miércoles, 27 de marzo de 2024

Mis notas sobre AWS GuardDuty: AWS Certified Security - Specialty

GuardDuty supervisa continuamente nuestras cuentas de AWS en busca de actividad maliciosa, ofreciendo visibilidad sobre las posibles amenazas y los mecanismos para una remediación rápida. Todo ello apoyado con aprendizaje automático (ML) en base al modelado de comportamiento y a fuentes sobre amenazas líderes en el sector. 


GuardDuty trabaja a nivel de cuenta analizando los logs:

  • AWS CloudTrail
  • VPC FlowLogs
  • AWS DNS Logs
  • EKS Audit Logs

Agentless: no es necesario el uso de agentes. 

Reconoce: 

  • Actividad maliciosa:

    • Conducta anómala y actividad inusual.
    • Escaneo de puertos intra-VPC
    • Inicios de sesión fallidos e inusuales.

  • Instancias EC2 comprometidas:

    • Mineria de criptomonedas.
    • Malware y backdoors.
    • Volumen de red alto inusual.
    • Uso de protocolos de red inusuales.
    • Comunicaciones con IP maliciosas conocidas.
    • Credenciales temporales de EC2 utilizadas desde IPs externas.
    • Exfiltración de datos mediante DNS.

  • Cuentas comprometidas:
    • Llamadas API desde localización inusual o proxy anónimo.
    • Intentos de deshabilitar AWS CloudTrail.
    • Cambios que debilitan la política de contraseñas de la cuenta. 
    • Lanzamiento y activación de infraestructura inusual en la cuenta.
    • Despliegues de infraestructura de la región no habitual.
    • Llamadas a la API desde IPs maliciosas.

Adicionalmente, se puede activar protección específica para S3, EKS, Lambda, RDS y Malware.

  • Protección de S3:
    • Análisis de logs de CloudTrail en busca de eventos de S3. 
    • Patrones sospechosos de acceso.
    • Actividad inusual en API.
    • Intentos de acceso desde IPs maliciosas.
    • Llamadas API para recuperar datos como un usuario sin historial previo.
    • Llamadas API desde una ubicación inusual.

  • Protección de EKS:
    • Análisis de EKS Audit logs Monitoring y EKS Runtime Monitoring.
    • Detección de actividades potencialmente peligrosas (EKS Audit Logs).
    • Análisis cronológico de actividades de usuarios, aplicaciones utilizando la API y del control plane, ayudando a detectar amenazas potenciales en nodos y contenedores. 

  • Protección de Malware:
    • Detecta la potencial presencia de malware escaneando volúmenes EBS (en instancias de EC2 y contenedores). 
    • Se puede especificar la protección sobre una instancia de EC2 concreta.
    • Proporciona opción para mantener los snapshots de los volúmenes EBS cuando se generar resultados de GuardDuty sobre dichos volúmenes.
    • Disponible dos tipos de escanes:
      • Bajo demanda.
      • Iniciados por GuardDuty.

  • Protección RDS:
    • Identifica intentos de acceso sospechosos o una actividad inusual sobre motores de base de datos: Amazon Aurora MySQL-Compatible Edition and Aurora PostgreSQL-Compatible Edition.

  • Protección Lambda:
    • Monitoriza los logs de actividad de Lambda (FlowLogs y registros que no utilizan redes VPC cuando se invoca la función).
    • GuardDuty monitoriza todos los logs de la actividad de red generados con la invocación de una función Lambda.

Niveles se severidad

Amazon GuardDuty proporciona tres niveles de severidad (bajo, medio y alto) para ayudar a priorizar la respuesta ante posibles amenazas:

  • Bajo: indica actividad sospechosa o maliciosa que se bloqueó antes de que comprometiera su recurso
  • Medio: indica actividad sospechosa que se desvía del patrón habitual.
  • Alto: indica que el recursos pudiera estar comprometido y se estaría utilizando de forma activa con un fin no autorizado.

