INFORMACIÓN RELEVANTE SOBRE SEGURIDAD DE CUENTAS EN AWS
ANTES
A medida que la infraestructura en la nube se convierte en la columna vertebral de las empresas modernas, garantizar la seguridad de estos entornos es primordial. Dado que AWS (Amazon Web Services) sigue siendo la nube dominante, es importante que cualquier profesional de seguridad sepa dónde buscar señales de vulneración.
Según hackernews.com este tema muy relevante y de alto interés por los expertos en seguridad y por las empresas que constantemente viven siendo atacadas. El portal presenta la siguiente información para tener en cuenta las herramientas y los signos de alarma.
AWS CloudTrail se destaca como una herramienta esencial para rastrear y registrar la actividad de API, ya que proporciona un registro completo de las acciones realizadas dentro de una cuenta de AWS.
Se puede decir que AWS CloudTrail es un registro de eventos o registro de auditoría o para todas las llamadas a API realizadas en su cuenta de AWS. Para los profesionales de seguridad, monitorear estos registros es fundamental, en particular cuando se trata de detectar un posible acceso no autorizado, como a través de claves de API robadas.
¿CÓMO DETECTAR COMPROMISO EN CUENTAS DE AWS?
- Llamadas a API inusuales y patrones de acceso
- Aumento repentino de solicitudes de API
Una de las primeras señales de una posible violación de seguridad es un aumento inesperado de las solicitudes de API. CloudTrail registra cada llamada a la API realizada dentro de su cuenta de AWS, incluido quién realizó la llamada, cuándo se realizó y desde dónde. Un atacante con claves de API robadas podría iniciar una gran cantidad de solicitudes en un corto período de tiempo, ya sea para sondear la cuenta en busca de información o para intentar explotar ciertos servicios.
Qué buscar:
- Un aumento repentino e inusual en la actividad de la API.
- Llamadas a la API desde direcciones IP inusuales, en particular desde regiones donde no operan usuarios legítimos.
- Intentos de acceso a una amplia variedad de servicios, especialmente si su organización no los usa habitualmente.
- Tenga en cuenta que Guard Duty (si está habilitado) marcará automáticamente este tipo de eventos, pero debe estar atento para encontrarlos.
- Uso no autorizado de la cuenta raíz
AWS recomienda enfáticamente evitar el uso de la cuenta raíz para las operaciones diarias debido a su alto nivel de privilegios. Cualquier acceso a la cuenta raíz, especialmente si se utilizan claves de API asociadas a ella, es una señal de alerta importante.
Qué buscar:
- Llamadas a la API realizadas con credenciales de cuenta raíz, especialmente si la cuenta raíz no se usa habitualmente.
- Cambios en la configuración a nivel de cuenta, como modificar la información de facturación o las configuraciones de la cuenta.
- Actividad IAM anómala
- Creación sospechosa de claves de acceso
Los atacantes pueden crear nuevas claves de acceso para establecer un acceso persistente a la cuenta comprometida. Es fundamental supervisar los registros de CloudTrail para detectar la creación de nuevas claves de acceso, especialmente si estas claves se crean para cuentas que normalmente no las necesitan.
Qué buscar:
- Creación de nuevas claves de acceso para usuarios de IAM, en particular aquellos que no las han necesitado antes.
- Uso inmediato de claves de acceso recién creadas, lo que podría indicar que un atacante está probando o utilizando estas claves.
- Llamadas API relacionadas con `CreateAccessKey`, `ListAccessKeys` y `UpdateAccessKey`.
- Patrones de asunción de roles
AWS permite a los usuarios asumir roles, otorgándoles credenciales temporales para tareas específicas. Es fundamental supervisar los patrones de asunción de roles inusuales, ya que un atacante podría asumir roles para cambiar de entorno.
Qué buscar:
- Llamadas API `AssumeRole` inusuales o frecuentes, especialmente a roles con privilegios elevados.
- Asunciones de roles a partir de direcciones IP o regiones que normalmente no están asociadas con sus usuarios legítimos.
- Asunciones de roles seguidas de acciones incompatibles con las operaciones comerciales normales.
- Acceso y movimiento de datos anómalos
- Acceso inusual a buckets de S3
Amazon S3 suele ser un objetivo para los atacantes, dado que puede almacenar grandes cantidades de datos potencialmente confidenciales. Monitorear CloudTrail para detectar accesos inusuales a los buckets de S3 es esencial para detectar claves API comprometidas.
Qué buscar:
- Llamadas API relacionadas con `ListBuckets`, `GetObject` o `PutObject` para buckets que normalmente no ven dicha actividad.
- Descargas o cargas de datos a gran escala hacia y desde buckets de S3, especialmente si ocurren fuera del horario comercial normal.
- Intentos de acceso a buckets que almacenan datos confidenciales, como copias de seguridad o archivos confidenciales.
- Intentos de exfiltración de datos
Un atacante puede intentar sacar datos de su entorno de AWS. Los registros de CloudTrail pueden ayudar a detectar dichos intentos de exfiltración, especialmente si los patrones de transferencia de datos son inusuales.
Qué buscar:
- Grandes transferencias de datos desde servicios como S3, RDS (Relational Database Service) o DynamoDB, especialmente a direcciones IP externas o desconocidas.
- Llamadas de API relacionadas con servicios como AWS DataSync o S3 Transfer Acceleration que no se utilizan normalmente en su entorno.
- Intentos de crear o modificar configuraciones de replicación de datos, como las que implican la replicación entre regiones de S3.
La seguridad informática no es solo una opción, sino una necesidad constante. Proteger nuestros datos es proteger nuestro futuro, y cada medida preventiva que tomamos hoy fortalece la confianza digital del mañana.
