Il Suo account AWS è stato violato? Come rilevarlo e metterlo in sicurezza

Se sospetta che il Suo account AWS sia stato compromesso, ecco i passaggi che può seguire per indagare:

1. Verifichi un utilizzo anomalo delle risorse: tenga sotto controllo le risorse AWS e i pattern di utilizzo. Un'impennata improvvisa nel trasferimento dati o un aumento insolito delle operazioni possono essere il sintomo di un problema. AWS offre diversi strumenti, come AWS Trusted Advisor e AWS Cost Explorer, per agevolare il monitoraggio dei consumi.
2. Controlli la fattura: un picco improvviso nella fattura AWS può segnalare un uso non autorizzato delle risorse. Esamini la fattura alla ricerca di scostamenti significativi e analizzi gli addebiti per servizio dalla dashboard di fatturazione. Sfrutti la Billing dashboard per esaminare gli addebiti per servizio e individuare variazioni rilevanti che potrebbero indicare un utilizzo non autorizzato.
3. IAM Access Analyzer: si avvalga di AWS IAM Access Analyzer per analizzare l'attività degli utenti IAM. Elimini gli utenti IAM inutilizzati e riveda i ruoli IAM condivisi con entità esterne. Tenga d'occhio le date di modifica delle password per garantire una corretta igiene di sicurezza.
4. IAM Credential Report: consulti regolarmente il IAM Credential Report per individuare nuovi utenti, password modificate e date/orari dell'ultimo utilizzo. Identifichi qualsiasi attività sospetta e intervenga immediatamente per porvi rimedio e approfondire.
5. Controlli CloudTrail: per indagare su una possibile compromissione dell'account AWS, utilizzi AWS CloudTrail. Registra l'attività dell'ambiente AWS e conserva i log per 30 giorni. La ricerca predefinita mostra gli eventi non in sola lettura, ovvero le azioni che hanno modificato le risorse. Cerchi accessi insoliti, eventi 'assume role' inattesi, attività di ricognizione (come chiamate API anomale) e altri comportamenti fuori norma. Analizzi i log di AWS CloudTrail alla ricerca di accessi non autorizzati o di attività API sospette. AWS registra ogni evento di accesso alla AWS Management Console. Controlli i log di CloudTrail per intercettare eventi di accesso che non riconosce. Presti attenzione a quelli avvenuti in orari insoliti o da indirizzi IP sconosciuti. Conoscere i propri pattern di utilizzo abituali La aiuterà a cogliere le anomalie che potrebbero indicare una compromissione.
6. Esamini policy e ruoli IAM:

Riveda policy e ruoli IAM per accertarsi che non siano stati alterati. Modifiche inattese possono essere il segnale che un attaccante ha ottenuto l'accesso al Suo account. 7. Controlli AWS Security Hub:

AWS Security Hub offre una visione completa degli avvisi e della postura di sicurezza dei Suoi account AWS. Può aiutarLa a individuare potenziali criticità di sicurezza.

Conclusa l'indagine, è il momento di mettere in sicurezza l'account. Ecco i passi da compiere:

1. Definisca un piano di risposta agli incidenti: sviluppi e aggiorni periodicamente un piano di risposta agli incidenti specifico per AWS. Si assicuri che il team sia formato per intervenire prontamente in caso di incidenti di sicurezza e si coordini con AWS Support quando necessario.

2. Cambi la password dell'utente root dell'account AWS: è il primo passo essenziale per mettere in sicurezza l'account. La modifichi immediatamente per rafforzare la sicurezza e prevenire accessi non autorizzati.

3. Ruoti ed elimini le access key: ruoti ed elimini regolarmente sia le access key root sia quelle IAM, così da ridurre il rischio di accessi non autorizzati tramite credenziali compromesse.

4. Elimini le risorse non desiderate: riveda regolarmente ed elimini le risorse che non ha creato Lei, riducendo la superficie di attacco e i potenziali punti di compromissione.

5. Revochi le sessioni attive: Revoca delle credenziali di sicurezza temporanee dei ruoli IAM. Si assicuri di revocare tutte le sessioni attive per invalidare le credenziali temporanee delle sessioni precedenti. È un passaggio cruciale per impedire accessi non autorizzati.

