02 Dec, 2022

Strategie pro budování prostředí forenzního vyšetřování na AWS

Tento blog je překladem „Strategie prostředí forenzního vyšetřování v cloudu AWS“.

Pokud dojde k odchýlení od bezpečnostních základních linií, je důležité rychle reagovat, vyřešit problém a následně provést forenzní vyšetřování a analýzu hlavních příčin. S předem nakonfigurovanou infrastrukturou a praktickým plánem pro následná opatření, pokud dojde k odchylce od základní linie, můžete extrahovat a extrahovat informace, které potřebujete k určení dopadu, rozsahu a hlavní příčiny incidentu. Analyzujte a obnovujte operace s jistotou .

Potřebujete včas vědět „co“, „jak“, „kým“, „kde“ a „kdy“ bezpečnostního incidentu. Často slýcháme termín automatizovaná reakce na incidenty, což znamená mít opakovatelný a auditovatelný proces pro standardizaci řešení incidentů a rychlé shromažďování artefaktů důkazů.

Podobně platí, že standardní, bezobslužné, předem nakonfigurované, opakovatelné a čisté forenzní prostředí, které se automaticky nasazuje pomocí šablon, pomáhá organizacím minimalizovat lidský kontakt. Udržet velké organizace mimo kontaminaci, urychlit shromažďování důkazů a analýzu hlavních příčin a chránit integrita forenzních dat. Proces forenzní analýzy pomáhá uchovávat, získávat a analyzovat data za účelem identifikace hlavní příčiny incidentů. Tento přístup rovněž usnadňuje předkládání a předávání důkazů externím právnickým osobám a auditorům. Šablony AWS CloudFormation nebo jiné nástroje pro zřizování Infrastructure as Code (IaC) pomáhají dosáhnout těchto cílů a poskytují konzistentní, strukturované a auditovatelné výsledky pro vaše podnikání, čímž celkově zlepšují Umožňuje vám zlepšit celkovou pozici zabezpečení. Mít tato prostředí jako trvalou součást vaší infrastruktury je dobře zdokumentováno a prokázáno. A máte šanci vyškolit svůj tým, jak to používat.

Tento blog představuje strategie, které mohou organizace použít k řešení bezpečných odchylek od základní linie. Tyto strategie využívají osvědčené postupy v každém z následujících témat.

Konkrétně se zaměřujeme na poskytování prostředí, ve kterém lze zkoumat artefakty důkazů pomocí instancí Amazon Elastic Compute Cloud (Amazon EC2) s nainstalovanými forenzními nástroji.

Tento blog také předpokládá, že již máte nebo jste implementovali postup pro shromažďování artefaktů důkazů a že jste schopni převést artefakty důkazů na účty popsané zde. Pokud hledáte radu, jak automatizovat shromažďování artefaktů, přečtěte si článek Jak automatizovat shromažďování disků v AWS.

Přehled infrastruktury

Dobře navržené prostředí AWS pro více účtů je založeno na struktuře poskytované organizacemi. Jak společnosti rostou a potřebují rozšířit svou infrastrukturu o více účtů ve více oblastech AWS, organizace automaticky vytvářejí nové účty AWS s kombinací centrální správy a správy, aby byla zajištěna kontrola a standardizace. Pomohou vám to udělat tak, jak chcete. Tento automatizovaný centralizovaný přístup by měl být použit k vytvoření forenzního vyšetřovacího prostředí popsaného v této blogové strategii.

Tento příklad blogu používá zjednodušenou strukturu se samostatnými vyhrazenými organizačními jednotkami a zodpovídá za zabezpečení a forenzní, jak je znázorněno na obrázku 1. Architektura vaší organizace se může lišit, ale strategie je stejná.

Poznámka: I když může být rychlé provést forenzní analýzu v rámci kompromitovaného účtu, jako je vypnutí nebo zamezení přístupu ke kompromitovaným instancím nebo zdrojům, tento přístup není zahrnut v tomto článku.

Obrázek 1: Příklad forenzní organizační jednotky v organizacích AWS

Nejdůležitější součásti na obrázku 1 jsou:

Bezpečnostní organizační jednotky se používají k hostování přístupu a služeb souvisejících se zabezpečením. Bezpečnostní organizační jednotky a související účty AWS musí vlastnit a spravovat vaše bezpečnostní organizace.

