02 Dec, 2022

Стратегии за изграждане на среда за съдебно разследване на AWS

Този блог е превод на „Стратегии за среда за съдебно разследване в облака на AWS“.

Когато базовите нива на сигурност са отклонени, от решаващо значение е да реагирате бързо, да разрешите проблема и да последвате криминалистично разследване и анализ на първопричината. С предварително конфигурирана инфраструктура и практичен план за последващи действия, ако има отклонение от базовата линия, можете да извличате и извличате информацията, от която се нуждаете, за да определите въздействието, обхвата и основната причина за инцидент.Анализирайте и възобновете операциите с увереност.

Трябва да знаете „какво“, „как“, „от кого“, „къде“ и „кога“ за инцидент със сигурността своевременно. Често чуваме термина автоматизирана реакция при инциденти, което означава наличието на повтаряем и подлежащ на проверка процес за стандартизиране на разрешаването на инциденти и бързо събиране на артефакти от доказателства.

По същия начин, наличието на стандартна, необслужвана, предварително конфигурирана, повторяема и чиста криминалистична среда, която автоматично се внедрява от шаблони, помага на организациите да сведат до минимум човешкия контакт. да предпазят големите организации от заразяване, да ускорят събирането на доказателства и анализа на първопричината и да защитят целостта на криминалистичните данни. Процесът на съдебномедицински анализ помага за запазването, извличането и анализирането на данни за идентифициране на първопричината за инциденти. Този подход също така улеснява представянето и прехвърлянето на доказателства към външни юридически лица и одитори. Шаблоните на AWS CloudFormation или други инструменти за предоставяне на инфраструктура като код (IaC) помагат за постигането на тези цели и предоставят последователни, структурирани и подлежащи на одит резултати за вашия бизнес, като по този начин подобряват цялостното Ви позволява да подобрите цялостната си позиция на сигурност. Наличието на тези среди като постоянна част от вашата инфраструктура е добре документирано и доказано. И получавате шанса да обучите екипа си как да го използвате.

Този блог представя стратегии, които организациите могат да използват за преодоляване на сигурни базови отклонения. Тези стратегии използват най-добрите практики във всяка от следните теми.

По-конкретно, фокусът е върху осигуряването на среда, в която артефактите на доказателства могат да бъдат изследвани с помощта на инстанции на Amazon Elastic Compute Cloud (Amazon EC2) с инсталирани криминалистични инструменти.

Този блог също така предполага, че вече имате или сте внедрили процедура за събиране на артефакти от доказателства и че сте в състояние да прехвърлите артефакти от доказателства към акаунтите, описани тук. Ако търсите съвет как да автоматизирате събирането на артефакти, вижте Как да автоматизирате събирането на дискове в AWS.

Общ преглед на инфраструктурата

Добре архитектурната AWS среда с множество акаунти се основава на структурата, предоставена от Организациите. Тъй като компаниите растат и трябва да разширят инфраструктурата си с множество акаунти в множество AWS региони, организациите автоматично създават нови AWS акаунти с комбинация от централно управление и управление, за да осигурят контрол и стандартизация. да ви помогнат да го направите както искате. Този автоматизиран, централизиран подход трябва да се използва за създаване на криминалистична среда за разследване, описана в тази блог стратегия.

Този пример за блог използва опростена структура с отделни специализирани OU и акаунти за сигурност и криминалистика, както е показано на фигура 1. Архитектурата на вашата организация може да е различна, но стратегията е същата.

Забележка: Въпреки че може да е бързо извършването на съдебномедицински анализ в рамките на компрометиран акаунт, като изключване или избягване на достъп до компрометирани екземпляри или ресурси, такъв подход не е обхванат в тази статия.

Фигура 1: Примерен OU за криминалистика в организации на AWS

Най-важните компоненти на фигура 1 са:

OU за сигурност се използват за хостване на достъп и услуги, свързани със сигурността. OU за сигурност и свързаните акаунти в AWS трябва да бъдат притежавани и управлявани от вашата организация за сигурност.