6. Crei un alias dell'account: personalizzi l'ID dell'account con un alias per migliorarne sicurezza e usabilità. Eviti di esporre pubblicamente l'ID dell'account e condivida invece il link con l'alias per consentire l'accesso.

7. Abiliti l'autenticazione a più fattori (MFA): implementi l'MFA su tutti gli account, aggiungendo un ulteriore livello di sicurezza. Agli utenti dovrebbe essere richiesta l'MFA al login, rafforzando così l'autenticazione.

8. Policy delle password: definisca una policy delle password robusta, che imponga password di almeno 10 caratteri, con scadenza ogni 90 giorni e divieto di riutilizzo.

9. Configuri gli allarmi di AWS CloudWatch: AWS CloudWatch consente di impostare allarmi in base a eventi o soglie specifici. Imposti allarmi per le attività che potrebbero indicare una compromissione, come ripetuti tentativi di login falliti o modifiche alle configurazioni dei security group.

10. Avvisi di fatturazione e AWS Cost Anomaly Detection: imposti budget di costo e avvisi di fatturazione per monitorare e tenere sotto controllo la spesa. Inoltre, attivi AWS Cost Anomaly Detection per individuare spese inattese e anomale grazie al machine learning.

11. Crei un account IAM Admin: eviti di utilizzare l'account root per le attività quotidiane. Crei invece un account IAM con privilegi amministrativi, in modo da poter mettere al sicuro l'account root.

12. Abiliti AWS GuardDuty:

    AWS GuardDuty è un servizio di threat detection che monitora in continuo eventuali comportamenti malevoli o non autorizzati. Può aiutarLa a rilevare chiamate API anomale o deployment potenzialmente non autorizzati che indicano una compromissione dell'account.

13. IAM Policy Validator per AWS CloudFormation. Questo strumento open source da riga di comando, noto anche come cfn-policy-validator, è una risorsa preziosa che analizza le policy IAM all'interno di un template CloudFormation utilizzando IAM Access Analyzer.

    È progettato per integrarsi facilmente nella Sua pipeline CI/CD e bloccare il deployment quando rileva un problema nelle policy IAM.

    Inserendolo nella Sua strategia di sicurezza, può garantire che ogni modifica alle policy IAM venga validata in modo accurato prima del deployment, migliorando sensibilmente la sicurezza del Suo account AWS.

14. Utilizzi le AWS Config Rules: AWS Config permette di definire regole per far rispettare standard di compliance e di sicurezza. Crei regole personalizzate per monitorare attività specifiche che potrebbero indicare una compromissione, come modifiche alle configurazioni di rete o la creazione di nuovi utenti IAM.

15. Attivi i VPC Flow Logs: i Virtual Private Cloud (VPC) Flow Logs raccolgono informazioni sul traffico in entrata e in uscita dal Suo VPC. Analizzi questi log per individuare pattern anomali, come traffico verso indirizzi IP sconosciuti o picchi inattesi nel trasferimento dati.

16. Esegua scansioni periodiche delle vulnerabilità: conduca valutazioni regolari delle vulnerabilità sulle Sue risorse AWS con strumenti come AWS Inspector o soluzioni di terze parti. Risolva tempestivamente le vulnerabilità rilevate per ridurre il rischio di sfruttamento da parte di attori malevoli.

Questo articolo è una panoramica rapida su come mettere in sicurezza il Suo account AWS. Ma ricordi: la sicurezza non è un'operazione che si fa una volta sola.

In DoiT International i nostri esperti di sicurezza AWS propongono una valutazione complessiva della postura di sicurezza AWS, che analizza in profondità l'intera organizzazione AWS del cliente. Si fonda sulle best practice di settore e prevede circa 300 controlli sulle risorse AWS per assicurare configurazioni ottimali. Facciamo leva su 27 dei principali benchmark di sicurezza disponibili sul mercato per offrire una valutazione approfondita e rigorosa.

Il nostro obiettivo è aiutarLa a individuare le potenziali vulnerabilità e fornirLe raccomandazioni concrete per rafforzare la postura di sicurezza AWS. Si affidi alla competenza dei nostri professionisti della sicurezza AWS per mantenere il massimo livello di protezione del Suo ambiente AWS.

Se desidera saperne di più o è interessato ai nostri servizi, non esiti a contattarci. Può scriverci qui.