Ačkoli forenzní organizační jednotka může mít určité podobnosti a překrývající se povinnosti s organizační jednotkou zabezpečení, měla by být samostatnou entitou. Existuje několik důvodů, proč mít samostatné organizační jednotky a účty. Forenzní tým může být oddělený tým od bezpečnostního týmu (nebo skupiny v něm), některá vyšetřování mohou být právně závazná a mohou být přidána omezení přístupu, abychom jmenovali několik důležitých důvodů, a členové bezpečnostního týmu mohou být předmětem vyšetřování.

Když přemýšlíme o organizacích, účtech a oprávněních vyžadovaných pro různé akce, měli bychom se nejprve zaměřit na základní funkce organizací: SCP. SCP mohou řídit maximální dostupná oprávnění pro všechny účty v rámci organizace. V příkladu tohoto článku lze SCP použít k poskytování podobných nebo identických zásad autorizace všem účtům pod forenzní organizační jednotkou, která se používá jako kontejner zdrojů. Tato zásada má přednost před všemi ostatními zásadami a je důležitým mechanismem pro zajištění toho, že můžete explicitně odmítnout nebo povolit požadovaná volání rozhraní API. Některé případy použití pro SCP omezují deaktivaci AWS CloudTrail, omezují přístup uživatelů root a zajišťují, aby byly zaznamenány všechny akce provedené v účtu forenzního vyšetřování. To vám umožní centrálně spravovat jednotlivé zásady pro uživatele, skupiny nebo role, abyste zabránili změnám.

Přístup do forenzního prostředí by měl dodržovat zásadu nejmenšího privilegia, která říká, že nikdo nemůže pozměňovat nebo kompromitovat shromážděné důkazy. Ve výzkumném prostředí je odmítnutí všech akcí kromě těch, které jsou uvedeny jako výjimky, nejjednodušším přístupem. Začněte s výchozím „zakázat vše“ a postupujte směrem k minimálním oprávněním požadovaným k provádění forenzních procesů zavedených vaší organizací. AWS Config může být cenným nástrojem pro sledování změn provedených ve vašem účtu a poskytování důkazů o těchto změnách.

Mějte na paměti, že jakmile je použito omezené SCP, ani účet root a uživatelé s přístupem správce nebudou mít přístup nad rámec tohoto oprávnění. Proto je osvědčeným postupem testovat často a proaktivně, jak se mění prostředí. Nezapomeňte si také ověřit, kteří zmocněnci mohou v případě potřeby odstranit zásady ochrany, aby mohli převést účet na externí subjekt. Nakonec vytvořte prostředí a přesuňte účty pod organizační jednotku Forensics, než budou aplikována omezující oprávnění.

Mít účet AWS určený pro forenzní vyšetřování izoluje velkou organizaci před hrozbou kontaminace ze samotného incidentu, zajišťuje nezávislost a ochranu integrity analyzovaných artefaktů a zajišťuje důvěrnost vyšetřování. Ideální pro uchování. Oddělené účty také zabraňují útočníkům využívat všechny dostupné zdroje v kompromitovaném účtu AWS k dosažení limitů kvót služeb a dokonce zabránit vyšetřování Amazon EC2.

Mít forenzní vyšetřovací účet v každé oblasti udržuje vyšetřovací schopnosti blízko analyzovaným datům, snižuje latenci a vyhnete se problémům s regulací ochrany dat v každé zemi, aniž byste data přenášeli. Je to také dobrá praxe. Například data umístěná v EU musí prozkoumat výzkumný tým v Severní Americe, ale samotná data nelze přesunout, protože severoamerická architektura není v souladu s GDPR. Pro globální zákazníky mohou být forenzní týmy umístěny na různých místech po celém světě a mít různé procesy. Je lepší mít forenzní účet v regionu, kde k incidentu došlo. V případě potřeby můžeme také poskytnout celý váš účet místním právním orgánům a auditorům třetích stran. To znamená, že pokud se vaše infrastruktura AWS skládá z více regionů, ale pouze z jedné jurisdikce nebo země, můžete mít jeden účet v jednom regionu, který lze znovu vytvořit a uchovávat artefakty důkazů v každém regionu. Sdílení a ukládání z , máte dlouhou - termínově ovladatelná architektura.

Účty vytvořené automatizovaným způsobem pomocí šablon CloudFormation nebo jiných metod IaC mohou pro každé jednotlivé vyšetřování znovu vytvořit zcela novou instanci forenzní analýzy bez použití člověka a ověřit její integritu. Jejím zabezpečením lze minimalizovat lidskou práci před použitím. Individuální přístup by měl být udělen pouze jako součást plánu reakce na bezpečnostní incidenty, ai tak by měla existovat minimální nebo žádná pravomoc upravovat prostředí. Prostředí po průzkumu jsou uložena v uzamčeném stavu nebo smazána, čímž se vytvoří nové, nedotčené prostředí pro další vyšetřování, které nezanechá žádné stopy po předchozích artefaktech. Šablonová prostředí také usnadňují testování, aby bylo zajištěno, že vaše vyšetřovací strategie, oprávnění a nástroje fungují tak, jak mají.

Přístup k forenzní infrastruktuře

Jakmile se rozhodnete, kam umístit své investigativní prostředí, musíte zvážit, kdo bude mít přístup a jaká oprávnění bude potřebovat. Forenzní vyšetřovací tým může být samostatný tým, stejný tým nebo část týmu pro reakci na bezpečnostní incidenty. V rámci zachování nejmenších privilegií musíme poskytnout přesná přístupová práva skupinám jednotlivců provádějících vyšetřování.

Opatření pro vybudování prostředí forenzního vyšetřování na AWS

V závislosti na různých potřebách forenzního postupu byste měli vytvořit konkrétní role, z nichž každá bude mít pouze požadovaná oprávnění. Stejně jako u SCP a dalších zde popsaných situací začněte bez oprávnění a přidejte pouze oprávnění, která potřebujete při vytváření a testování prostředí podle šablony. V rámci svého forenzního účtu můžete například vytvořit následující role:

Responder – Získejte důkazy

Vyšetřovatel – analyzujte důkazy

Správce dat – správa důkazů (kopírování, přesun, mazání, vypršení platnosti)

Analytik – přístup k forenzním zprávám pro analýzu, trendy a předpovědi (informace o hrozbách)

Doporučujeme vytvořit postupy přístupu pro každou roli a popsat je v příručce protiopatření. To pomáhá zajistit nejméně privilegovaný přístup a integritu životního prostředí. Vlastník plánu odezvy na bezpečnostní incidenty například zavede proces kontroly a schvalování žádostí o přístup do prostředí. Existuje také metoda zvaná pravidlo dvou osob. Upozornění na přihlášení jsou bezpečnostní opatření, které lze přidat ke zvýšení důvěry v integritu vašeho prostředí a sledování neoprávněného přístupu.

Vyšetřovatelé mají obvykle přístup pouze pro čtení k původním shromážděným artefaktům, jako jsou snímky Amazon Elastic Block Store (Amazon EBS), výpisy paměti, protokoly nebo kbelíky služby Amazon Simple Storage Service (Amazon S3). Původní zdroj důkazů by měl být chráněn. Odstranění MFA a verzování S3 jsou dva způsoby, jak toho dosáhnout. Pokud není možné ponechat originál neměnný, měli byste pracovat na kopii kopie, zvláště pokud se na artefaktu něco změní. Více o tom níže.

Důkazy by měly být přístupné pouze těm rolím, které přístup nezbytně vyžadují, tj. vyšetřovatelům a správcům dat. Aby se zabránilo potenciálním hrozbám zevnitř, aby se dozvěděli o vyšetřování, měl by být přístup pro čtení odepřen také komukoli jinému, než je role, která přistupuje k důkazům a analyzuje je.

Ochrana integrity vaší forenzní infrastruktury

Jakmile vytvoříte organizaci, strukturu účtu a role, musíte určit nejlepší strategii v rámci samotného účtu. Analýzu shromážděných artefaktů lze provádět pomocí nástrojů forenzní analýzy hostovaných na instancích EC2, ideálně v rámci vyhrazeného Amazon VPC ve forenzním účtu. Toto Amazon VPC by mělo být nakonfigurováno se stejným restriktivním přístupem jako dříve, mělo by být zcela izolované a auditovatelné a mělo by mít po ruce jediné zdroje vyhrazené pro forenzní úkol.

To naznačuje možnost, že podsítě Amazon VPC nemají internetové brány, a proto musí být veškerý přístup S3 prováděn přes koncový bod S3 VPC. Protokoly toku VPC musí být povoleny na úrovni Amazon VPC, aby bylo možné zaznamenávat veškerý síťový provoz. Bezpečnostní skupina by měla být přísně restriktivní a měla by zakázat všechny porty, které nejsou relevantní pro požadavky forenzních nástrojů. Přístup k SSH a RDP by měl být omezen a řízen kontrolovatelným mechanismem, jako je hostitel bastion nakonfigurovaný pro protokolování všech připojení a aktivit, AWS Systems Manager Session Manager.