Въпреки че OU за криминалистика може да има някои прилики и припокриващи се отговорности с OU за сигурност, то трябва да бъде отделен обект. Има няколко причини да имате отделни OU и акаунти. Криминалистичният екип може да бъде отделен екип от екипа по сигурността (или група в него), някои разследвания може да са правно обвързващи и да се добавят ограничения за достъп, за да назовем няколко важни причини. и членовете на екипа по сигурността могат да бъдат обект на разследване.

Когато мислим за организации, акаунти и разрешения, необходими за различни действия, първо трябва да се съсредоточим върху основната функционалност на организациите: SCP. SCP могат да управляват максималните налични привилегии за всички акаунти в организацията. В примера от тази статия SCP може да се използва за предоставяне на подобни или идентични политики за оторизация на всички акаунти под съдебно OU, което се използва като контейнер за ресурси. Това правило заменя всички други правила и е важен механизъм за гарантиране, че можете изрично да откажете или разрешите извикванията на API, които искате. Някои случаи на употреба за SCP ограничават деактивирането на AWS CloudTrail, ограничават достъпа на root потребител и гарантират, че всички действия, предприети в акаунт за съдебно разследване, са записани. Това ви позволява да управлявате централно отделни политики за потребители, групи или роли, за да предотвратите промени.

Достъпът до криминалистичната среда трябва да се придържа към принципа на най-малката привилегия, който гласи, че никой не може да променя или компрометира събраните доказателства. В изследователска среда отричането на всички действия с изключение на изброените като изключения е най-простият подход. Започнете с „отказ на всички“ по подразбиране и продължете към минималните привилегии, необходими за извършване на установените от вашата организация криминалистични процеси. AWS Config може да бъде ценен инструмент за проследяване на промените, направени във вашия акаунт, и предоставяне на доказателства за тези промени.

Имайте предвид, че след като бъде приложен ограничен SCP, дори root акаунтът и тези с администраторски достъп няма да имат достъп извън тази привилегия. Следователно най-добрата практика е да тествате често и проактивно, когато средата се променя. Също така не забравяйте да проверите кои принципали могат да премахнат политиката за защита, за да прехвърлите акаунта към външен субект, ако е необходимо. И накрая, създайте среди и преместете акаунти под Forensics OU, преди да бъдат приложени ограничителни разрешения.

Наличието на акаунт в AWS, посветен на криминалистични разследвания, изолира голяма организация от заплахата от заразяване от самия инцидент, гарантира независимост и защита на целостта на анализираните артефакти и гарантира поверителността на разследването. идеален за съхранение. Отделните акаунти също не позволяват на нападателите да използват всички налични ресурси в компрометиран акаунт в AWS, за да достигнат лимитите на квотата на услугата и да попречат дори на Amazon EC2 за разследване.

Наличието на акаунт за съдебно разследване във всеки регион поддържа възможностите за разследване близо до анализираните данни, намалява забавянето и избягва проблеми с регулирането на защитата на данните във всяка държава, без да прехвърля данни. Това също е добра практика. Например данните, намиращи се в ЕС, трябва да бъдат изследвани от изследователски екип в Северна Америка, но самите данни не могат да бъдат преместени, тъй като архитектурата на Северна Америка не е съвместима с GDPR. За глобални клиенти криминалистичните екипи може да са разположени на различни места по света и да имат различни процеси. По-добре е да имате съдебна сметка в региона, където се е случил инцидентът. Можем също така да предоставим целия ви акаунт на местни правни органи и одитори на трети страни, ако е необходимо. Въпреки това, ако вашата AWS инфраструктура се състои от множество региони, но само от една юрисдикция или държава, можете да имате един акаунт в един регион, който може да бъде пресъздаден и да съхранявате артефактите на доказателства във всеки регион. Споделяйки и съхранявайки от, вие имате дългосрочно управляема архитектура.

