المؤشرات الرئيسية في سجلات CloudTrail لمفاتيح API المسروقة

المؤشرات الرئيسية في سجلات CloudTrail لمفاتيح API المسروقة


20 أغسطس 2024أخبار الهاكرالأمن السيبراني / الأمن السحابي

المؤشرات الرئيسية في سجلات CloudTrail لمفاتيح API المسروقة

نظرًا لأن البنية التحتية السحابية أصبحت العمود الفقري للمؤسسات الحديثة، فإن ضمان أمان هذه البيئات يعد أمرًا بالغ الأهمية. نظرًا لأن AWS (Amazon Web Services) لا تزال هي السحابة المهيمنة، فمن المهم لأي متخصص في مجال الأمان أن يعرف مكان البحث عن علامات الاختراق. تبرز AWS CloudTrail كأداة أساسية لتتبع نشاط واجهة برمجة التطبيقات وتسجيلها، مما يوفر سجلاً شاملاً للإجراءات المتخذة داخل حساب AWS. فكر في AWS CloudTrail مثل سجل التدقيق أو الأحداث لجميع استدعاءات واجهة برمجة التطبيقات (API) التي تم إجراؤها في حساب AWS الخاص بك. بالنسبة لمتخصصي الأمن، تعد مراقبة هذه السجلات أمرًا بالغ الأهمية، خاصة عندما يتعلق الأمر باكتشاف الوصول غير المصرح به المحتمل، مثل مفاتيح واجهة برمجة التطبيقات المسروقة. لقد تعلمت هذه التقنيات وغيرها الكثير من خلال الأحداث التي عملت فيها في AWS والتي قمنا بدمجها بلا FOR509، الطب الشرعي السحابي للمؤسسات.

1. استدعاءات واجهة برمجة التطبيقات وأنماط الوصول غير العادية

أ. الارتفاع المفاجئ في طلبات واجهة برمجة التطبيقات

إحدى العلامات الأولى لاختراق أمني محتمل هي الزيادة غير المتوقعة في طلبات واجهة برمجة التطبيقات (API). يقوم CloudTrail بتسجيل كل استدعاء لواجهة برمجة التطبيقات (API) يتم إجراؤه داخل حساب AWS الخاص بك، بما في ذلك من أجرى المكالمة ومتى تم إجراؤها ومن أين. يمكن للمهاجم الذي لديه مفاتيح API مسروقة أن يبدأ عددًا كبيرًا من الطلبات في إطار زمني قصير، إما بفحص الحساب للحصول على معلومات أو محاولة استغلال خدمات معينة.

ما الذي تبحث عنه:

  • زيادة مفاجئة وغير معتادة في نشاط واجهة برمجة التطبيقات (API).
  • مكالمات واجهة برمجة التطبيقات (API) من عناوين IP غير عادية، خاصة من المناطق التي لا يعمل فيها المستخدمون الشرعيون.
  • يحاول الوصول إلى مجموعة واسعة من الخدمات، خاصة إذا لم يتم استخدامها عادةً بواسطة مؤسستك.

لاحظ أن Guard Duty (إذا تم تمكينه) سيقوم تلقائيًا بوضع علامة على هذه الأنواع من الأحداث، ولكن عليك أن تراقب للعثور عليها.

ب. الاستخدام غير المصرح به للحساب الجذر

توصي AWS بشدة بتجنب استخدام الحساب الجذر للعمليات اليومية نظرًا لمستوى الامتيازات العالي الذي يتمتع به. يعد أي وصول إلى الحساب الجذر، خاصة إذا تم استخدام مفاتيح واجهة برمجة التطبيقات (API) المرتبطة به، علامة حمراء مهمة.

ما الذي تبحث عنه:

  • استدعاءات واجهة برمجة التطبيقات (API) التي تم إجراؤها باستخدام بيانات اعتماد الحساب الجذر، خاصة إذا لم يتم استخدام الحساب الجذر عادةً.
  • تغييرات على الإعدادات على مستوى الحساب، مثل تعديل معلومات الفوترة أو تكوينات الحساب.

