Hoe het te identificeren en te bestrijden

Cyberbeveiliging
CloudTrail

In het huidige digitale landschap bevindt ongeveer 60% van de bedrijfsgegevens zich nu in de cloud, waarbij Amazon S3 voor veel grote bedrijven de ruggengraat van de gegevensopslag vormt.

Ondanks dat S3 een veilige dienst is van een gerenommeerde aanbieder, vormt de cruciale rol ervan bij het verwerken van grote hoeveelheden gevoelige gegevens (persoonlijke klantgegevens, financiële gegevens, intellectueel eigendom, enz.) een sappig doelwit voor bedreigingsactoren. Het blijft gevoelig voor ransomware-aanvallen die vaak worden geïnitieerd met behulp van gelekte toegangssleutels die per ongeluk zijn blootgelegd door menselijke fouten en die toegang hebben tot de buckets van de organisatie.

Om deze evoluerende bedreigingen effectief te kunnen bestrijden, is het essentieel om ervoor te zorgen dat uw organisatie inzicht heeft in uw S3-omgeving, dat u zich bewust bent van hoe bedreigingsactoren gegevens kunnen compromitteren voor losgeld en, het allerbelangrijkste: best practices voor het minimaliseren van het risico dat cybercriminelen met succes cybercriminelen uitvoeren. zo’n aanval.

Zichtbaarheid garanderen: CloudTrail en servertoegangslogboeken

Zichtbaarheid vormt de basis voor elke effectieve detectiestrategie. In Amazon S3 vertaalt bijna elke actie zich in een API-aanroep, die minutieus wordt vastgelegd in CloudTrail en gedocumenteerd in AWS-documentatie.

De twee belangrijkste opties voor het loggen van activiteiten in S3-buckets – CloudTrail Data Events en Server Access Logs – bevatten een schat aan informatie die beveiligingsprofessionals moeten gebruiken om te anticiperen en verdachte activiteiten te detecteren. Elk biedt verschillende voordelen en afwegingen:

  • Cloud Trail Data Events: bied inzicht in resourcebewerkingen die in realtime op of binnen een resource worden uitgevoerd, maar brengt potentiële kostenimplicaties met zich mee vanwege de hoge API-oproepvolumes
  • Servertoegangslogboeken: gratis toegang tot records voor elk verzoek aan uw S3-bucket, maar met mogelijke vertragingen in de beschikbaarheid van logboeken en potentiële logboekregistratie met minder integriteit.

Risico’s beperken door de aanvalsscenario’s te begrijpen

Door gebruik te maken van de bovenstaande logs om voldoende zichtbaarheid te garanderen, is het mogelijk om potentiële aanvalsscenario’s in de gaten te houden om zo de risico’s effectief te beperken. Er zijn drie hoofdaanvalscenario’s die we waarnemen bij S3-ransomwareaanvallen, die allemaal kunnen voorkomen dat een organisatie toegang krijgt tot haar gegevens. Hieronder staan ​​de aanvalsscenario’s, samen met links naar jachtvragen die het deskundige jachtteam van Hunters’ Team Axon openbaar heeft gedeeld, zodat iedereen binnen zijn eigen omgeving naar deze aanvalsscenario’s kan zoeken:

  1. Objectencryptie: ransomware maakt meestal gebruik van bestandsencryptie om een ​​organisatie de toegang tot zijn bestanden te ontzeggen, de bedrijfsactiviteiten te schaden en losgeld te eisen voor het terugkrijgen van de bestanden
    1. Jachtquery: https://github.com/axon-git/threat-hunting-tools/blob/main/S3%20Ransomware/s3_ransomware_objects_encrypted_with_a_kms_key_not_owned_by_the_organization.sql
  2. Objectverwijdering – Verwijderoperaties: het verwijderen van alle objecten uit een bucket is een gemakkelijke manier voor bedreigingsactoren om een ​​grote impact te hebben op de bedrijfsvoering, waardoor de kans groter wordt dat slachtoffers losgeld betalen
    1. Jachtquery: https://github.com/axon-git/threat-hunting-tools/blob/main/S3%20Ransomware/s3_ransomware_unauthorized_object_deletions.sql
  3. Objectverwijdering – Levenscyclusbeleid: een minder eenvoudige maar stillere manier om bestanden in Cloudtrail te verwijderen die nog steeds grote kansen biedt op betaald losgeld
    1. Jachtquery: https://github.com/axon-git/threat-hunting-tools/blob/main/S3%20Ransomware/s3_ransomware_unauthorized_deletion_using_bucket_lifecycle.sql

*Opmerking: Objectversleuteling en objectverwijdering – Voor verwijderingsbewerkingen is het inschakelen van Cloudtrail-gegevensgebeurtenissen voor de juiste buckets vereist.