Акаунтите, създадени по автоматизиран начин с помощта на шаблони на CloudFormation или други IaC методи, могат да пресъздадат напълно нов екземпляр за съдебномедицински анализ, свободен от хора, за всяко отделно разследване и да проверят неговата цялост. Като го защитите, човешката работа преди употреба може да бъде сведена до минимум. Индивидуалният достъп трябва да се предоставя само като част от план за реагиране на инциденти със сигурността и дори тогава трябва да има минимални или никакви правомощия за промяна на средата. Средите след проучването се запазват в заключено състояние или се изтриват, създавайки свежа, девствена среда за следващото разследване, без да оставят следа от предишни артефакти. Шаблонните среди също улесняват тестването, за да се гарантира, че вашите стратегии за разследване, разрешения и инструменти работят по предназначение.

Достъп до криминалистичната инфраструктура

След като сте решили къде да поставите вашата среда за разследване, трябва да помислите кой ще има достъп и какви разрешения ще са му необходими. Екипът за криминалистично разследване може да бъде отделен екип, един и същ екип или част от екипа за реагиране на инциденти със сигурността. Като част от поддържането на минимални привилегии, трябва да предоставите точни права за достъп на групи лица, които провеждат разследвания.

Изградете среда за съдебно разследване на AWS

В зависимост от различните нужди на съдебната процедура, трябва да създадете конкретни роли, всяка от които само с необходимите привилегии. Както при SCP и други ситуации, описани тук, започнете без разрешения и добавете само разрешенията, от които се нуждаете, докато установявате и тествате шаблонна среда. Като пример можете да създадете следните роли във вашия акаунт за криминалистика:

Отговор – вземете доказателства

Изследовател – анализирайте доказателства

Администратор на данни – управление на доказателства (копиране, преместване, изтриване, изтичане)

Аналитик – достъп до криминалистични доклади за анализ, тенденции и прогнози (разузнаване на заплахи)

Препоръчително е да установите процедури за достъп за всяка роля и да ги опишете в ръководството за противодействие. Това помага да се осигури достъп с най-малко привилегии и цялост на околната среда. Например собственикът на план за реагиране на инциденти със сигурността установява процес за преглед и одобряване на заявки за достъп до средата. Съществува и метод, наречен правило на двама души. Сигналите за влизане са мярка за сигурност, която можете да добавите, за да увеличите доверието в целостта на вашата среда и да наблюдавате неоторизиран достъп.

Изследователите обикновено имат достъп само за четене до оригинални събрани артефакти, като моментни снимки на Amazon Elastic Block Store (Amazon EBS), дъмпове на паметта, регистрационни файлове или кофи на Amazon Simple Storage Service (Amazon S3). Желателно е да имате Оригиналният източник на доказателства трябва да бъде защитен. Изтриването на MFA и S3 версиите са два начина за това. Ако не е възможно да запазите оригинала неизменен, трябва да работите върху копие на копие, особено ако нещо се промени в артефакта. Повече за това по-долу.

Доказателствата трябва да бъдат достъпни само за тези роли, които абсолютно изискват достъп, т.е. следователи и мениджъри на данни. За да се предотврати възможността потенциални вътрешни заплахи да научат за разследването, достъпът за четене също трябва да бъде отказан на всеки, различен от ролята на достъп и анализ на доказателствата.

Защита на целостта на вашата криминалистична инфраструктура

След като установите вашата организация, структура на акаунта и роли, трябва да определите най-добрата стратегия в самия акаунт. Анализът на събраните артефакти може да се извърши с инструменти за съдебномедицински анализ, хоствани в EC2 инстанции, в идеалния случай в рамките на специален Amazon VPC в съдебномедицинския акаунт. Този Amazon VPC трябва да бъде конфигуриран със същия рестриктивен подход както преди, да бъде напълно изолиран и подлежащ на проверка и да разполага с единствените ресурси, посветени на съдебната задача.

Това предполага възможност подмрежите на Amazon VPC да нямат интернет шлюзове и следователно целият достъп до S3 трябва да се извършва през крайната точка на S3 VPC. VPC Flow Logs трябва да бъдат активирани на ниво Amazon VPC, за да записват целия мрежов трафик. Групата за сигурност трябва да бъде строго ограничителна и трябва да отказва всички портове, които не отговарят на изискванията на криминалистичните инструменти. Достъпът до SSH и RDP трябва да бъде ограничен и контролиран от механизъм, който може да се проверява, като бастионен хост, конфигуриран да регистрира всички връзки и активност, AWS Systems Manager Session Manager.

Ако искате да използвате Systems Manager Session Manager, който има графичен интерфейс, можете да получите достъп до него чрез RDP или други методи. Командите и отговорите, изпълнени с помощта на диспечера на сесиите, могат да бъдат регистрирани в Amazon CloudWatch и S3 кофи. Това позволява одит на всички команди, изпълнени на инстанции на Amazon EC2 за съдебни инструменти. Също така е възможно да се ограничат администраторските привилегии, ако е необходимо. Можете също така да конфигурирате да получавате известия от Amazon Simple Notification Service (Amazon SNS), когато се стартират нови сесии.

Като се има предвид, че екземплярите на Amazon EC2, предназначени за криминалистика, може да нямат директен достъп до интернет, ние предварително конфигурираме стандартизирани Amazon Machine Images (AMI) с набор от правилно инсталирани и актуализирани инструменти за анализ. Може да се наложи да създадете процес за разгръщане. За този процес се прилагат няколко най-добри практики. Операционната система на AMI трябва да бъде заздравена, за да се намали уязвимата зона. Вие правите това, като започнете с одобрен образ на ОС, като например AMI, предоставен от AWS, или такъв, който създавате и управлявате сами.

След това премахнете ненужните програми, пакети, библиотеки и други компоненти. Уверете се, че всички актуализации и корекции са приложени, включително корекции за сигурност. Настройването на базирани на хост защитни стени и инструменти за откриване на проникване също е добра предпазна мярка. Освен това се уверете, че прикачените дискове винаги са криптирани.

Ако вашата операционна система се поддържа, препоръчваме да използвате EC2 Image Builder, за да създадете златно изображение. Златните изображения трябва да се актуализират чрез повторно изграждане поне веднъж месечно, за да са в крак с корекциите и функциите за сигурност. Комбинирането на EC2 Image Builder с други инструменти може да улесни процеса на втвърдяване, например като позволи създаването на автоматизирани тръбопроводи, които генерират AMI, втвърдени с CIS (Център за интернет сигурност) бенчмаркове. Ако не искате да поддържате свой собствен засилен имидж, можете да намерите CIS Benchmark AMI на AWS Marketplace.

Също така ще трябва да изберете правилния тип екземпляр на EC2, като имате предвид инфраструктурните изисквания на вашите криминалистични инструменти (минимален процесор, памет, съхранение, мрежови изисквания и т.н.). Има много различни типове екземпляри, но въз основа на вашите минимални изисквания и очаквано натоварване, трябва да сте сигурни, че можете да постигнете правилния баланс между цена и производителност.

Целта на тази среда е да предостави средства за събиране на доказателства, провеждане на цялостно разследване и ефективно връщане към безопасни операции. Събирането на доказателства се извършва най-добре чрез стратегията за автоматизация, описана в публикацията в блога Как да автоматизирате реакцията при инциденти в облака на AWS за екземпляри на EC2. По време на процеса на събиране на доказателства е силно препоръчително доказателствата да бъдат хеширани веднага след получаването им. Хешът и по този начин самото доказателство може да бъде проверено след последващо прехвърляне или достъп, като се гарантира запазването на целостта на доказателството. Запазването на оригиналните доказателства е много важно, ако се предприемат правни действия. Доказателствата и артефактите включват, но не се ограничават до:

Достъпът до горните регистрационни файлове на контролната равнина, като например регистрационните файлове на CloudTrail, може да се извърши по един от двата начина: В идеалния случай регистрационните файлове трябва да се намират на централно място и да бъдат достъпни само за четене за разследване, ако е необходимо. Въпреки това, ако не е централизиран, можете да дадете достъп за четене на оригиналните регистрационни файлове в изходния акаунт, ако е необходимо. Може да е необходим достъп за четене до регистрационни файлове на конкретни услуги, открити във вашия акаунт за сигурност, като AWS Config, Amazon GuardDuty, Security Hub и Amazon Detective, за да се съпоставят доказателства и индикатори за компрометиране, открити по време на анализа. Както споменахме по-рано, наличието на неизменни версии на всички доказателства е от съществено значение. Това може да бъде постигнато по различни начини, без да се ограничава до примерите по-долу.