2. نشاط IAM غير طبيعي

أ. الإنشاء المشبوه لمفاتيح الوصول

يمكن للمهاجمين إنشاء مفاتيح وصول جديدة لتأسيس وصول مستمر إلى الحساب المخترق. تعد مراقبة سجلات CloudTrail لإنشاء مفاتيح وصول جديدة أمرًا بالغ الأهمية، خاصة إذا تم إنشاء هذه المفاتيح لحسابات لا تتطلبها عادةً.

ما الذي تبحث عنه:

  • إنشاء مفاتيح وصول جديدة لمستخدمي IAM، وخاصة أولئك الذين لم يحتاجوا إليها من قبل.
  • الاستخدام الفوري لمفاتيح الوصول المنشأة حديثًا، والتي قد تشير إلى أن أحد المهاجمين يختبر هذه المفاتيح أو يستخدمها.
  • استدعاءات واجهة برمجة التطبيقات ذات الصلة بـ “CreateAccessKey”، و”ListAccessKeys”، و”UpdateAccessKey”.

ج. أنماط افتراض الدور

تسمح AWS للمستخدمين بتولي الأدوار، ومنحهم بيانات اعتماد مؤقتة لمهام محددة. تعد مراقبة أنماط تولي الأدوار غير العادية أمرًا حيويًا، حيث قد يتولى المهاجم أدوارًا محورية داخل البيئة.

ما الذي تبحث عنه:

  • استدعاءات واجهة برمجة التطبيقات “AssumeRole” غير عادية أو متكررة، خاصة للأدوار ذات الامتيازات المرتفعة.
  • افتراضات الدور من عناوين IP أو المناطق التي لا ترتبط عادةً بمستخدميك الشرعيين.
  • افتراضات الدور التي تتبعها إجراءات لا تتفق مع العمليات التجارية العادية.

3. الوصول إلى البيانات والحركة الشاذة

أ. وصول غير عادي إلى حاوية S3

غالبًا ما يكون Amazon S3 هدفًا للمهاجمين، نظرًا لأنه يمكنه تخزين كميات هائلة من البيانات التي يحتمل أن تكون حساسة. تعد مراقبة CloudTrail للوصول غير المعتاد إلى مجموعات S3 أمرًا ضروريًا في اكتشاف مفاتيح API المخترقة.

ما الذي تبحث عنه:

  • استدعاءات واجهة برمجة التطبيقات ذات الصلة بـ `ListBuckets` أو `GetObject` أو `PutObject` للمجموعات التي لا ترى عادةً مثل هذا النشاط.
  • عمليات تنزيل البيانات أو تحميلها على نطاق واسع من وإلى حاويات S3، خاصة إذا حدثت خارج ساعات العمل العادية.
  • يحاول الوصول إلى الحاويات التي تخزن البيانات الحساسة، مثل النسخ الاحتياطية أو الملفات السرية.

ب. محاولات استخراج البيانات

قد يحاول أحد المهاجمين نقل البيانات خارج بيئة AWS الخاصة بك. يمكن أن تساعد سجلات CloudTrail في اكتشاف محاولات التسلل هذه، خاصة إذا كانت أنماط نقل البيانات غير عادية.

ما الذي تبحث عنه:

  • عمليات نقل كبيرة للبيانات من خدمات مثل S3 أو RDS (خدمة قواعد البيانات العلائقية) أو DynamoDB، خاصة إلى عناوين IP الخارجية أو غير المعروفة.
  • استدعاءات واجهة برمجة التطبيقات (API) المتعلقة بخدمات مثل AWS DataSync أو S3 Transfer Acceleration التي لا يتم استخدامها عادةً في بيئتك.
  • محاولات إنشاء أو تعديل تكوينات النسخ المتماثل للبيانات، مثل تلك التي تتضمن النسخ المتماثل عبر المناطق S3.

4. تعديلات غير متوقعة على مجموعة الأمان

تتحكم مجموعات الأمان في حركة المرور الواردة والصادرة إلى موارد AWS. قد يقوم أحد المهاجمين بتعديل هذه الإعدادات لفتح متجهات هجوم إضافية، مثل تمكين الوصول إلى SSH من عناوين IP الخارجية.