Elk scenario brengt aanzienlijke verstoringen met zich mee, waardoor organisaties mogelijk geen toegang meer krijgen tot kritieke gegevens. Door zich te verdiepen in de vereiste machtigingen, perspectieven van aanvallers en detectiemethoden voor elk scenario, kunnen organisaties zich proactief voorbereiden op potentiële bedreigingen.

Bescherming en beste praktijken

Het begrijpen van de aanvalsscenario’s helpt om context te bieden voor het implementeren van proactieve maatregelen om het aanvalsoppervlak aanzienlijk te verkleinen. Er zijn verschillende dingen die kunnen worden gedaan om de beveiliging van S3-buckets tegen de dreiging van ransomware te verbeteren.

  • Gebruik IAM-rollen voor kortetermijnreferenties: vermijd het gebruik van statische IAM-toegangssleutels. Als u IAM-gebruikers gebruikt, zorg er dan voor dat u Multi-Factor Authenticatie (MFA) voor hen inschakelt.
  • Volg het principe van least privilege: dit zorgt ervoor dat gebruikers en rollen alleen de rechten hebben die nodig zijn voor hun taken. Maak bovendien gebruik van bucketbeleid om de toegang tot deze essentiële bronnen te beperken.
  • Schakel S3-versiebeheer in: dit betekent dat u elke versie van elk object dat in uw bucket is opgeslagen, bijhoudt in plaats van deze rechtstreeks te wijzigen. Dit is zeer effectief tegen ongeoorloofde overschrijving of verwijdering.
  • Schakel S3 Object Lock in: werkend op een WORM-model (eenmalig schrijven, veel lezen), betekent dat uw gegevens door niemand kunnen worden verwijderd (de gegevens zijn “vergrendeld”), wat beschermt tegen wijzigingen gedurende bepaalde tijdsperioden.
  • AWS Backup/Bucket Replication instellen: dit kan elke vorm van back-up zijn die qua locatie en toegangscontrole gescheiden is van uw daadwerkelijke bucket.
  • Implementeer versleuteling aan de serverzijde met AWS KMS-sleutels: dit geeft uw organisatie specifieke controle over wie toegang heeft tot bucket-objecten. Dit biedt nog een extra beschermingsniveau tegen wie objecten in uw bucket kan coderen en decoderen.

Conclusie

Nu de datavolumes blijven stijgen, is het beveiligen van Amazon S3 van cruciaal belang om miljoenen organisaties te beschermen tegen ransomware-aanvallen en zich ontwikkelende cyberdreigingen.

Het prioriteren van bedreigingen, het garanderen van zichtbaarheid via CloudTrail en Server Access Logs, en het implementeren van proactieve maatregelen zijn essentiële stappen bij het beperken van risico’s. Door deze strategieën toe te passen kunnen organisaties de bescherming van hun S3-buckets versterken en de integriteit en veiligheid van hun kritieke gegevens garanderen.

Voor een meer diepgaande analyse van veelvoorkomende aanvalsscenario’s en best practices, bekijk een video-deepdive van Team Axon. Team Axon is de deskundige tak voor het opsporen van bedreigingen van de populaire SIEM-vervangende Hunters en biedt een snelle respons op opkomende cyberdreigingen, on-demand cyberexpertise en proactieve jacht op bedreigingen in de omgevingen van klanten. Volg Team Axon op X voor tijdige updates over opkomende cyberdreigingen en eersteklas cyberinhoud.

Aanvullende S3-bronnen:

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Kritieke OAuth-fouten ontdekt in grammatica-, vidio- en Bukalapak-platforms

Ruim 33 staten hebben een rechtszaak aangespannen tegen Meta wegens het ruïneren van de geestelijke gezondheid van kinderen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]