Sua conta AWS foi hackeada? Um guia completo para detectar e proteger seu ambiente

Se você suspeita que sua conta AWS foi comprometida, veja alguns passos que pode seguir para investigar:

1. Verifique o uso inesperado de recursos: monitore seus recursos AWS e os padrões de uso. Um pico repentino de transferência de dados ou um aumento incomum de operações pode indicar um problema. A AWS oferece diversas ferramentas, como o AWS Trusted Advisor e o AWS Cost Explorer, para ajudar a acompanhar o uso.
2. Confira sua fatura: uma alta repentina na fatura da AWS pode indicar uso não autorizado de recursos. Revise a fatura em busca de mudanças relevantes e analise os custos por serviço no dashboard de billing. Use o dashboard de Billing para examinar os custos por serviço e identificar variações significativas que possam apontar uso indevido.
3. IAM Access Analyzer: use o AWS IAM Access Analyzer para examinar a atividade dos usuários IAM. Exclua usuários IAM não utilizados e revise os roles IAM compartilhados com entidades externas. Fique de olho nas datas de troca de senha para manter uma boa higiene de segurança.
4. IAM Credential Report: verifique regularmente o IAM Credential Report em busca de novos usuários, senhas alteradas e datas/horários do último uso. Identifique qualquer atividade inesperada e tome medidas imediatas para corrigir e investigar a fundo.
5. Verifique o CloudTrail: para investigar um possível comprometimento da conta AWS, use o AWS CloudTrail. Ele registra a atividade do ambiente AWS e mantém os logs por 30 dias. A pesquisa padrão exibe eventos que não são apenas de leitura, ou seja, ações que alteraram seus recursos. Procure por logins incomuns, eventos inesperados de "assume role", atividades de reconhecimento (como chamadas de API atípicas) e outros comportamentos anormais. Examine os logs do AWS CloudTrail em busca de acessos não autorizados ou atividade incomum de API. A AWS registra todos os eventos de login no AWS Management Console. Revise os logs do CloudTrail em busca de eventos de login que você não reconheça. Procure por eventos que tenham ocorrido em horários incomuns ou a partir de endereços IP desconhecidos. Conhecer seus padrões habituais de uso ajuda a identificar anomalias que podem indicar um comprometimento.
6. Examine políticas e roles IAM:

Revise suas políticas e roles IAM para garantir que não foram alteradas. Mudanças inesperadas podem indicar que um invasor obteve acesso à sua conta. 7. Verifique o AWS Security Hub:

O AWS Security Hub oferece uma visão abrangente dos alertas e da postura de segurança em todas as suas contas AWS. Ele ajuda a identificar potenciais problemas de segurança.

Concluída a investigação, é hora de proteger sua conta. Veja alguns passos a seguir:

1. Crie um plano de resposta a incidentes: desenvolva e atualize regularmente um plano de resposta a incidentes específico para a AWS. Garanta que sua equipe esteja treinada para reagir rapidamente a qualquer incidente de segurança e conte com o AWS Support quando necessário.

2. Altere a senha do usuário root da conta AWS: esse é um primeiro passo essencial para proteger sua conta. Mude imediatamente a senha do usuário root da conta AWS para reforçar a segurança e evitar acessos não autorizados.

3. Faça rotação e exclua access keys: faça rotação e exclua regularmente as access keys do root e do IAM para reduzir o risco de acesso não autorizado por meio de credenciais comprometidas.

4. Exclua recursos indesejados: revise e exclua periodicamente recursos que você não criou para minimizar a superfície de ataque e os possíveis pontos de comprometimento.

5. Revogue sessões ativas: revogando credenciais de segurança temporárias de roles IAM. Garanta que todas as sessões ativas sejam revogadas para invalidar credenciais temporárias de sessões anteriores. Esse passo é fundamental para impedir acessos não autorizados.

6. Crie um alias para a conta: personalize seu account ID com um alias para mais segurança e facilidade de uso. Evite exibir publicamente o ID da conta e compartilhe o link do alias para acesso.

