AWS Kill Switch, bir güvenlik olayı sırasında AWS hesaplarının ve IAM rollerinin hızlı bir şekilde kilitlenmesine yönelik açık kaynaklı bir olay müdahale aracıdır.
Çözüm, bir Lambda işlevi ve kavram kanıtı istemcisini içerir. Bu istemciyi benimseyebilir veya kontrol altına almayı kolaylaştırmak için Lambda işlevini çağıran otomasyonunuzu oluşturabilirsiniz.
“Kısa bir süre önce Robinhood’da Güvenlik Mühendisliği Kıdemli Direktörü görevimden ayrıldım ve boş zamanımı bireysel katkıda bulunan biri olarak becerilerimi geliştirmek ve açık kaynağa katkıda bulunmak için kullanıyorum. AWS Kill Switch’in yaratıcısı Jeffrey Lyon, Help Net Security’ye şöyle konuştu: “Bunu teşvik edici ve güvenlik topluluğuyla daha güçlü bağlar kurmanın harika bir yolu olarak görüyorum.”
“SOC, bir tehdit aktörünün IAM rolünü üstlendiğini belirten bir uyarı alabilir. Mühendis, tüm ilkeleri ayırmak ve rolü hemen silmek için bu aracı kullanabilir (veya araçlarının bir parçası olarak bu araçtan ödünç alınan kodu kullanabilir). Burada pek çok olasılık var. Bu çözümü kullanan herhangi bir kuruluşun, onu kendine özgü gereksinimlerine uyarlaması ve keskin kenarlara karşı dikkatli olması gerekir. Lyon, politikaların kaldırılması, rollerin silinmesi ve üretimde SCP’lerin uygulanmasının büyük ihtimalle uygulamaları bozacağını belirtti.
Gelecek planlarıyla ilgili olarak Lyon, rolü silmeden veya Otomatik Ölçeklendirme gruplarını sıfıra ayarlamak gibi başka eylemler gerçekleştirmeden operatöre politikaları silme gibi daha fazla seçenek sunma açısından daha esnek olacak şekilde aracı zaman içinde geliştireceğini belirtti. Zamanla, eğer topluluk bunu yararlı bulursa veya depoya katkıda bulunmak isterse, bu daha geniş bir koruma araçları paketine dönüşebilir.
Çevre
AWS CLI ortam değişkenlerini manuel olarak ayarlayarak bu istemciyi yerel olarak çalıştırabilirsiniz. AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEYVe AWS_SESSION_TOKEN izin veren bir politikaya sahip herhangi bir IAM kullanıcısı veya üstlenilen rol için (varsa) lambda:InvokeFunction oluşturduğunuz fonksiyonun ARN’si için. kullanarak bir rol üstleniyorsanız çalışmayacaktır. AWS_PROFILE değişken. Bu istemciyi, izin veren bir bulut sunucusu politikasıyla bir EC2 bulut sunucusundan da çalıştırabilirsiniz. lambda:InvokeFunction oluşturduğunuz fonksiyonun ARN’si için.
AWS Kill Switch, GitHub’da ücretsiz olarak mevcuttur.
Dikkate alınması gereken daha fazla açık kaynak araç: