![<\/a><\/div>\nA medida que la infraestructura en la nube se convierte en la columna vertebral de las empresas modernas, garantizar la seguridad de estos entornos es primordial. Dado que AWS (Amazon Web Services) sigue siendo la nube dominante, es importante que cualquier profesional de seguridad sepa d\u00f3nde buscar se\u00f1ales de riesgo. AWS CloudTrail se destaca como una herramienta esencial para rastrear y registrar la actividad de API, proporcionando un registro completo de las acciones realizadas dentro de una cuenta de AWS. Piense en AWS CloudTrail como una auditor\u00eda o registro de eventos para todas las llamadas de API realizadas en su cuenta de AWS. Para los profesionales de seguridad, monitorear estos registros es fundamental, en particular cuando se trata de detectar un posible acceso no autorizado, como a trav\u00e9s de claves de API robadas. Estas t\u00e9cnicas y muchas otras las aprend\u00ed a trav\u00e9s de los incidentes en los que trabaj\u00e9 en AWS y que incorporamos a SIN FOR509<\/a>An\u00e1lisis forense de la nube empresarial. <\/p>\n1. Llamadas API y patrones de acceso inusuales<\/h2>\nA. Aumento repentino de las solicitudes de API<\/h3>\nUna de las primeras se\u00f1ales de una posible violaci\u00f3n de seguridad es un aumento inesperado de las solicitudes de API. CloudTrail registra cada llamada de API realizada dentro de su cuenta de AWS, incluido qui\u00e9n realiz\u00f3 la llamada, cu\u00e1ndo se realiz\u00f3 y desde d\u00f3nde. Un atacante con claves de API robadas podr\u00eda iniciar una gran cantidad de solicitudes en un corto per\u00edodo de tiempo, ya sea para sondear la cuenta en busca de informaci\u00f3n o para intentar explotar ciertos servicios.<\/p>\nQu\u00e9 buscar:<\/p>\n\nUn aumento repentino y poco com\u00fan en la actividad de la API.<\/li>\nLlamadas API desde direcciones IP inusuales, particularmente de regiones donde no operan usuarios leg\u00edtimos.<\/li>\nIntentos de acceso a una amplia variedad de servicios, especialmente si su organizaci\u00f3n no los utiliza habitualmente.<\/li>\n<\/ul>\nTenga en cuenta que el servicio de guardia (si est\u00e1 habilitado) marcar\u00e1 autom\u00e1ticamente este tipo de eventos, pero deber\u00e1 estar atento para encontrarlos. <\/p>\nB. Uso no autorizado de la cuenta ra\u00edz<\/h3>\nAWS recomienda encarecidamente evitar el uso de la cuenta ra\u00edz para las operaciones diarias debido a su alto nivel de privilegios. Cualquier acceso a la cuenta ra\u00edz, especialmente si se utilizan claves API asociadas a ella, es una se\u00f1al de alerta importante.<\/p>\nQu\u00e9 buscar:<\/p>\n\nLlamadas API realizadas con credenciales de cuenta ra\u00edz, especialmente si dicha cuenta no se utiliza habitualmente.<\/li>\nCambios en la configuraci\u00f3n a nivel de cuenta, como modificar la informaci\u00f3n de facturaci\u00f3n o las configuraciones de la cuenta.<\/li>\n<\/ul>\n2. Actividad an\u00f3mala de IAM<\/h2>\nA. Creaci\u00f3n sospechosa de claves de acceso<\/h3>\nLos atacantes pueden crear nuevas claves de acceso para establecer un acceso persistente a la cuenta comprometida. Es fundamental supervisar los registros de CloudTrail para detectar la creaci\u00f3n de nuevas claves de acceso, especialmente si estas claves se crean para cuentas que normalmente no las necesitan.<\/p>\nQu\u00e9 buscar:<\/p>\n\nCreaci\u00f3n de nuevas claves de acceso para usuarios de IAM, especialmente para aquellos que no las necesitaban antes.