Bulut altyapısı modern işletmelerin omurgası haline geldikçe, bu ortamların güvenliğini sağlamak çok önemlidir. AWS (Amazon Web Services) hala baskın bulut olduğundan, herhangi bir güvenlik uzmanının tehlike belirtilerini nerede arayacağını bilmesi önemlidir. AWS CloudTrail, API etkinliğini izlemek ve günlüğe kaydetmek için temel bir araç olarak öne çıkar ve bir AWS hesabında gerçekleştirilen eylemlerin kapsamlı bir kaydını sağlar. AWS CloudTrail’i, AWS hesabınızda yapılan tüm API çağrıları için bir denetim veya olay günlüğü gibi düşünün. Güvenlik uzmanları için, bu günlükleri izlemek, özellikle çalınan API anahtarları gibi olası yetkisiz erişimi tespit etme söz konusu olduğunda kritik öneme sahiptir. Bu teknikleri ve AWS’de çalıştığım olaylardan öğrendiğim ve bunları AWS’ye entegre ettiğimiz diğer birçok tekniği SANS509 İÇİNKurumsal Bulut Adli Bilişimi.
1. Sıradışı API Çağrıları ve Erişim Modelleri
A. API İsteklerinde Ani Artış
Olası bir güvenlik ihlalinin ilk belirtilerinden biri API isteklerinde beklenmeyen bir artıştır. CloudTrail, AWS hesabınızda yapılan her API çağrısını, çağrıyı kimin yaptığını, ne zaman yapıldığını ve nereden yapıldığını kaydeder. Çalınan API anahtarlarına sahip bir saldırgan, kısa bir zaman diliminde çok sayıda istek başlatabilir, hesapta bilgi arayabilir veya belirli hizmetleri istismar etmeye çalışabilir.
Nelere Dikkat Etmelisiniz:
- API aktivitesinde ani ve alışılmadık bir artış.
- Özellikle meşru kullanıcıların faaliyet göstermediği bölgelerden gelen alışılmadık IP adreslerinden gelen API çağrıları.
- Özellikle kuruluşunuz tarafından tipik olarak kullanılmayan çok çeşitli hizmetlere erişim girişimleri.
Muhafız Görevi’nin (etkinleştirilirse) bu tür olayları otomatik olarak işaretleyeceğini unutmayın, ancak bunları bulmak için dikkatli olmanız gerekir.
B. Root Hesabının Yetkisiz Kullanımı
AWS, yüksek ayrıcalık düzeyi nedeniyle günlük işlemler için kök hesabının kullanımından kesinlikle kaçınılmasını önerir. Kök hesabına herhangi bir erişim, özellikle de onunla ilişkili API anahtarları kullanılıyorsa, önemli bir kırmızı bayraktır.
Nelere Dikkat Etmelisiniz:
- Özellikle kök hesabı tipik olarak kullanılmıyorsa, kök hesap kimlik bilgileriyle yapılan API çağrıları.
- Fatura bilgilerini veya hesap yapılandırmalarını değiştirme gibi hesap düzeyindeki ayarlarda yapılan değişiklikler.
2. Anormal IAM Aktivitesi
A. Erişim Anahtarlarının Şüpheli Şekilde Oluşturulması
Saldırganlar, tehlikeye atılan hesaba kalıcı erişim sağlamak için yeni erişim anahtarları oluşturabilir. Yeni erişim anahtarlarının oluşturulması için CloudTrail günlüklerinin izlenmesi, özellikle bu anahtarlar genellikle bunlara ihtiyaç duymayan hesaplar için oluşturulmuşsa, hayati önem taşır.
Nelere Dikkat Etmelisiniz:
- Özellikle daha önce ihtiyaç duymamış olan IAM kullanıcıları için yeni erişim anahtarlarının oluşturulması.
- Yeni oluşturulan erişim anahtarlarının hemen kullanılması, bir saldırganın bu anahtarları test ettiğini veya kullandığını gösterebilir.
- `CreateAccessKey`, `ListAccessKeys` ve `UpdateAccessKey` ile ilgili API çağrıları.
C. Rol Varsayım Modelleri
AWS, kullanıcıların belirli görevler için geçici kimlik bilgileri vererek roller üstlenmelerine olanak tanır. Bir saldırganın ortam içinde dönüşmek için roller üstlenebileceği için, alışılmadık rol üstlenme kalıplarını izlemek hayati önem taşır.
Nelere Dikkat Etmelisiniz:
- Özellikle ayrıcalıkları yükseltilmiş rollere yönelik alışılmadık veya sık `AssumeRole` API çağrıları.
- Meşru kullanıcılarınızla tipik olarak ilişkilendirilmeyen IP adreslerinden veya bölgelerden gelen rol varsayımları.
- Normal iş operasyonlarıyla uyuşmayan eylemlere yol açan rol varsayımları.
3. Anormal Veri Erişimi ve Hareketi
A. Sıradışı S3 Kova Erişimi
Amazon S3, potansiyel olarak hassas verilerin büyük miktarlarını depolayabildiği için saldırganlar için sıklıkla hedeftir. S3 kovalarına olağandışı erişim için CloudTrail’i izlemek, tehlikeye atılmış API anahtarlarını tespit etmede önemlidir.
Nelere Dikkat Etmelisiniz:
- Genellikle bu tür bir aktivite görmeyen kovalar için `ListBuckets`, `GetObject` veya `PutObject` ile ilgili API çağrıları.
