Llegamos a ustedes gracias a:



Reportajes y análisis

Respuestas a incidentes de seguridad de AWS

4 herramientas para su manipulación

Respuestas a incidentes de seguridad de AWS

[06/09/2016] Responder a incidentes de seguridad que implican las implementaciones dentro de Amazon Web Services es muy diferente a responder a los incidentes que ocurren en el engranaje de la propiedad corporativa, y dos investigadores han llegado con cuatro herramientas gratuitas para hacer más fácil el proceso.

La obtención de pruebas forenses es diferente, sobre todo porque los profesionales de seguridad no pueden obtener acceso físico a los equipos en los que sus instancias de AWS se están ejecutando.

Sin embargo, utilizando el kit de desarrollador de software API de AWS o su interfaz de línea de comandos, los clientes pueden escribir sus propias herramientas para la creación de imágenes forenses de los casos de discos que han sido comprometidos, señala Andrew Krug y Alex McCormack. La pareja de investigadores presentó cuatro herramientas en Black Hat 2016, que escribieron específicamente para hacer frente a la respuesta a incidentes en AWS.

Lo importante, dicen, es tener un plan de respuesta establecido, y las herramientas que han escrito pueden ejecutar importantes porciones de la misma, eliminando una gran cantidad de trabajo manual forense que puede ralentizar las cosas y dar a los atacantes más tiempo para hacer daño. Se libera a los seres humanos del desempeño de tareas en las que podían cometer errores, señalan.

Puede ser difícil localizar casos AWS, por lo que la respuesta es más complicada. "AWS es global, por lo que es difícil encontrar una instancia que esté comprometida", indica McCormack.

He aquí una breve descripción de las cuatro herramientas. Puede descargarlas aquí.

Margarita Shotgun: Esta herramienta automatiza la recolección de la memoria de los sistemas remotos si son propiedad de la empresa o se proporcionan a través de AWS. Muestra la memoria capturada a través de SSH a la estación de trabajo del profesional en seguridad que investiga el incidente. Los datos se pueden guardar en el disco o desviarlos a un cubo de almacenamiento AWS s3. El proceso se realiza en paralelo usando la biblioteca de multiprocesamiento Python por lo que los datos pueden ser adquiridos lo más rápidamente posible, reduciendo el tiempo que las instancias comprometidas permanecen activas.

La idea es tener un plan para reaccionar a un incidente, y tenerlo automatizado para que las pruebas valiosas no se pierdan accidentalmente en el calor del momento.

AWS-IR: Automatiza la recogida de pruebas en un incidente y mitiga el ataque y tiene tres comandos distintos. El primero, el compromiso de acogida, asigna la instancia comprometida a un grupo muy seguro, que corta los enlaces activos al atacante. Toma una instantánea de volúmenes conectados al mismo, capta la memoria, recoge instancia de metadatos y reúne salida de la consola. Una vez que se recogen los datos, se apaga la instancia.

El segundo comando, clave comprometida, provoca la desactivación de una clave de acceso AWS comprometida. El tercer comando, crear estación de trabajo, crea una instancia separada de la estación de trabajo para el análisis de las medidas que los atacantes podrían haber tomado mediante el uso de la clave.

ThreatResponse Web: Esta herramienta puede recopilar y analizar los datos pertinentes a los incidentes y, si parece que otras instancias están involucradas en un incidente, puede tirar la información de ellas también. La herramienta proporciona una vista de la memoria y una vista de análisis del disco que están disponibles en la estación de trabajo designada para llevar a cabo la investigación.

El panel de control de ThreatResponse Web muestra qué región geográfica de los casos pertinentes de la red global de AWS se están ejecutando, y qué tipos de imágenes Amazon Machine se están ejecutando.

ThreatPrep: Diseñada para ayudar a una mejor defensa de casos de AWS, esta herramienta encuentra lugares donde se podría mejorar la seguridad, y las zonas en las que se debe aumentar la cantidad de pruebas forenses que se recopilan de forma rutinaria. Comprueba las cosas, incluyendo si los intervalos de almacenamiento S3 tienen habilitado el registro y control de versiones, y si la lectura y la escritura pública no están permitidas. Determina si la autenticación de múltiples factores se enciende por la administración de identidades y acceso asociado a la cuenta de AWS. Y se ve si los registros de flujo están habilitados para nubes privadas virtuales.

Tim Greene, Network World (EE.UU.)