L’infrastructure cloud devenant l’épine dorsale des entreprises modernes, il est primordial de garantir la sécurité de ces environnements. AWS (Amazon Web Services) étant toujours le cloud dominant, il est important pour tout professionnel de la sécurité de savoir où chercher des signes de compromission. AWS CloudTrail se distingue comme un outil essentiel pour le suivi et la journalisation de l’activité des API, fournissant un enregistrement complet des actions effectuées au sein d’un compte AWS. Considérez AWS CloudTrail comme un journal d’audit ou d’événements pour tous les appels d’API effectués dans votre compte AWS. Pour les professionnels de la sécurité, la surveillance de ces journaux est essentielle, en particulier lorsqu’il s’agit de détecter d’éventuels accès non autorisés, par exemple via des clés d’API volées. Ces techniques et bien d’autres, je les ai apprises au cours des incidents sur lesquels j’ai travaillé chez AWS et que nous avons intégrées dans AWS CloudTrail. SANS POUR 509Forensics dans le Cloud d’entreprise.
1. Appels d’API et modèles d’accès inhabituels
A. Augmentation soudaine des demandes d’API
L’un des premiers signes d’une faille de sécurité potentielle est une augmentation inattendue des requêtes API. CloudTrail enregistre chaque appel API effectué dans votre compte AWS, y compris la personne qui a effectué l’appel, la date et l’origine de l’appel. Un attaquant disposant de clés API volées peut lancer un grand nombre de requêtes dans un court laps de temps, soit en sondant le compte pour obtenir des informations, soit en tentant d’exploiter certains services.
Que rechercher :
- Une augmentation soudaine et inhabituelle de l’activité des API.
- Appels API provenant d’adresses IP inhabituelles, en particulier de régions où les utilisateurs légitimes n’opèrent pas.
- Tentatives d’accès à une grande variété de services, surtout s’ils ne sont pas généralement utilisés par votre organisation.
Notez que la fonction de garde (si activée) signalera automatiquement ce type d’événements, mais vous devez être vigilant pour les trouver.
B. Utilisation non autorisée du compte root
AWS recommande fortement d’éviter d’utiliser le compte root pour les opérations quotidiennes en raison de son niveau élevé de privilèges. Tout accès au compte root, en particulier si des clés API qui lui sont associées sont utilisées, constitue un signal d’alarme important.
Que rechercher :
- Appels d’API effectués avec les informations d’identification du compte root, en particulier si le compte root n’est généralement pas utilisé.
- Modifications apportées aux paramètres au niveau du compte, telles que la modification des informations de facturation ou des configurations de compte.
2. Activité IAM anormale
A. Création suspecte de clés d’accès
Les attaquants peuvent créer de nouvelles clés d’accès pour établir un accès permanent au compte compromis. La surveillance des journaux CloudTrail pour la création de nouvelles clés d’accès est essentielle, en particulier si ces clés sont créées pour des comptes qui n’en ont généralement pas besoin.
Que rechercher :
- Création de nouvelles clés d’accès pour les utilisateurs IAM, notamment ceux qui n’en avaient pas besoin auparavant.
- Utilisation immédiate de clés d’accès nouvellement créées, ce qui pourrait indiquer qu’un attaquant teste ou utilise ces clés.
- Appels d’API liés à `CreateAccessKey`, `ListAccessKeys` et `UpdateAccessKey`.
C. Modèles d’hypothèses de rôle
AWS permet aux utilisateurs d’assumer des rôles en leur accordant des informations d’identification temporaires pour des tâches spécifiques. La surveillance des modèles d’assumation de rôles inhabituels est essentielle, car un attaquant pourrait assumer des rôles pour pivoter au sein de l’environnement.
Que rechercher :
- Appels d’API « AssumeRole » inhabituels ou fréquents, en particulier pour les rôles avec des privilèges élevés.
- Hypothèses de rôle à partir d’adresses IP ou de régions qui ne sont généralement pas associées à vos utilisateurs légitimes.
- Hypothèses de rôle suivies d’actions incompatibles avec les opérations commerciales normales.
3. Accès et déplacement anormaux des données
A. Accès inhabituel au godet S3
Amazon S3 est souvent la cible des pirates informatiques, car il peut stocker de grandes quantités de données potentiellement sensibles. La surveillance de CloudTrail pour détecter les accès inhabituels aux compartiments S3 est essentielle pour détecter les clés API compromises.
Que rechercher :
- Appels d’API liés à `ListBuckets`, `GetObject` ou `PutObject` pour les buckets qui ne voient généralement pas une telle activité.