Pokud chcete používat Systems Manager Session Manager, který má grafické rozhraní, stále k němu můžete přistupovat prostřednictvím RDP nebo jiných metod. Příkazy a odpovědi prováděné pomocí Session Manager lze protokolovat do bucketů Amazon CloudWatch a S3. To umožňuje auditování všech příkazů prováděných na instancích Amazon EC2 pro forenzní nástroje. Je také možné omezit oprávnění správce podle potřeby. Můžete také nakonfigurovat příjem upozornění Amazon Simple Notification Service (Amazon SNS) při zahájení nových relací.

Vzhledem k tomu, že instance Amazon EC2 věnované forenznímu výzkumu nemusí mít přímý přístup k internetu, předkonfigurujeme standardizované Amazon Machine Images (AMI) se sadou správně nainstalovaných a aktualizovaných nástrojů pro analýzu. Možná budete muset vytvořit proces rozmístit. Na tento proces se vztahuje několik osvědčených postupů. Operační systém AMI by měl být zesílen, aby se snížila zranitelná oblast. Uděláte to tak, že začnete se schváleným obrazem operačního systému, jako je AMI poskytovaný AWS nebo ten, který vytvoříte a spravujete sami.

Dále odstraňte nepotřebné programy, balíčky, knihovny a další součásti. Ujistěte se, že jsou použity všechny aktualizace a opravy, včetně oprav zabezpečení. Dobrým preventivním opatřením je také nastavení hostitelských firewallů a nástrojů pro detekci narušení. Kromě toho zajistěte, aby byly připojené disky vždy zašifrovány.

Pokud je váš operační systém podporován, doporučujeme k vytvoření zlatého obrazu použít EC2 Image Builder. Zlaté obrázky by měly být aktualizovány přestavbou alespoň měsíčně, aby byly aktuální s bezpečnostními záplatami a funkcemi. Kombinace EC2 Image Builder s dalšími nástroji může usnadnit proces zpevnění tím, že umožní vytvoření automatizovaných kanálů, které generují AMI zesílené například pomocí benchmarků CIS (Center for Internet Security). Pokud si nechcete udržovat svou vlastní posílenou image, můžete CIS Benchmark AMI najít na AWS Marketplace.

Budete také muset vybrat správný typ instance EC2 s ohledem na požadavky na infrastrukturu forenzního nástroje (minimální CPU, paměť, úložiště, požadavky na síť atd.). Existuje mnoho různých typů instancí, ale na základě vašich minimálních požadavků a očekávané zátěže se musíte ujistit, že můžete dosáhnout správné rovnováhy mezi náklady a výkonem.

Cílem tohoto prostředí je poskytnout prostředky pro shromažďování důkazů, provádění komplexního vyšetřování a efektivní návrat k bezpečnému provozu. Shromažďování důkazů se nejlépe provádí pomocí strategie automatizace popsané v blogovém příspěvku Jak automatizovat reakci na incidenty v AWS Cloud pro instance EC2. Během procesu shromažďování důkazů se důrazně doporučuje, aby byly důkazy hashovány, jakmile jsou získány. Hash, a tím i samotný důkaz, lze ověřit po následném přenosu nebo zpřístupnění, což zajistí zachování integrity důkazu. Uchování původních důkazů je velmi důležité, pokud jsou podniknuty právní kroky. Důkazy a artefakty zahrnují, ale nejsou omezeny na:

Přístup k výše uvedeným protokolům řídicí roviny, jako jsou protokoly CloudTrail, lze provést jedním ze dvou způsobů: V ideálním případě by měly být protokoly umístěny na centrálním místě a měly by být přístupné pouze pro čtení pro účely vyšetřování podle potřeby. Pokud však nejsou centralizované, můžete v případě potřeby udělit přístup pro čtení k původním protokolům ve zdrojovém účtu. Přístup pro čtení ke konkrétním protokolům služeb nalezeným v rámci vašeho bezpečnostního účtu, jako je AWS Config, Amazon GuardDuty, Security Hub a Amazon Detective, může být vyžadován ke korelaci důkazů a indikátorů kompromitace zjištěných během analýzy. Jak již bylo zmíněno, je nezbytné mít neměnné verze všech důkazů. Toho lze dosáhnout různými způsoby, které nejsou omezeny na níže uvedené příklady.