7. Habilite a Autenticação Multifator (MFA): implemente o MFA em todas as contas, adicionando uma camada extra de segurança. Os usuários devem ser solicitados a usar o MFA no login, fortalecendo a autenticação.

8. Política de senhas: estabeleça uma política de senhas robusta, exigindo senhas com pelo menos 10 caracteres, expiração em 90 dias e bloqueio de reutilização.

9. Configure alarmes do AWS CloudWatch: o AWS CloudWatch permite criar alarmes para eventos ou limites específicos. Configure alarmes para atividades que possam indicar um comprometimento, como várias tentativas de login malsucedidas ou alterações nas configurações de security groups.

10. Alertas de billing e AWS Cost Anomaly Detection: defina orçamentos de custo e alertas de billing para monitorar e controlar os gastos. Além disso, ative o AWS Cost Anomaly Detection para identificar gastos inesperados e anormais usando machine learning.

11. Crie uma conta IAM de administrador: evite usar a conta root no dia a dia. Em vez disso, crie uma conta IAM com privilégios administrativos, o que permite manter a conta root protegida.

12. Habilite o AWS GuardDuty:

    O AWS GuardDuty é um serviço de detecção de ameaças que monitora continuamente comportamentos maliciosos ou não autorizados. Ele ajuda a detectar chamadas de API incomuns ou implantações potencialmente não autorizadas que indiquem comprometimento da conta.

13. IAM Policy Validator para AWS CloudFormation: essa ferramenta open-source de linha de comando, também conhecida como cfn-policy-validator, é um recurso poderoso que analisa políticas IAM dentro de um template do CloudFormation usando o IAM Access Analyzer.

    Ela foi projetada para se integrar facilmente ao seu pipeline de CI/CD, interrompendo o deploy caso detecte algum problema nas políticas IAM.

    Ao incorporar essa ferramenta à sua estratégia de segurança, você garante que qualquer alteração nas políticas IAM seja totalmente validada antes do deploy, aumentando significativamente a segurança da sua conta AWS.

14. Use AWS Config Rules: o AWS Config permite criar regras para garantir conformidade e padrões de segurança. Crie regras personalizadas para monitorar atividades específicas que possam indicar um comprometimento, como alterações em configurações de rede ou a criação de novos usuários IAM.

15. Ative os VPC Flow Logs: os Virtual Private Cloud (VPC) Flow Logs capturam informações sobre o tráfego de entrada e saída da sua VPC. Analise esses logs para detectar padrões incomuns, como tráfego para endereços IP desconhecidos ou picos inesperados de transferência de dados.

16. Faça varreduras regulares de vulnerabilidades: realize avaliações periódicas de vulnerabilidades nos seus recursos AWS com ferramentas como o AWS Inspector ou soluções de terceiros. Trate prontamente as vulnerabilidades identificadas para reduzir o risco de exploração por agentes mal-intencionados.

Este artigo é uma visão rápida sobre como proteger sua conta AWS. Mas lembre-se: segurança não é algo que se resolve de uma vez por todas.

Na DoiT International, nossos especialistas em segurança AWS oferecem uma avaliação holística da sua postura de segurança na AWS, com um mergulho profundo em toda a sua organização AWS. Essa avaliação é baseada em boas práticas do mercado e envolve cerca de 300 verificações nos seus recursos AWS para garantir as configurações ideais. Utilizamos 27 dos principais benchmarks de segurança do mercado para entregar uma análise completa e rigorosa.

Nosso objetivo é ajudar você a identificar potenciais vulnerabilidades e oferecer recomendações práticas para fortalecer a segurança da sua conta AWS. Conte com a expertise dos nossos profissionais de segurança AWS para manter o mais alto nível de proteção no seu ambiente.

Se quiser saber mais ou tiver interesse nos nossos serviços, fale com a gente. Você pode entrar em contato aqui.