<\/li>\nUso inmediato de claves de acceso reci\u00e9n creadas, lo que podr\u00eda indicar que un atacante est\u00e1 probando o utilizando estas claves.<\/li>\nLlamadas API relacionadas con `CreateAccessKey`, `ListAccessKeys` y `UpdateAccessKey`.<\/li>\n<\/ul>\nC. Patrones de asunci\u00f3n de roles<\/h3>\nAWS permite a los usuarios asumir roles y les otorga credenciales temporales para tareas espec\u00edficas. Es fundamental monitorear patrones inusuales de asunci\u00f3n de roles, ya que un atacante podr\u00eda asumir roles para adaptarse al entorno.<\/p>\nQu\u00e9 buscar:<\/p>\n\nLlamadas API `AssumeRole` inusuales o frecuentes, especialmente a roles con privilegios elevados.<\/li>\nSuposiciones de roles desde direcciones IP o regiones que normalmente no est\u00e1n asociadas con sus usuarios leg\u00edtimos.<\/li>\nSupuestos de roles que son seguidos de acciones inconsistentes con las operaciones comerciales normales.<\/li>\n<\/ul>\n3. Acceso y movimiento an\u00f3malos de datos<\/h2>\nA. Acceso inusual al bucket S3<\/h3>\nAmazon S3 suele ser un objetivo para los atacantes, dado que puede almacenar grandes cantidades de datos potencialmente confidenciales. Monitorear CloudTrail para detectar accesos inusuales a los buckets de S3 es esencial para detectar claves API comprometidas.<\/p>\nQu\u00e9 buscar:<\/p>\n\nLlamadas API relacionadas con `ListBuckets`, `GetObject` o `PutObject` para dep\u00f3sitos que normalmente no ven dicha actividad.<\/li>\nDescargas o cargas de datos a gran escala hacia y desde dep\u00f3sitos S3, especialmente si ocurren fuera del horario comercial normal.<\/li>\nIntentos de acceso a dep\u00f3sitos que almacenan datos confidenciales, como copias de seguridad o archivos confidenciales.<\/li>\n<\/ul>\nB. Intentos de exfiltraci\u00f3n de datos<\/h3>\nUn atacante puede intentar sacar datos de su entorno de AWS. Los registros de CloudTrail pueden ayudar a detectar estos intentos de exfiltraci\u00f3n, especialmente si los patrones de transferencia de datos son inusuales.<\/p>\nQu\u00e9 buscar:<\/p>\n\nGrandes transferencias de datos desde servicios como S3, RDS (Relational Database Service) o DynamoDB, especialmente a direcciones IP externas o desconocidas.<\/li>\nLlamadas API relacionadas con servicios como AWS DataSync o S3 Transfer Acceleration que normalmente no se utilizan en su entorno.<\/li>\nIntenta crear o modificar configuraciones de replicaci\u00f3n de datos, como aquellas que involucran la replicaci\u00f3n entre regiones de S3.<\/li>\n<\/ul>\n4. Modificaciones inesperadas del grupo de seguridad<\/h2>\nLos grupos de seguridad controlan el tr\u00e1fico entrante y saliente a los recursos de AWS. Un atacante podr\u00eda modificar estas configuraciones para abrir vectores de ataque adicionales, como habilitar el acceso SSH desde direcciones IP externas.<\/p>\nQu\u00e9 buscar:<\/p>\n\nCambios en las reglas del grupo de seguridad que permiten el tr\u00e1fico entrante desde direcciones IP fuera de su red de confianza.<\/li>\nLlamadas API relacionadas con `AuthorizeSecurityGroupIngress` o `RevokeSecurityGroupEgress` que no se alinean con las operaciones normales.<\/li>\nCreaci\u00f3n de nuevos grupos de seguridad con reglas demasiado permisivas, como permitir todo el tr\u00e1fico entrante en puertos comunes.