22 ene 2021

Amazon GuardDuty

Hola lectores.

En el artículo de hoy me gustaría presentaros el servicio Amazon Guard Duty, ya que muchas organizaciones cuentan con instancias AWS dentro de su organización y suelen estar poco controladas con respecto a otras infraestructuras. 


Para todos aquellos que no lo conozcáis, es un servicio de monitorización de seguridad continua que analiza y procesa las siguientes fuentes de datos: 

  • Análisis de eventos de administración de AWS CloudTrail: todos los accesos y el comportamiento de la infraestructura y las cuentas de AWS. 
  • Análisis de eventos de datos de S3 en AWS CloudTrail: los accesos y la actividad de todos los buckets de Amazon S3. 
  • Análisis de registros de flujo de VPC y de registros de DNS: los registros de flujo de VPC y las solicitudes y las respuestas de DNS para identificar comportamientos maliciosos, no autorizados o inesperados en las cargas de trabajo y las cuentas de AWS.

Con las fuentes de información sobre amenazas y a partir de sus sistemas de inteligencia artificial, hacen que sea capaz de identificar actividades inesperadas, no autorizadas y potencialmente maliciosas dentro del entorno de AWS de una organización. Actualmente en AWS hay información muy interesante, que muchas veces está mal protegida y accesible por actores maliciosos. En definitiva, esta herramienta nos permite detectar si existe una escalada de privilegios, un uso de credenciales expuestas, comunicaciones con direcciones IP o dominios maliciosos, o incluso instancias EC2 comprometidas que estén minando bitcoins o sirviendo malware en vez de realizar sus funciones.

Internamente, la aplicación se encarga de monitorizar los patrones de comportamiento de los sistemas de la organización dentro de AWS en busca de signos de compromiso, como puedan ser el levantamiento de instancias en una región que nunca se ha utilizado, la llamada a APIs inusuales, o los cambios de políticas de contraseñas a niveles menos restrictivos y que reduzcan la seguridad de la contraseña.

Esta información es muy interesante para que los equipos de seguridad tengan notificaciones automáticas que posteriormente validarán. 

Espero que a todos los que tengáis AWS os haya resultado de interés. En el próximo post hablaré de como adaptar GuardDuty con la matriz ATT&CK de Mitre. 

¡Saludos!

No hay comentarios:

Publicar un comentario