ما الذي تبحث عنه:

  • تغييرات على قواعد مجموعة الأمان التي تسمح بحركة المرور الواردة من عناوين IP خارج شبكتك الموثوقة.
  • استدعاءات واجهة برمجة التطبيقات ذات الصلة بـ `AuthorizeSecurityGroupIngress` أو `RevoceSecurityGroupEgress` التي لا تتوافق مع العمليات العادية.
  • إنشاء مجموعات أمان جديدة ذات قواعد متساهلة بشكل مفرط، مثل السماح بجميع حركة المرور الواردة على المنافذ المشتركة.

5. خطوات التخفيف من مخاطر سرقة مفاتيح API

أ. تطبيق مبدأ الامتياز الأقل

لتقليل الضرر الذي يمكن أن يحدثه المهاجم باستخدام مفاتيح API المسروقة، قم بفرض مبدأ الامتياز الأقل عبر حساب AWS الخاص بك. تأكد من أن مستخدمي IAM والأدوار لديهم فقط الأذونات اللازمة لأداء مهامهم.

ب. تنفيذ المصادقة متعددة العوامل (MFA)

يتطلب MFA لجميع مستخدمي IAM، وخاصة أولئك الذين لديهم امتيازات إدارية. وهذا يضيف طبقة إضافية من الأمان، مما يزيد من صعوبة وصول المهاجمين، حتى لو قاموا بسرقة مفاتيح واجهة برمجة التطبيقات.

ج. قم بتدوير وتدقيق مفاتيح الوصول بشكل منتظم

قم بتدوير مفاتيح الوصول بانتظام وتأكد من أنها مرتبطة بمستخدمي IAM الذين يحتاجون إليها بالفعل. بالإضافة إلى ذلك، قم بتدقيق استخدام مفاتيح الوصول للتأكد من عدم إساءة استخدامها أو استخدامها من مواقع غير متوقعة.

د. تمكين CloudTrail وGuardDuty ومراقبتهما

تأكد من تمكين CloudTrail في جميع المناطق وأن السجلات مركزية للتحليل. بالإضافة إلى ذلك، يمكن لـ AWS GuardDuty توفير مراقبة في الوقت الفعلي للأنشطة الضارة، مما يوفر طبقة أخرى من الحماية ضد بيانات الاعتماد المخترقة. خذ بعين الاعتبار أن لدى AWS Detective بعض المعلومات الاستخبارية المبنية على النتائج.

هـ. استخدم AWS Config لمراقبة الامتثال

يمكن استخدام AWS Config لمراقبة الامتثال لأفضل ممارسات الأمان، بما في ذلك الاستخدام السليم لسياسات IAM ومجموعات الأمان. يمكن أن تساعد هذه الأداة في تحديد التكوينات الخاطئة التي قد تجعل حسابك عرضة للهجوم.

خاتمة

يعتمد أمان بيئة AWS الخاصة بك على المراقبة اليقظة والكشف السريع عن الحالات الشاذة داخل سجلات CloudTrail. من خلال فهم الأنماط النموذجية للاستخدام المشروع والتنبيه إلى الانحرافات عن هذه الأنماط، يمكن لمحترفي الأمن اكتشاف الاختراقات المحتملة والاستجابة لها، مثل تلك التي تتضمن مفاتيح واجهة برمجة التطبيقات المسروقة، قبل أن تتسبب في أضرار جسيمة. مع استمرار تطور البيئات السحابية، يعد الحفاظ على موقف استباقي بشأن الأمان أمرًا ضروريًا لحماية البيانات الحساسة وضمان سلامة البنية التحتية لـ AWS لديك. إذا كنت تريد معرفة المزيد حول ما يجب البحث عنه في AWS بحثًا عن علامات التطفل، إلى جانب سحابات Microsoft وGoogle، فقد تفكر في صفي FOR509 تشغيل في مبادرة SANS للدفاع السيبراني 2024. يزور for509.com لمعرفة المزيد.

وجدت هذه المادة مثيرة للاهتمام؟ هذه المقالة عبارة عن مشاركة ساهم بها أحد شركائنا الكرام. تابعونا على تغريد و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.





Source link

إرسال التعليق

تفقد ما فاتك