  • Ръчно заснети томове на Amazon EBS
  • Артефакти, като изхвърляния на паметта, съхранени в кофи S3
  • Дискови томове
  • CloudTrail:
  • AWS Инвентаризация на системния мениджър
  • Конфигурационни данни на AWS

    • Забележка: Услугите на AWS като KMS могат да помогнат за активиране на криптиране. KMS е интегриран с услугите на AWS, за да опрости ключовите операции за криптиране на данни в работните натоварвания на AWS.

    Като примерен случай на използване за споделяне на Amazon EBS диск като доказателство за криминалистичен акаунт, Фигура 2 по-долу показва кофата и структурата на папките на опростена кофа S3, използвана за съхраняване и работа с доказателства.

    Фигура 2 показва структурата на контейнера S3 на съдебния акаунт. Създават се кофа и папка S3 за съхранение на входящи данни (напр. от Amazon EBS дискове), които се предават поточно към Входящи данни > Артефакти на доказателства с помощта на dc3dd. След това данните се копират от там в папка в друга кофа ( Активно разследване > Основна директория > Извлечени артефакти ) и се анализират с инструменти, инсталирани на съдебни инстанции на Amazon EC2. Също така под Активно разследване има папка за бележки за разследване, създадени по време на анализа (Бележки за разследване), и папка за окончателния доклад (Доклад за разследване), описан в края на тази публикация в блога. И накрая, кофи и папки за правни трюми. Това е мястото, където се поставят ключалки на обекти, за да държат доказателствени артефакти в определена версия.

    Фигура 2: Структура на кофа S3 на криминалистичен акаунт

    Неща, които трябва да имате предвид

    Накрая, в зависимост от сериозността на инцидента, вашата локална мрежа и инфраструктура също може да са изложени на риск. Наличието на алтернативна среда, налична за служителите по сигурността, за да се подготвят за подобни ситуации, може да намали риска от невъзможност да реагират при спешни случаи. Услуги като Amazon Workspaces са напълно управлявани, постоянни услуги за виртуализация на настолни компютри, които предоставят изолирана, готова за използване среда, в която отговарящите имат достъп до инструменти за цифрова криминалистика и обвинения, за да изпълняват задачите си.

    Освен инструментите за изследване, комуникационните услуги са едни от най-важните за координиране на отговорите. С Amazon WorkMail и Amazon Chime можем да предложим тази възможност извън нашите редовни канали.

    Резюме

    Целта на всяко криминалистично разследване е да предостави окончателен доклад, подкрепен с доказателства. Това включва до какво е осъществен достъп, кой е осъществил достъп до него, как е осъществен достъп до него и дали данните са били разкрити. Този доклад може да се изисква в правни ситуации, като криминални или граждански разследвания, или ситуации, изискващи известие за нарушение. Необходимо е предварително да се определи какви резултати са необходими, за да се изгради подходящ отговор и процес на докладване за всяка ситуация. Анализът на първопричината е от съществено значение за предоставяне на необходимата информация за подготовка на ресурсите и средата за предотвратяване на подобни инциденти в бъдеще. Докладът трябва да включва не само анализа на първопричината, но и методите, процедурите и инструментите, използвани за извеждане на заключения.

    Тази публикация ви показа как да започнете да създавате и поддържате криминалистична среда, така че вашият екип да може да използва услугите на AWS за извършване на разширени разследвания за разрешаване на инциденти. Чрез прилагане на основата на криминалистична среда, както е описано по-горе, автоматизираното събиране на дискове може да се използва за започване на повторение на функциите за криминалистично събиране на данни, за да се подготви за събития, свързани със сигурността.

    Кажете ни какво мислите за тази статия в секцията за коментари по-долу. Ако имате въпроси относно този блог, моля, отворете нова тема в някой от форумите за сигурност, идентичност и съответствие на AWS или се свържете с поддръжката на AWS.

    Следвайте ни в Twitter за повече инструкции за AWS Security, новини и съобщения за функции.

    Преводът беше обработен от архитекта на решения Kodai Sato. Ето оригинала.

    Prev Next