En el panorama digital actual, alrededor 60% de los datos corporativos ahora reside en la nube, con Amazon S3 siendo la columna vertebral del almacenamiento de datos para muchas corporaciones importantes.
A pesar de que S3 es un servicio seguro de un proveedor acreditado, su papel fundamental en el manejo de grandes cantidades de datos confidenciales (información personal del cliente, datos financieros, propiedad intelectual, etc.) proporciona un objetivo jugoso para los actores de amenazas. Sigue siendo susceptible a ataques de ransomware que a menudo se inician mediante claves de acceso filtradas que han quedado expuestas accidentalmente por error humano y tienen acceso a los depósitos de la organización.
Para combatir eficazmente estas amenazas en evolución, es vital asegurarse de que su organización tenga visibilidad de su entorno S3, que sea consciente de cómo los actores de amenazas pueden comprometer los datos para pedir un rescate y, lo más importante, las mejores prácticas para minimizar el riesgo de que los ciberdelincuentes ejecuten con éxito. tal ataque.
Garantizar la visibilidad: CloudTrail y registros de acceso al servidor
La visibilidad sirve como base para cualquier estrategia de detección eficaz. En Amazon S3, casi todas las acciones se traducen en una llamada a la API, que se registran meticulosamente en CloudTrail y se documentan en la documentación de AWS.
Las dos opciones principales para registrar la actividad en los depósitos de S3 (CloudTrail Data Events y Server Access Logs) contienen una gran cantidad de información que los profesionales de la seguridad deben aprovechar para anticipar y detectar actividades sospechosas. Cada uno ofrece distintas ventajas y compensaciones:
- Eventos de datos de Cloud Trail: ofrece visibilidad de las operaciones de recursos realizadas en un recurso o dentro de él en tiempo real, pero tiene posibles implicaciones de costos debido a los altos volúmenes de llamadas a la API.
- Registros de acceso al servidor: acceso gratuito a los registros para cada solicitud realizada a su depósito S3, pero conlleva posibles retrasos en la disponibilidad de los registros y posibles registros con menos integridad.
Las ventajas y compensaciones entre los registros de acceso al servidor y los registros de AWS CloudTrial. |
Mitigar el riesgo mediante la comprensión de los escenarios de ataque
Al utilizar los registros anteriores para garantizar una visibilidad adecuada, es posible estar atento a posibles escenarios de ataque para mitigar los riesgos de forma eficaz. Hay tres escenarios de ataque principales que observamos con los ataques de ransomware S3, todos los cuales pueden impedir que una organización acceda a sus datos. A continuación se muestran los escenarios de ataque, junto con enlaces a consultas de caza que el equipo experto en caza de amenazas de Hunters’ Equipo Axón ha compartido públicamente que permiten a cualquiera buscar estos escenarios de ataque dentro de sus propios entornos:
- Cifrado de objetos: el ransomware comúnmente implica el cifrado de archivos para negarle a una organización el acceso a sus archivos, dañar las operaciones comerciales y exigir un rescate para recuperar los archivos.
- Consulta de caza: https://github.com/axon-git/threat-hunting-tools/blob/main/S3%20Ransomware/s3_ransomware_objects_encrypted_with_a_kms_key_not_owned_by_the_organization.sql
- Eliminación de objetos: operaciones de eliminación: eliminar todos los objetos de un depósito es una manera fácil para que los actores de amenazas tengan un impacto importante en las operaciones comerciales, mejorando las posibilidades de que las víctimas paguen rescates.
- Consulta de caza: https://github.com/axon-git/threat-hunting-tools/blob/main/S3%20Ransomware/s3_ransomware_unauthorized_object_deletions.sql
- Eliminación de objetos: política de ciclo de vida: una forma menos sencilla pero más silenciosa de eliminar archivos en Cloudtrail que aún ofrece altas posibilidades de recibir un rescate pagado
*Nota: Cifrado de objetos y eliminación de objetos: las operaciones de eliminación requieren habilitar los eventos de datos de Cloudtrail para los depósitos correspondientes.
Cada escenario plantea interrupciones importantes, que potencialmente impiden que las organizaciones accedan a datos críticos. Al profundizar en los permisos necesarios, las perspectivas de los atacantes y los métodos de detección para cada escenario, las organizaciones pueden prepararse de forma proactiva para posibles amenazas.
Protección y mejores prácticas
Comprender los escenarios de ataque ayuda a proporcionar un contexto sobre cómo implementar medidas proactivas para reducir significativamente la superficie de ataque. Hay varias cosas que se pueden hacer para mejorar la seguridad de los depósitos S3 frente a la amenaza del ransomware.
- Utilice roles de IAM para credenciales a corto plazo: evite el uso de claves de acceso de IAM estáticas. Si utiliza usuarios de IAM, asegúrese de habilitar la autenticación multifactor (MFA) para ellos.
- Siga el principio de privilegio mínimo: esto garantiza que los usuarios y roles solo posean los permisos necesarios para sus tareas. Además, utilice políticas de depósito para restringir el acceso a estos recursos esenciales.
- Habilite el control de versiones de S3: esto significa mantener un registro de cada versión de cada objeto almacenado en su depósito en lugar de modificarlo directamente. Esto es muy eficaz contra anulaciones o eliminaciones no autorizadas.
- Habilitar bloqueo de objetos S3: operar en un modelo de escritura una vez, lectura muchas (WORM), significa que nadie puede eliminar sus datos (los datos están “bloqueados”), lo que protege contra modificaciones durante períodos de tiempo definidos.
- Configure AWS Backup/Bucket Replication: puede ser cualquier forma de copia de seguridad que esté separada en ubicación y control de acceso de su depósito real.
- Implemente el cifrado del lado del servidor con claves de AWS KMS: esto le brinda a su organización un control específico sobre quién puede acceder a los objetos del depósito. Esto proporciona otro nivel de protección contra quién puede cifrar y descifrar objetos en su depósito.
Conclusión
A medida que los volúmenes de datos continúan aumentando, proteger Amazon S3 es primordial para proteger a millones de organizaciones contra ataques de ransomware y amenazas cibernéticas en evolución.
Priorizar las amenazas, garantizar la visibilidad a través de CloudTrail y los registros de acceso al servidor e implementar medidas proactivas son pasos esenciales para mitigar el riesgo. Al adoptar estas estrategias, las organizaciones pueden fortalecer la protección de sus depósitos S3 y garantizar la integridad y seguridad de sus datos críticos.
Para obtener un desglose más detallado de los escenarios de ataques comunes y las mejores prácticas, consulte un vídeo de inmersión profunda del Equipo Axon. Team Axon es el brazo experto en caza de amenazas del popular reemplazo SIEM Cazadoresy ofrece una respuesta rápida a las amenazas cibernéticas emergentes, experiencia cibernética bajo demanda y búsqueda proactiva de amenazas en los entornos de los clientes. Sigue al equipo Axon en X para obtener actualizaciones oportunas sobre amenazas cibernéticas emergentes y contenido cibernético de estreno.