Adli bulut bilimi – AWS, Azure ve GCP’deki güvenlik olaylarını araştırmaya giriş

   Nisan 13, 2023  Posted in CyberSecurity-Insiders


[ This article was originally published here ]

Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.

Bulut, iş yapma biçimimizde devrim yarattı. Dünyanın herhangi bir yerinden verileri depolamamızı ve bunlara erişmemizi mümkün kıldı ve ayrıca işlerimizi gerektiği gibi büyütme veya küçültmemizi mümkün kıldı.

Ancak bulut beraberinde yeni zorluklar da getiriyor. En büyük zorluklardan biri, bulutta depolanan tüm verileri takip etmektir. Bu, güvenlik olaylarının tanımlanmasını ve bunlara yanıt verilmesini zorlaştırabilir.

Diğer bir zorluk ise bulutun karmaşık bir ortam olmasıdır. Bulutta kullanılabilecek birçok farklı hizmet ve bileşen vardır ve bu hizmet ve bileşenlerin her biri, farklı şekillerde depolanan farklı türde verilere sahiptir. Bu, güvenlik olaylarının tanımlanmasını ve bunlara yanıt verilmesini zorlaştırabilir.

Son olarak, bulut sistemleri geçmişte gördüğümüz her şeyden çok daha dinamik bir şekilde yukarı ve aşağı ölçeklendiğinden, bir olayın temel nedenini ve kapsamını anlamak için ihtiyaç duyduğumuz veriler göz açıp kapayıncaya kadar kaybolabilir.

Bu blog gönderisinde, bulut adli tıp ve olay müdahalesinin zorluklarını tartışacağız ve ayrıca bu zorlukların nasıl ele alınacağına dair bazı ipuçları vereceğiz.

Bir bulut ortamından ödün verilmesi nasıl araştırılır?

Bir bulut ortamının tehlikeye girmesini araştırırken izlemeniz gereken birkaç önemli adım vardır:

  1. Olayın kapsamını tanımlayın: İlk adım, olayın kapsamını belirlemektir. Bu, hangi kaynakların etkilendiğini ve verilere nasıl erişildiğini belirlemek anlamına gelir.
  2. Kanıt toplayın: Bir sonraki adım kanıt toplamaktır. Bu, günlük dosyalarının, ağ trafiğinin, meta verilerin ve yapılandırma dosyalarının toplanmasını içerir.
  3. Kanıtları analiz edin: Bir sonraki adım, kanıtları analiz etmektir. Bu, kötü amaçlı etkinlik belirtileri aramak ve verilerin nasıl ele geçirildiğini belirlemek anlamına gelir.
  4. Olaya yanıt verin ve kontrol altına alın: Bir sonraki adım, olaya müdahale etmektir. Bu, hasarı azaltmak ve gelecekteki olayları önlemek için adımlar atmak anlamına gelir. Örneğin, AWS’de bir EC2 sisteminin ele geçirilmesi durumunda, bu, sistemin kapatılmasını veya güvenlik duvarının tüm ağ trafiğini engelleyecek şekilde güncellenmesini ve ayrıca bir DenyAll politikası ekleyerek ilişkili tüm IAM rollerinin izole edilmesini içerebilir. Olay kontrol altına alındıktan sonra, bu size ayrıntılı ve güvenli bir şekilde araştırmak için daha fazla zaman verecektir.
  5. Olayı belgeleyin: Son adım, olayı belgelemektir. Bu, olayı, olaya yanıt vermek için atılan adımları ve çıkarılan dersleri açıklayan bir raporun oluşturulmasını içerir.

Bulutta hangi verilere erişebilirsiniz?