- Özellikle normal iş saatleri dışında gerçekleşen, S3 kovalarına veya kovalarından büyük ölçekli veri indirme veya yükleme işlemleri.
- Yedekler veya gizli dosyalar gibi hassas verilerin depolandığı kovalara erişim girişimleri.
B. Veri Sızdırma Girişimleri
Bir saldırgan, verileri AWS ortamınızdan taşımayı deneyebilir. CloudTrail günlükleri, özellikle veri aktarım kalıpları alışılmadıksa, bu tür sızdırma girişimlerini tespit etmeye yardımcı olabilir.
Nelere Dikkat Etmelisiniz:
- S3, RDS (İlişkisel Veritabanı Servisi) veya DynamoDB gibi servislerden özellikle harici veya bilinmeyen IP adreslerine yapılan büyük veri transferleri.
- Ortamınızda genellikle kullanılmayan AWS DataSync veya S3 Transfer Acceleration gibi hizmetlerle ilgili API çağrıları.
- S3 bölgeler arası çoğaltmayı içerenler gibi veri çoğaltma yapılandırmalarını oluşturma veya değiştirme girişimleri.
4. Beklenmeyen Güvenlik Grubu Değişiklikleri
Güvenlik grupları AWS kaynaklarına gelen ve giden trafiği kontrol eder. Bir saldırgan, harici IP adreslerinden SSH erişimini etkinleştirmek gibi ek saldırı vektörlerini açmak için bu ayarları değiştirebilir.
Nelere Dikkat Etmelisiniz:
- Güvenilir ağınızın dışındaki IP adreslerinden gelen trafiğe izin veren güvenlik grubu kurallarında değişiklikler.
- Normal işlemlerle uyumlu olmayan `AuthorizeSecurityGroupIngress` veya `RevokeSecurityGroupEgress` ile ilgili API çağrıları.
- Ortak portlardan gelen tüm trafiğe izin vermek gibi aşırı izin verici kurallara sahip yeni güvenlik gruplarının oluşturulması.
5. Çalınan API Anahtarlarının Riskini Azaltmaya Yönelik Adımlar
A. En Az Ayrıcalık İlkesini Uygulamak
Bir saldırganın çalınan API anahtarlarıyla verebileceği zararı en aza indirmek için AWS hesabınızda en az ayrıcalık ilkesini uygulayın. IAM kullanıcılarının ve rollerinin yalnızca görevlerini gerçekleştirmek için gerekli izinlere sahip olduğundan emin olun.
B. Çok Faktörlü Kimlik Doğrulamayı (MFA) Uygulayın
Tüm IAM kullanıcıları için, özellikle de yönetici ayrıcalıklarına sahip olanlar için MFA’yı zorunlu kılın. Bu, ek bir güvenlik katmanı ekleyerek saldırganların API anahtarlarını çalmış olsalar bile erişim sağlamasını zorlaştırır.
C. Erişim Anahtarlarını Düzenli Olarak Döndürün ve Denetleyin
Erişim anahtarlarını düzenli olarak döndürün ve bunların gerçekten ihtiyaç duyan IAM kullanıcılarına bağlı olduğundan emin olun. Ayrıca, erişim anahtarlarının kötüye kullanılmadığından veya beklenmedik yerlerden kullanılmadığından emin olmak için kullanımını denetleyin.
D. CloudTrail ve GuardDuty’yi Etkinleştirin ve İzleyin
CloudTrail’in tüm bölgelerde etkinleştirildiğinden ve günlüklerin analiz için merkezileştirildiğinden emin olun. Ek olarak, AWS GuardDuty kötü amaçlı etkinlik için gerçek zamanlı izleme sağlayabilir ve tehlikeye atılmış kimlik bilgilerine karşı başka bir koruma katmanı sunabilir. Bulguların üzerine biraz istihbarat inşa etmek için AWS Detective’i düşünün.
E. Uyumluluk İzleme için AWS Config’i kullanın
AWS Config, IAM politikalarının ve güvenlik gruplarının doğru kullanımı dahil olmak üzere güvenlik en iyi uygulamalarına uyumu izlemek için kullanılabilir. Bu araç, hesabınızı saldırılara karşı savunmasız bırakabilecek yanlış yapılandırmaları belirlemenize yardımcı olabilir.
Çözüm
AWS ortamınızın güvenliği, CloudTrail günlüklerindeki anormalliklerin dikkatli bir şekilde izlenmesine ve hızlı bir şekilde tespit edilmesine dayanır. Tipik meşru kullanım kalıplarını anlayarak ve bu kalıplardan sapmalara karşı uyanık olarak, güvenlik uzmanları çalınan API anahtarları gibi potansiyel tehlikeleri önemli bir hasara yol açmadan önce tespit edebilir ve bunlara yanıt verebilir. Bulut ortamları gelişmeye devam ettikçe, hassas verileri korumak ve AWS altyapınızın bütünlüğünü sağlamak için güvenlik konusunda proaktif bir duruş sergilemek esastır. Microsoft ve Google bulutlarıyla birlikte AWS’de izinsiz giriş belirtileri için nelere bakmanız gerektiği hakkında daha fazla bilgi edinmek istiyorsanız, sınıfımı düşünebilirsiniz İÇİN509 koşarak SANS Siber Savunma Girişimi 2024. Ziyaret etmek 509.com için Daha fazlasını öğrenmek için.