Remediación

Amazon GuardDuty ofrece HTTPS APIs, CLI tools y eventos de Amazon CloudWatch para respaldar respuestas de seguridad automatizadas a los hallazgos de seguridad.

Las casuísticas son varias en función del servicio y del nivel de automatización que se considere, como ejemplo, se puede automatizar una respuesta mediante el uso de CloudWatch Events como origen de eventos para activar una función Lambda.


GuardDuty - EventBridge - Lambda - SNS

Configuración multi-account:

Se puede seleccionar una cuenta dentro de la organización en AWS para centralizar la gobernanza de GuardDuty (GuardDuty administrator account).
El resto de cuentas que necesitemos que sean inspeccionadas desde la cuenta de administración de GuardDuty pueden ser asociadas mediante: 

  • Desde AWS Organizations.
  • Mediante invitación a través de GuardDuty.

Suppressing findings

Es probable que no necesitemos ser informados de determinados hallazgos y recomendaciones de GuardDuty por diferentes motivos (hallazgos de bajo valor, falsos positivos conocidos, amenazas que no se consideran relevantes ...). Para ello, dentro de GuardDuty contamos con las "Suppression Rules", un conjunto de criterios compuestos por un filtro y un valor que permiten archivar automáticamente nuevos hallazgos que coincidan con dichos criterios. 

Cuando un nuevo hallazgo coincide con los criterios de las "Suppression Rules", dichos hallazgos son marcados como archivados y no son enviados a:

  • AWS Security Hub
  • Amazon S3
  • AWS Detective
  • CloudWatch

Los "Suppersing findings" son de especial ayuda para aliviar el nivel de ruido cuando se consume GuardDuty vía Security Hub, SIEM de terceros o cualquier herramienta de alertado y ticketing.

Los hallazgos son automáticamente archivados por 90 días, tras este periodo son eliminados. Se puede utilizar Eventbridge para enviar automáticamente dichos hallazgos a un bucket de S3 y mantenerlos por periodos de tiempo superior a los 90 días por defecto. 

Threat Lists

Las "Threat Lists" contienen información sobre direcciones IP maliciosas, dominios sospechosos, URLs dañinas y otros indicadores de compromiso.

Son mantenidas por expertos en seguridad, proveedores de inteligencia de amenazas y organizaciones de seguridad cibernética. Estas listas se actualizan regularmente para incluir nuevas amenazas conocidas y eliminar aquellas que ya no representan un riesgo significativo.

  • Estas listas son solo aplicables a direcciones IP enrutables públicamente.
  • Los efectos de una lista se aplican a todos los hallazgos de VPC Flow Log y CloudTrail, pero no se aplican a los hallazgos de DNS.
  • Máximo de 250.000 direcciones IPs y rangos CIDR por lista.

Trusted IP List

  • IPs de confianza sobre las que GuardDuty no genera hallazgos. 
  • Máximo de 2000 direcciones IPs y rangos CIDR por lista. 
  • Máximo 1 lista por cuenta y región. 

La "Thusted IP List" se procesa primero, por lo que en caso de existir la misma IP en ambas listas no se generarán hallazgos para esta IP. 

En entornos multi-account, solo los usuarios de cuentas de administrador de GuardDuty pueden cargar y administrar las listas. 

En las cuentas de la organización gestionadas por GuardDuty, se generan hallazgos basados en actividades que involucran direcciones IP maliciosas conocidas de las listas de amenazas ("Threat List") de la cuenta de administración y no se generan hallazgos basados en actividades que involucran direcciones de las listas de IP confiables ("Trusted IP List") de la cuenta de administración de GuardDuty.


en
Etiquetas: , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Mis notas sobre AWS Detective: AWS Certified Security - Specialty

Amazon Detective elimina la recopilación y análisis manual de datos. Permite a los equipos de seguridad comprender rápidamente un contexto ...