Temel nedeni bulmak için bir araştırma yapmak için gereken verilere erişim genellikle bulutta şirket içinde olduğundan daha zordur. Bu nedenle, genellikle kendinizi bulut sağlayıcılarının erişmenize izin vermeye karar verdiği verilerin insafına kalmış buluyorsunuz. Bununla birlikte, aşağıdakiler de dahil olmak üzere adli bulut bilimi için kullanılabilecek bir dizi farklı kaynak vardır:

  • AWS EC2: Alabileceğiniz veriler, canlı sistemlerin birimlerinin ve bellek dökümlerinin anlık görüntülerini içerir. Örnekle ilişkili cloudtrail günlüklerini de alabilirsiniz.
  • AWS EKS: Alabileceğiniz veriler, S3’teki denetim günlüklerini ve kontrol düzlemi günlüklerini içerir. Normalde overlay2 adı verilen sürümlü bir dosya sistemi olan liman işçisi dosya sistemini de edinebilirsiniz. Liman işçisi günlüklerini başlatılmış ve durdurulmuş kaplardan da alabilirsiniz.
  • AWS ECS’si: Dosya sisteminden ve bellekten dosya almak için ecs execute veya kubectl exec kullanabilirsiniz.
  • AWS Lambdası: Bulut izi günlüklerini ve lambda’nın önceki sürümlerini alabilirsiniz.
  • Azure Sanal Makineleri: Disklerin anlık görüntülerini VHD formatında indirebilirsiniz.
  • Azure Kubernetes Hizmeti: Sistemden canlı veri almak için “command invoke” kullanabilirsiniz.
  • Azure İşlevleri: “FunctionAppLogs” gibi bir dizi farklı günlük.
  • Google Bilgi İşlem Motoru: Disklerin anlık görüntülerine VMDK formatında indirerek erişebilirsiniz.
  • Google Kubernetes Motoru: Sistemden veri almak için kubectl exec kullanabilirsiniz.
  • Google Bulut Koşusu: Uygulama günlükleri gibi bir dizi farklı günlük.

AWS veri kaynakları

Şekil 1: AWS’deki çeşitli veri kaynakları

Adli bulut bilimi ve olay müdahalesi için ipuçları

Adli bulut bilimi ve olay müdahalesi için birkaç ipucu:

  • Bir planın olsun: İlk adım, açık bir bulut olay müdahale planına sahip olmaktır. Bu, ekibinizin verilere nasıl erişeceğini ve ihtiyaç duydukları eylemleri nasıl gerçekleştireceğini anlayarak, her bir bulut sağlayıcısındaki güvenlik olaylarını belirlemeye ve bunlara yanıt vermeye yönelik bir sürece sahip olmak anlamına gelir.
  • Acımasızca otomatikleştirin: Bulutun hızı ve ölçeği, adımları manuel olarak gerçekleştirmek için zamanınız olmadığı anlamına gelir, çünkü ihtiyacınız olan veriler siz yanıt vermeye başlayıncaya kadar kolayca kaybolabilir. Planınızın mümkün olduğunca çok adımını insan müdahalesi olmadan yürütmek üzere kuralları önceden ayarlamak için bulutun otomasyon yeteneklerini kullanın.
  • Personelinizi eğitin: Bir sonraki adım, personelinizi güvenlik olaylarının nasıl belirleneceği ve bunlara nasıl yanıt verileceği konusunda, özellikle de erişimlerin ve günlüğe kaydetmenin nasıl çalıştığını anlamak gibi bulut merkezli olan sorunlar etrafında eğitmektir.
  • Buluta özgü araçları kullanın: Bir sonraki adım, bulut sağlayıcıları tarafından üretilen kanıtları belirlemenize, toplamanıza ve analiz etmenize yardımcı olmak için özel olarak oluşturulmuş araçları kullanmaktır. Şirket içi bir dünyada kullandığınız şeyi basitçe yeniden tasarlamak başarısız olabilir.

Şirketim Cado Response hakkında daha fazla bilgi edinmekle ilgileniyorsanız, lütfen ziyaret edin veya bizimle iletişime geçin.

reklam





Source link