  • Ručně zachycené svazky Amazon EBS
  • Artefakty, jako jsou výpisy paměti uložené v segmentech S3
  • Svazky disků
  • CloudTrail:
  • AWS Inventář Systems Manager
  • Konfigurační data AWS

    • Poznámka: Služby AWS, jako je KMS, mohou pomoci povolit šifrování. KMS je integrován se službami AWS, aby se zjednodušily klíčové operace pro šifrování dat napříč pracovní zátěží AWS.

    Jako příklad použití pro sdílení disku Amazon EBS jako důkazu pro forenzní účet je na obrázku 2 níže znázorněna struktura a struktura složek zjednodušeného bucketu S3 používaného k ukládání a práci s důkazy.

    Obrázek 2 ukazuje strukturu segmentu S3 forenzního účtu. Jsou vytvořeny kbelík a složka S3 pro uložení příchozích dat (např. z disku Amazon EBS), která jsou streamována do Incoming Data > Evidence Artifacts pomocí dc3dd. Data jsou odtud zkopírována do složky v jiném kbelíku ( Active Investigation > Root Directory > Extrahované artefakty ) a analyzována pomocí nástrojů nainstalovaných na forenzních instancích Amazon EC2. V části Active Investigation je také složka pro vyšetřovací poznámky vytvořené během analýzy (Investigation Notes) a složka pro závěrečnou zprávu (Investigation Report) popsaná na konci tohoto blogového příspěvku. Konečně, kbelíky a složky pro právní blokování. Zde jsou umístěny zámky objektů, aby držely artefakty důkazů v konkrétní verzi.

    Obrázek 2: Struktura segmentu S3 forenzního účtu

    Co je třeba zvážit

    V závislosti na závažnosti incidentu může být ohrožena také vaše místní síť a infrastruktura. Mít k dispozici alternativní prostředí pro bezpečnostní pracovníky, aby se na takové situace připravili, může snížit riziko neschopnosti reagovat v případě nouze. Služby, jako je Amazon Workspaces, jsou plně spravované, trvalé služby virtualizace desktopů, které poskytují izolované prostředí připravené k použití, ve kterém mají respondenti přístup k digitálním forenzním nástrojům a nástrojům pro obžalobu, aby mohli vykonávat své úkoly.

    Kromě výzkumných nástrojů jsou komunikační služby jednou z nejdůležitějších pro koordinaci reakcí. S Amazon WorkMail a Amazon Chime můžeme tuto funkci nabídnout mimo naše běžné kanály.

    Shrnutí

    Cílem jakéhokoli forenzního vyšetřování je předložit závěrečnou zprávu podloženou důkazy. To zahrnuje, k čemu bylo přistupováno, kdo k nim přistupoval, jak k nim bylo přistupováno a zda byla data vystavena. Tato zpráva může být vyžadována v právních situacích, jako jsou trestní nebo občanskoprávní vyšetřování nebo situace vyžadující upozornění na porušení. Je nutné předem určit, jaké výstupy jsou požadovány, aby bylo možné vybudovat vhodnou reakci a proces podávání zpráv pro každou situaci. Analýza hlavní příčiny je nezbytná pro poskytování nezbytných informací pro přípravu zdrojů a prostředí, aby se předešlo podobným incidentům v budoucnu. Zpráva by měla obsahovat nejen analýzu hlavních příčin, ale také metody, postupy a nástroje použité k vyvození závěrů.

    Tento příspěvek vám ukázal, jak začít vytvářet a udržovat forenzní prostředí, aby váš tým mohl používat služby AWS k provádění pokročilých vyšetřování řešení incidentů. Implementací základu forenzního prostředí, jak je popsáno výše, lze použít automatizované shromažďování disků k zahájení iterace funkcí shromažďování forenzních dat za účelem přípravy na bezpečnostní události.

    Dejte nám vědět, co si o tomto článku myslíte v sekci komentářů níže. Máte-li jakékoli dotazy k tomuto blogu, otevřete nové vlákno na jednom z fór AWS Security, Identity a Compliance nebo kontaktujte podporu AWS.

    Sledujte nás na Twitteru pro další návody, novinky a oznámení funkcí AWS Security.

    O překlad se postaral Solution Architect Kodai Sato. Tady je originál.

    Předchozí Další