Çalınan API Anahtarları için CloudTrail Günlüklerindeki Temel Göstergeler


20 Ağustos 2024Hacker HaberleriSiber Güvenlik / Bulut Güvenliği

Bulut altyapısı modern işletmelerin omurgası haline geldikçe, bu ortamların güvenliğini sağlamak çok önemlidir. AWS (Amazon Web Services) hala baskın bulut olduğundan, herhangi bir güvenlik uzmanının tehlike belirtilerini nerede arayacağını bilmesi önemlidir. AWS CloudTrail, bir AWS hesabında gerçekleştirilen eylemlerin kapsamlı bir kaydını sağlayarak API etkinliğini izlemek ve kaydetmek için temel bir araç olarak öne çıkar. AWS CloudTrail’i, AWS hesabınızda yapılan tüm API çağrıları için bir denetim veya olay günlüğü gibi düşünün. Güvenlik uzmanları için, özellikle çalınan API anahtarları gibi olası yetkisiz erişimi tespit etme söz konusu olduğunda, bu günlükleri izlemek kritik öneme sahiptir. Bu teknikleri ve diğer birçok tekniği AWS’de çalıştığım olaylardan öğrendim ve bunları SANS FOR509, Enterprise Cloud Forensics’e dahil ettik.

1. Sıradışı API Çağrıları ve Erişim Modelleri

A. API İsteklerinde Ani Artış

Olası bir güvenlik ihlalinin ilk belirtilerinden biri API isteklerinde beklenmeyen bir artıştır. CloudTrail, AWS hesabınızda yapılan her API çağrısını, çağrıyı kimin yaptığını, ne zaman yapıldığını ve nereden yapıldığını kaydeder. Çalınan API anahtarlarına sahip bir saldırgan, kısa bir zaman diliminde çok sayıda istek başlatabilir, hesapta bilgi arayabilir veya belirli hizmetleri istismar etmeye çalışabilir.

Nelere Dikkat Etmelisiniz:

  • API aktivitesinde ani ve alışılmadık bir artış.
  • Özellikle meşru kullanıcıların faaliyet göstermediği bölgelerden gelen alışılmadık IP adreslerinden gelen API çağrıları.
  • Özellikle kuruluşunuz tarafından tipik olarak kullanılmayan çok çeşitli hizmetlere erişim girişimleri.

Muhafız Görevi’nin (etkinleştirilirse) bu tür olayları otomatik olarak işaretleyeceğini unutmayın, ancak bunları bulmak için dikkatli olmanız gerekir.

B. Root Hesabının Yetkisiz Kullanımı

AWS, yüksek ayrıcalık düzeyi nedeniyle günlük işlemler için kök hesabının kullanımından kesinlikle kaçınılmasını önerir. Kök hesabına herhangi bir erişim, özellikle de onunla ilişkili API anahtarları kullanılıyorsa, önemli bir kırmızı bayraktır.

Nelere Dikkat Etmelisiniz:

  • Özellikle kök hesabı tipik olarak kullanılmıyorsa, kök hesap kimlik bilgileriyle yapılan API çağrıları.
  • Fatura bilgilerini veya hesap yapılandırmalarını değiştirme gibi hesap düzeyindeki ayarlarda yapılan değişiklikler.

2. Anormal IAM Aktivitesi

A. Erişim Anahtarlarının Şüpheli Şekilde Oluşturulması

Saldırganlar, tehlikeye atılan hesaba kalıcı erişim sağlamak için yeni erişim anahtarları oluşturabilir. Yeni erişim anahtarlarının oluşturulması için CloudTrail günlüklerinin izlenmesi, özellikle bu anahtarlar genellikle bunlara ihtiyaç duymayan hesaplar için oluşturulmuşsa, hayati önem taşır.

Nelere Dikkat Etmelisiniz:

  • Özellikle daha önce ihtiyaç duymamış olan IAM kullanıcıları için yeni erişim anahtarlarının oluşturulması.
  • Yeni oluşturulan erişim anahtarlarının hemen kullanılması, bir saldırganın bu anahtarları test ettiğini veya kullandığını gösterebilir.
  • `CreateAccessKey`, `ListAccessKeys` ve `UpdateAccessKey` ile ilgili API çağrıları.

C. Rol Varsayım Modelleri

AWS, kullanıcıların belirli görevler için geçici kimlik bilgileri vererek roller üstlenmelerine olanak tanır. Bir saldırganın ortam içinde dönüşmek için roller üstlenebileceği için, alışılmadık rol üstlenme kalıplarını izlemek hayati önem taşır.

Nelere Dikkat Etmelisiniz:

  • Özellikle ayrıcalıkları yükseltilmiş rollere yönelik alışılmadık veya sık `AssumeRole` API çağrıları.
  • Meşru kullanıcılarınızla tipik olarak ilişkilendirilmeyen IP adreslerinden veya bölgelerden gelen rol varsayımları.
  • Normal iş operasyonlarıyla uyuşmayan eylemlere yol açan rol varsayımları.

3. Anormal Veri Erişimi ve Hareketi

A. Sıradışı S3 Kova Erişimi

Amazon S3, potansiyel olarak hassas verilerin büyük miktarlarını depolayabildiği için saldırganlar için sıklıkla hedeftir. S3 kovalarına olağandışı erişim için CloudTrail’i izlemek, tehlikeye atılmış API anahtarlarını tespit etmede önemlidir.