- Téléchargements ou chargements de données à grande échelle vers et depuis des buckets S3, en particulier s’ils se produisent en dehors des heures normales de bureau.
- Tentatives d’accès aux buckets qui stockent des données sensibles, telles que des sauvegardes ou des fichiers confidentiels.
B. Tentatives d’exfiltration de données
Un attaquant peut tenter de déplacer des données hors de votre environnement AWS. Les journaux CloudTrail peuvent aider à détecter de telles tentatives d’exfiltration, en particulier si les modèles de transfert de données sont inhabituels.
Que rechercher :
- Transferts de données volumineux depuis des services tels que S3, RDS (Relational Database Service) ou DynamoDB, notamment vers des adresses IP externes ou inconnues.
- Appels d’API liés à des services tels que AWS DataSync ou S3 Transfer Acceleration qui ne sont généralement pas utilisés dans votre environnement.
- Tente de créer ou de modifier des configurations de réplication de données, telles que celles impliquant la réplication inter-régions S3.
4. Modifications inattendues du groupe de sécurité
Les groupes de sécurité contrôlent le trafic entrant et sortant vers les ressources AWS. Un attaquant peut modifier ces paramètres pour ouvrir des vecteurs d’attaque supplémentaires, comme l’activation de l’accès SSH à partir d’adresses IP externes.
Que rechercher :
- Modifications apportées aux règles du groupe de sécurité qui autorisent le trafic entrant provenant d’adresses IP extérieures à votre réseau de confiance.
- Appels d’API liés à « AuthorizeSecurityGroupIngress » ou « RevokeSecurityGroupEgress » qui ne correspondent pas aux opérations normales.
- Création de nouveaux groupes de sécurité avec des règles trop permissives, comme autoriser tout le trafic entrant sur les ports communs.
5. Étapes à suivre pour atténuer le risque de vol de clés API
A. Appliquer le principe du moindre privilège
Pour minimiser les dommages qu’un attaquant peut causer avec des clés API volées, appliquez le principe du moindre privilège sur votre compte AWS. Assurez-vous que les utilisateurs et les rôles IAM disposent uniquement des autorisations nécessaires pour effectuer leurs tâches.
B. Mettre en œuvre l’authentification multifacteur (MFA)
Exigez l’authentification multifacteur pour tous les utilisateurs IAM, en particulier ceux qui disposent de privilèges administratifs. Cela ajoute une couche de sécurité supplémentaire, ce qui rend l’accès plus difficile pour les attaquants, même s’ils ont volé des clés API.
C. Effectuez régulièrement la rotation et l’audit des clés d’accès
Procédez régulièrement à la rotation des clés d’accès et assurez-vous qu’elles sont associées aux utilisateurs IAM qui en ont réellement besoin. En outre, vérifiez l’utilisation des clés d’accès pour vous assurer qu’elles ne sont pas utilisées de manière abusive ou à partir d’emplacements inattendus.
D. Activer et surveiller CloudTrail et GuardDuty
Assurez-vous que CloudTrail est activé dans toutes les régions et que les journaux sont centralisés pour analyse. De plus, AWS GuardDuty peut fournir une surveillance en temps réel des activités malveillantes, offrant ainsi une couche de protection supplémentaire contre les informations d’identification compromises. Envisagez d’utiliser AWS Detective pour obtenir des informations supplémentaires sur les résultats.
E. Utilisez AWS Config pour la surveillance de la conformité
AWS Config peut être utilisé pour surveiller la conformité aux bonnes pratiques de sécurité, notamment l’utilisation appropriée des stratégies IAM et des groupes de sécurité. Cet outil peut vous aider à identifier les erreurs de configuration qui pourraient rendre votre compte vulnérable aux attaques.
Conclusion
La sécurité de votre environnement AWS repose sur une surveillance vigilante et une détection rapide des anomalies dans les journaux CloudTrail. En comprenant les modèles typiques d’utilisation légitime et en étant attentifs aux écarts par rapport à ces modèles, les professionnels de la sécurité peuvent détecter et répondre aux compromis potentiels, tels que ceux impliquant des clés API volées, avant qu’ils ne causent des dommages importants. Alors que les environnements cloud continuent d’évoluer, le maintien d’une position proactive en matière de sécurité est essentiel pour protéger les données sensibles et garantir l’intégrité de votre infrastructure AWS. Si vous souhaitez en savoir plus sur ce qu’il faut rechercher dans AWS pour détecter des signes d’intrusion, ainsi que sur les clouds Microsoft et Google, vous pouvez envisager mon cours POUR509 courir à Initiative de cyberdéfense SANS 2024. Visite pour509.com pour en savoir plus.