<\/li>\n<\/ul>\n5. Pasos para mitigar el riesgo de robo de claves API<\/h2>\nA. Hacer cumplir el principio del m\u00ednimo privilegio<\/h3>\nPara minimizar el da\u00f1o que un atacante puede causar con las claves API robadas, aplique el principio de privilegio m\u00ednimo en toda su cuenta de AWS. Aseg\u00farese de que los usuarios y roles de IAM solo tengan los permisos necesarios para realizar sus tareas.<\/p>\nB. Implementar la autenticaci\u00f3n multifactor (MFA)<\/h3>\nExigir MFA a todos los usuarios de IAM, en particular a aquellos con privilegios administrativos. Esto agrega una capa adicional de seguridad, lo que dificulta que los atacantes obtengan acceso, incluso si han robado claves API.<\/p>\nC. Rotar y auditar peri\u00f3dicamente las claves de acceso<\/h3>\nRote las claves de acceso peri\u00f3dicamente y aseg\u00farese de que est\u00e9n vinculadas a los usuarios de IAM que realmente las necesitan. Adem\u00e1s, audite el uso de las claves de acceso para asegurarse de que no se est\u00e9n utilizando de forma abusiva o desde ubicaciones inesperadas.<\/p>\nD. Habilitar y supervisar CloudTrail y GuardDuty<\/h3>\nAseg\u00farese de que CloudTrail est\u00e9 habilitado en todas las regiones y de que los registros est\u00e9n centralizados para su an\u00e1lisis. Adem\u00e1s, AWS GuardDuty puede proporcionar monitoreo en tiempo real de la actividad maliciosa, lo que ofrece otra capa de protecci\u00f3n contra credenciales comprometidas. Considere AWS Detective para tener algo de inteligencia incorporada a partir de los hallazgos. <\/p>\nE. Utilice AWS Config para supervisar el cumplimiento<\/h3>\nAWS Config se puede utilizar para supervisar el cumplimiento de las pr\u00e1cticas recomendadas de seguridad, incluido el uso adecuado de las pol\u00edticas de IAM y los grupos de seguridad. Esta herramienta puede ayudar a identificar configuraciones incorrectas que podr\u00edan dejar su cuenta vulnerable a ataques.<\/p>\nConclusi\u00f3n<\/h2>\nLa seguridad de su entorno de AWS depende de una supervisi\u00f3n atenta y de la detecci\u00f3n r\u00e1pida de anomal\u00edas en los registros de CloudTrail. Al comprender los patrones t\u00edpicos de uso leg\u00edtimo y estar alerta a las desviaciones de estos patrones, los profesionales de seguridad pueden detectar y responder a posibles infracciones, como las que implican el robo de claves de API, antes de que provoquen da\u00f1os importantes. A medida que los entornos de nube siguen evolucionando, mantener una postura proactiva en materia de seguridad es esencial para proteger los datos confidenciales y garantizar la integridad de su infraestructura de AWS. Si desea obtener m\u00e1s informaci\u00f3n sobre qu\u00e9 buscar en AWS en busca de se\u00f1ales de intrusi\u00f3n, junto con las nubes de Microsoft y Google, puede considerar mi clase PARA509<\/a> corriendo a Iniciativa de ciberdefensa SANS 2024<\/a>. Visita para509.com<\/a> Para saber m\u00e1s. <\/p>\n<\/p>\n\u00bfTe result\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> Siguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Deteccion-de-cuentas-de-AWS-comprometidas-indicadores-clave-en-los.jpg\"){kind=link}
A medida que la infraestructura en la nube se convierte en la columna vertebral de las empresas modernas, garantizar la seguridad de estos entornos es primordial. Dado que AWS (Amazon Web Services) sigue siendo la nube dominante, es importante que cualquier profesional de seguridad sepa d\u00f3nde buscar se\u00f1ales de riesgo. AWS CloudTrail se destaca como una herramienta esencial para rastrear y registrar la actividad de API, proporcionando un registro completo de las acciones realizadas dentro de una cuenta de AWS. Piense en AWS CloudTrail como una auditor\u00eda o registro de eventos para todas las llamadas de API realizadas en su cuenta de AWS. Para los profesionales de seguridad, monitorear estos registros es fundamental, en particular cuando se trata de detectar un posible acceso no autorizado, como a trav\u00e9s de claves de API robadas. Estas t\u00e9cnicas y muchas otras las aprend\u00ed a trav\u00e9s de los incidentes en los que trabaj\u00e9 en AWS y que incorporamos a SIN FOR509<\/a>An\u00e1lisis forense de la nube empresarial. <\/p>\n Una de las primeras se\u00f1ales de una posible violaci\u00f3n de seguridad es un aumento inesperado de las solicitudes de API. CloudTrail registra cada llamada de API realizada dentro de su cuenta de AWS, incluido qui\u00e9n realiz\u00f3 la llamada, cu\u00e1ndo se realiz\u00f3 y desde d\u00f3nde. Un atacante con claves de API robadas podr\u00eda iniciar una gran cantidad de solicitudes en un corto per\u00edodo de tiempo, ya sea para sondear la cuenta en busca de informaci\u00f3n o para intentar explotar ciertos servicios.<\/p>\n Qu\u00e9 buscar:<\/p>\n Tenga en cuenta que el servicio de guardia (si est\u00e1 habilitado) marcar\u00e1 autom\u00e1ticamente este tipo de eventos, pero deber\u00e1 estar atento para encontrarlos. <\/p>\n AWS recomienda encarecidamente evitar el uso de la cuenta ra\u00edz para las operaciones diarias debido a su alto nivel de privilegios. Cualquier acceso a la cuenta ra\u00edz, especialmente si se utilizan claves API asociadas a ella, es una se\u00f1al de alerta importante.<\/p>\n Qu\u00e9 buscar:<\/p>\n Los atacantes pueden crear nuevas claves de acceso para establecer un acceso persistente a la cuenta comprometida. Es fundamental supervisar los registros de CloudTrail para detectar la creaci\u00f3n de nuevas claves de acceso, especialmente si estas claves se crean para cuentas que normalmente no las necesitan.<\/p>\n Qu\u00e9 buscar:<\/p>\n AWS permite a los usuarios asumir roles y les otorga credenciales temporales para tareas espec\u00edficas. Es fundamental monitorear patrones inusuales de asunci\u00f3n de roles, ya que un atacante podr\u00eda asumir roles para adaptarse al entorno.<\/p>\n Qu\u00e9 buscar:<\/p>\n Amazon S3 suele ser un objetivo para los atacantes, dado que puede almacenar grandes cantidades de datos potencialmente confidenciales. Monitorear CloudTrail para detectar accesos inusuales a los buckets de S3 es esencial para detectar claves API comprometidas.<\/p>\n Qu\u00e9 buscar:<\/p>\n Un atacante puede intentar sacar datos de su entorno de AWS. Los registros de CloudTrail pueden ayudar a detectar estos intentos de exfiltraci\u00f3n, especialmente si los patrones de transferencia de datos son inusuales.<\/p>\n Qu\u00e9 buscar:<\/p>\n Los grupos de seguridad controlan el tr\u00e1fico entrante y saliente a los recursos de AWS. Un atacante podr\u00eda modificar estas configuraciones para abrir vectores de ataque adicionales, como habilitar el acceso SSH desde direcciones IP externas.<\/p>\n Qu\u00e9 buscar:<\/p>\n Para minimizar el da\u00f1o que un atacante puede causar con las claves API robadas, aplique el principio de privilegio m\u00ednimo en toda su cuenta de AWS. Aseg\u00farese de que los usuarios y roles de IAM solo tengan los permisos necesarios para realizar sus tareas.<\/p>\n Exigir MFA a todos los usuarios de IAM, en particular a aquellos con privilegios administrativos. Esto agrega una capa adicional de seguridad, lo que dificulta que los atacantes obtengan acceso, incluso si han robado claves API.<\/p>\n Rote las claves de acceso peri\u00f3dicamente y aseg\u00farese de que est\u00e9n vinculadas a los usuarios de IAM que realmente las necesitan. Adem\u00e1s, audite el uso de las claves de acceso para asegurarse de que no se est\u00e9n utilizando de forma abusiva o desde ubicaciones inesperadas.<\/p>\n Aseg\u00farese de que CloudTrail est\u00e9 habilitado en todas las regiones y de que los registros est\u00e9n centralizados para su an\u00e1lisis. Adem\u00e1s, AWS GuardDuty puede proporcionar monitoreo en tiempo real de la actividad maliciosa, lo que ofrece otra capa de protecci\u00f3n contra credenciales comprometidas. Considere AWS Detective para tener algo de inteligencia incorporada a partir de los hallazgos. <\/p>\n AWS Config se puede utilizar para supervisar el cumplimiento de las pr\u00e1cticas recomendadas de seguridad, incluido el uso adecuado de las pol\u00edticas de IAM y los grupos de seguridad. Esta herramienta puede ayudar a identificar configuraciones incorrectas que podr\u00edan dejar su cuenta vulnerable a ataques.<\/p>\n La seguridad de su entorno de AWS depende de una supervisi\u00f3n atenta y de la detecci\u00f3n r\u00e1pida de anomal\u00edas en los registros de CloudTrail. Al comprender los patrones t\u00edpicos de uso leg\u00edtimo y estar alerta a las desviaciones de estos patrones, los profesionales de seguridad pueden detectar y responder a posibles infracciones, como las que implican el robo de claves de API, antes de que provoquen da\u00f1os importantes. A medida que los entornos de nube siguen evolucionando, mantener una postura proactiva en materia de seguridad es esencial para proteger los datos confidenciales y garantizar la integridad de su infraestructura de AWS. Si desea obtener m\u00e1s informaci\u00f3n sobre qu\u00e9 buscar en AWS en busca de se\u00f1ales de intrusi\u00f3n, junto con las nubes de Microsoft y Google, puede considerar mi clase PARA509<\/a> corriendo a Iniciativa de ciberdefensa SANS 2024<\/a>. Visita para509.com<\/a> Para saber m\u00e1s. <\/p>\n <\/p>\n1. Llamadas API y patrones de acceso inusuales<\/h2>\n
A. Aumento repentino de las solicitudes de API<\/h3>\n
\n
B. Uso no autorizado de la cuenta ra\u00edz<\/h3>\n
\n
2. Actividad an\u00f3mala de IAM<\/h2>\n
A. Creaci\u00f3n sospechosa de claves de acceso<\/h3>\n
\n
C. Patrones de asunci\u00f3n de roles<\/h3>\n
\n
3. Acceso y movimiento an\u00f3malos de datos<\/h2>\n
A. Acceso inusual al bucket S3<\/h3>\n
\n
B. Intentos de exfiltraci\u00f3n de datos<\/h3>\n
\n
4. Modificaciones inesperadas del grupo de seguridad<\/h2>\n
\n
5. Pasos para mitigar el riesgo de robo de claves API<\/h2>\n
A. Hacer cumplir el principio del m\u00ednimo privilegio<\/h3>\n
B. Implementar la autenticaci\u00f3n multifactor (MFA)<\/h3>\n
C. Rotar y auditar peri\u00f3dicamente las claves de acceso<\/h3>\n
D. Habilitar y supervisar CloudTrail y GuardDuty<\/h3>\n
E. Utilice AWS Config para supervisar el cumplimiento<\/h3>\n
Conclusi\u00f3n<\/h2>\n