Nelere Dikkat Etmelisiniz:

  • Genellikle bu tür bir aktivite görmeyen kovalar için `ListBuckets`, `GetObject` veya `PutObject` ile ilgili API çağrıları.
  • Özellikle normal iş saatleri dışında gerçekleşen, S3 kovalarına veya kovalarından büyük ölçekli veri indirme veya yükleme işlemleri.
  • Yedekler veya gizli dosyalar gibi hassas verilerin depolandığı kovalara erişim girişimleri.

B. Veri Süzme Girişimleri

Bir saldırgan, verileri AWS ortamınızdan taşımayı deneyebilir. CloudTrail günlükleri, özellikle veri aktarım kalıpları alışılmadıksa, bu tür sızdırma girişimlerini tespit etmeye yardımcı olabilir.

Nelere Dikkat Etmelisiniz:

  • S3, RDS (İlişkisel Veritabanı Servisi) veya DynamoDB gibi servislerden özellikle harici veya bilinmeyen IP adreslerine yapılan büyük veri transferleri.
  • Ortamınızda genellikle kullanılmayan AWS DataSync veya S3 Transfer Acceleration gibi hizmetlerle ilgili API çağrıları.
  • S3 bölgeler arası çoğaltmayı içerenler gibi veri çoğaltma yapılandırmalarını oluşturma veya değiştirme girişimleri.

4. Beklenmeyen Güvenlik Grubu Değişiklikleri

Güvenlik grupları AWS kaynaklarına gelen ve giden trafiği kontrol eder. Bir saldırgan, harici IP adreslerinden SSH erişimini etkinleştirmek gibi ek saldırı vektörlerini açmak için bu ayarları değiştirebilir.

Nelere Dikkat Etmelisiniz:

  • Güvenilir ağınızın dışındaki IP adreslerinden gelen trafiğe izin veren güvenlik grubu kurallarında değişiklikler.
  • Normal işlemlerle uyumlu olmayan `AuthorizeSecurityGroupIngress` veya `RevokeSecurityGroupEgress` ile ilgili API çağrıları.
  • Ortak portlardan gelen tüm trafiğe izin vermek gibi aşırı izin verici kurallara sahip yeni güvenlik gruplarının oluşturulması.

5. Çalınan API Anahtarlarının Riskini Azaltmaya Yönelik Adımlar

A. En Az Ayrıcalık İlkesini Uygulamak

Bir saldırganın çalınan API anahtarlarıyla verebileceği zararı en aza indirmek için AWS hesabınızda en az ayrıcalık ilkesini uygulayın. IAM kullanıcılarının ve rollerinin yalnızca görevlerini gerçekleştirmek için gerekli izinlere sahip olduğundan emin olun.

B. Çok Faktörlü Kimlik Doğrulamayı (MFA) Uygulayın

Tüm IAM kullanıcıları için, özellikle de yönetici ayrıcalıklarına sahip olanlar için MFA’yı zorunlu kılın. Bu, ek bir güvenlik katmanı ekleyerek saldırganların API anahtarlarını çalmış olsalar bile erişim sağlamasını zorlaştırır.

C. Erişim Anahtarlarını Düzenli Olarak Döndürün ve Denetleyin

Erişim anahtarlarını düzenli olarak döndürün ve bunların gerçekten ihtiyaç duyan IAM kullanıcılarına bağlı olduğundan emin olun. Ayrıca, erişim anahtarlarının kötüye kullanılmadığından veya beklenmedik yerlerden kullanılmadığından emin olmak için kullanımını denetleyin.

D. CloudTrail ve GuardDuty’yi Etkinleştirin ve İzleyin

CloudTrail’in tüm bölgelerde etkinleştirildiğinden ve günlüklerin analiz için merkezileştirildiğinden emin olun. Ek olarak, AWS GuardDuty kötü amaçlı etkinlik için gerçek zamanlı izleme sağlayabilir ve tehlikeye atılmış kimlik bilgilerine karşı başka bir koruma katmanı sunabilir. Bulguların üzerine biraz istihbarat inşa etmek için AWS Detective’i düşünün.

E. Uyumluluk İzleme için AWS Config’i kullanın

AWS Config, IAM politikalarının ve güvenlik gruplarının doğru kullanımı dahil olmak üzere güvenlik en iyi uygulamalarına uyumu izlemek için kullanılabilir. Bu araç, hesabınızı saldırılara karşı savunmasız bırakabilecek yanlış yapılandırmaları belirlemenize yardımcı olabilir.

Çözüm

AWS ortamınızın güvenliği, CloudTrail günlüklerindeki anormalliklerin dikkatli bir şekilde izlenmesine ve hızlı bir şekilde tespit edilmesine dayanır. Güvenlik uzmanları, meşru kullanımın tipik modellerini anlayarak ve bu modellerden sapmalara karşı tetikte olarak, çalınan API anahtarları gibi olası tehlikeleri önemli bir hasara yol açmadan önce tespit edebilir ve bunlara yanıt verebilir. Bulut ortamları gelişmeye devam ettikçe, hassas verileri korumak ve AWS altyapınızın bütünlüğünü sağlamak için güvenlik konusunda proaktif bir duruş sergilemek esastır. Microsoft ve Google bulutlarıyla birlikte AWS’de izinsiz giriş belirtileri için nelere dikkat etmeniz gerektiği hakkında daha fazla bilgi edinmek istiyorsanız, SANS Cyber ​​Defense Initiative 2024’te düzenlenen FOR509 sınıfımı düşünebilirsiniz. Daha fazla bilgi edinmek için for509.com adresini ziyaret edin.

Bu makaleyi ilginç buldunuz mu? Bu makale değerli ortaklarımızdan birinin katkılarıyla hazırlanmıştır. Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link