segurança em uma organização.
Você estuda a solução para mitigar o incidente.
Link documentação oficial


Top 10 security items to improve in your AWS account

Image description


Serviços AWS para Prever(Preventive Controls)

  • WAF
  • IAM
  • Network Firewall
  • KMS

Serviços AWS para Detectar(Detective Controls)

  • CloudTrail
  • CloudWatch
  • Inspector
  • Detective

Incident Response Plan

Building a cloud-specific incident response plan

Preparation(Preparação)

  • A etapa de preparação é crítica. Treine os manipuladores de IR para serem capazes de responder a eventos específicos da nuvem.
  • Habilite CloudTrail, VPC Flow Logs, EC2 instances
  • Use AWS Organizations para segregar as contas

Detection(Detecção)

  • Também conhecido como Detecção, você usa regras baseadas em comportamento para identificar e detectar violações ou vazamentos, ou pode ser notificado sobre quais contas de usuários e sistemas precisam de "limpeza".
  • Detecção de regras de comportamento (ex: usuário logado as 3 am fora do horário normal)
  • Detecção de falhas de login consecutivas com o CloudWatch

Containment

  • Use AWS CLI, SDKs para ajudar na resolução dos incidentes

Investigation(Investigação)

  • Uma vez isolado, determine e analise a correlação, a ameaça e o cronograma.
  • Use **CloudWatch **Logs para ajudar a investigação
  • Use AWS Config para analisar a infra em uma timeline

Eradication

  • Arquivos de limpeza seguros. Os tempos de resposta podem ser mais rápidos com a automação.

  • Após a limpeza segura, exclua todas as chaves de dados KMS, se usadas.

Recovery

  • Restaure o acesso à rede ao estado original.
  • Use pre-build AMI para lançar uma aplicação nova na instancia

Follow-up

  • Verifique a exclusão de chaves de dados (se o KMS foi usado), faça a validação cruzada com o Suporte da Amazon e relate as descobertas e as ações de resposta.

Lessons Learned

  • Analise das lições

Casos de uso

What do I do if I notice unauthorized activity in my AWS account?
Documentação oficial

  • altere a senha de root da conta raiz
  • Rotacione as Keys
  • Responda as notificações do AWS Support

Remediating a compromised EC2 instance - GuardDuty
Documentação de apoio

  • 1. Investigue a instância potencialmente comprometida em busca de malware e remova qualquer malware descoberto.
  • 2. Você pode verificar o AWS Marketplace para ver se há produtos de parceiros úteis para identificar e remover malware.
  • 3. Caso não identifique ai sim é recomendado Encerrar a EC2

Network Packet Inspection

Documentação de apoio
Filter network traffic using AWS Network Firewall
Rule groups in AWS Network Firewall

  • Utilize ferramentas de terceiros
  • Flow Logs e AWS WAF não inspecionam os pacotes

How to Setup an Alert if the Root user login
Documentação de apoio
Monitor and Notify on AWS Account Root User Activity
How to Receive Notifications When Your AWS Account’s Root Access Keys Are Used

  • Utilizar o AWS Cloudtrail e habilita os eventos para o CloudWatch Logs
  • Cria um metric filter no CloudWatch
  • Cria um Alarm a partir do metric filter

Perda da senha administrador de uma EC2 Windows
Link para documentação oficial

  • Use Systems Manager Run Command AWSSupport-RunEC2RescueForWindowsTool

Exclusão da Key Pair
Link documentação oficial

  1. Delete a Key Pair da console da AWS (Deletando da console não deleta da EC2)
  2. Crie um novo Key Pair
  3. Crie uma AMI da EC2
  4. Crie uma nova EC2 com a AMI e com a nova Key Pair
  5. Atualize o arquivo authorized_keys com a nova Public Key

Exposed Access Keys
What to Do If You Inadvertently Expose an AWS Access Key

  1. Determinar o acesso associado a essas Keys
  2. Invalidando as credenciais
  3. Pode desabilitar ou deletar
  4. AWS recomenda Desabilitar

Invalidando quaisquer credenciais temporárias que possam ter sido emitidas com chaves expostas

  • Essas credenciais podem ter credenciais vitalícias - 15 minutos a 36 horas
  • Recomendado é desabilitar
  • Pega as credencias temporárias da sessão aws sts get-session-token
  • Desabilitar ou excluir credenciais não ajuda a te proteger contra credenciais temporárias
  • Em casos de vazamento de credenciais temporárias uma das soluções é criar um Deny explicito na policyatribuída a role do usuário

3.Restaurar o acesso com novas credenciais

  • Considere criar novas credenciais
  • Considere usar IAM Roles ou Federação

4.Revise sua conta da AWS

  • Analise os logs

Compromised EC2 instance

1.Lock the instance down

  • Isole a EC2 da Rede
  • Acesso apenas do time Segurança para análise, alterando o SG

2.Take the EBS Snapshot
3.Take a Memory Dumps

  • Backup para análise futura do time de Segurança

4.Perform Forensics
5.Terminate the Instance

  • Após a análise do time de Segurança, delete a instância
  • Garanta que os logs sejam armazenados para auditoria

Automated is a key !


Error: Unprotected private key file
Documentação oficial

  • Private Key
  • chmod 400 file.pen

Stolen Laptop System Administrator

  • Modifica o arquivo ~/.ssh/authorized_keys nas EC2
  • Remove a key associada ao usuário System Administrator

Isolamento de instância
Os recursos da API da AWS (assim como a interface de linha de comando ou CLI e kits de desenvolvimento de software ou SDKs ) podem ser usados ​​por respondentes a incidentes. Esses comandos podem ser usados ​​para criar uma resposta automatizada quando for detectado um desvio em sua linha de base de segurança.

Image description
Esta é uma VPC simplificada com uma camada da Web de dimensionamento automático. Cada instância tem um grupo de segurança configurado e um volume do Amazon EBS anexado.

Image description

Você pode autorizar a comunicação entre um grupo de segurança isolado e o grupo de segurança forense. Em seguida, você pode conectar os dois e executar a análise forense para ajudá-lo em sua investigação.
Resolução
Invalidar credenciais
Desative as credenciais expostas.
Quando apropriado, exclua as chaves de acesso expostas

Revogar acesso privilegiado
Anexe uma política "Negar IAM" ao usuário.
Revogue quaisquer sessões pendentes.

Determinar a origem das chaves de acesso do IAM
Rastreie a qual usuário as chaves de acesso estão associadas.
Revise o escopo das políticas associadas às chaves de acesso.

Verifique a integridade e determine o raio de explosão
Use CloudTrail e AWS Config para determinar se algo mudou.
Considere outras chaves ou credenciais de acesso do IAM que podem ser um problema.

Top comments (0)