Mais conteúdo relacionado Semelhante a Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit (20) Mais de Amazon Web Services (20) Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit1. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Marcello Zillo Neto
Principal Security Solutions Architect
SID304
Detecção e Remediação de Ameaças
Cibernéticas usando
Amazon GuardDuty
2. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Agenda
• Prioridades de um Programa de Segurança
• Desafios em ambientes tradicionais
• Detectando ameaças com Amazon GuardDuty
• Componentes do Serviço Amazon GuardDuty
• Detectando e Respondendo
3. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Prioridades para Segurança Cibernética
Segurança continua a ser uma das prioridades e preocupações para Executivos
Implementar
proteções contra
ameaças
conhecidas
Melhorar
capacidades de
resposta a
incidentes
Detectar
violações de
segurança bem
sucedidas
Sair de uma
postura reativa
para uma postura
preventiva
Cloud, Big Data,
desenvolvimento
de aplicações
Mobile
Correção de
vulnerabilidades
conhecidas
Source: 2017 Forbes Insights – “Enterprises Reengineer Security in the Age of Digital Transformation”
Defender contra
ataques de
0day
Entender o
impacto de Big
Data no
comprometimento
de dados
4. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Desafios para detecção de ameaças em ambientes tradicionais
Implementar Segurança mantendo agilidade e elasticidade
• Instalação de Appliances, Sensores e Agentes.
• Distribuí-los por todo ambiente.
• Coletar e centralizar grande volume de logs e
dados.
• Detectar e responder a anomalias.
• Monitorar e responder em grande escala.
• Não causar impacto operacional enquanto monitora
e responde a incidentes de segurança.
Encontrar as ameaças (agulhas) em um mar de dados
de log (palheiro) sem causar impacto, sem
comprometer a agilidade e elasticidade do ambiente.
5. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Detecção de Ameaças com GuardDuty
Segurança continua a ser uma das prioridades e preocupações para Executivos
O Amazon GuardDuty é um serviço gerenciado de detecção de ameaças
que monitora continuamente o comportamento mal-intencionado ou
não autorizado para ajudá-lo a proteger suas contas e cargas de
trabalho da AWS.
Amazon GuardDuty
6. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Como funciona o GuardDuty
Habilite o
GuardDuty
• Habilite com poucos
cliques.
• Monitore a segurança de
sem a necessidade de
instalar equipamentos ou
softwares adicionais.
Análise automática e
contínua
• Avaliação automática,
contínua e escalável dos
comportamentos de contas
e de rede para proteção de
seu ambiente AWS.
Detecte ameaças de forma
inteligente
• Uso de ML para detecção
de anomalias.
• Feeds inteligência e regras
de ameaças integradas.
Avalie e automatize ações
• Avalie alertas na console.
• Integre com ferramentas de
incidentes e Workflows.
• Automatize resposta a
incidentes com LAMBDA.
7. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Como Habilitar
8. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon GuardDuty 3 Cs
9. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Componentes do Serviço GuardDuty
Preço
Tipos de
Ameaças
Detectadas
Fontes de
Dados
Alertas
Feeds
Listas de
IPs
maliciosos
Contas
AWS
10. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Componentes do Serviço GuardDuty
Tipos de
Ameaças
Detectadas
11. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
O que o GuardDuty pode detectar ?
Força
Bruta RDP
RAT
Instalado
Exfiltração
de
credenciais
por DNS
Chamada
de APIs
maliciosas
Credenciais
Comprometidas
Reconhecimento
Portas não usuais
Exfiltração DNS
IPs maliciosos
Conexão com sites
em Blacklist
Volume de tráfego
não usual
Proxy
Anônimo
Início não usual de
intâncias
Chamada de ISP
não usual
Mineração
Bitcoin
12. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Categorias de Ameaças Detectadas
Reconhecimento Instância Comprometida Conta Comprometida
Instâncias:
• Port Probe
• Scan de portas (intra-VPC)
• Ataques de Força Bruta (IP)
• Drop Point (IP)
• Comunicação Tor
Contas:
• Chamada de API de rede TOR
(falha)
• Chamada de API (IP malicioso)
• Chamada de API de rede TOR
(Aceita)
• CloudTrail desabilitado
• Mudança de política de senha
• Lançamento de instância não
usual
• Atividade não usual em uma
região
• Acesso suspeito na console
• Chamada de ISP não usual
• Chamadas de API não usuais
(criar, atualizar, deletar)
• Alto volume de chamadas
• Usuário IAM não usual
Baseado em Assinaturas Detecção de anomalias com base em comportamento (ML)
• Atividade de C&C
• Consulta a domínio malicioso
• EC2 em Lista de Ameaças
• Drop Point IP
• Comunicação com IPs maliciosos
• Mineração de Bitcoin
• DDoS de saída
• Atividade de Spambot
• Força bruta SSH de saída
• Unusual Network Port
• Tráfego não usual, Volume /
Direção
• Requisição DNS não usual
• Algorítmos de geração de
domínios
13. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Componentes do Serviço GuardDuty
Fontes de
Dados
14. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
GuardDuty: Data Sources
VPC Flow Logs
VPC flow logs
• VPC FLow Logs não precisa estar
habilitado para identiicação de ameaças
e geração de alertas.
• É uma boa prática habilitar o VPC Flow
Logs proporcionando investigações de
anomalias e forense em caso de
incidente .
DNS Logs
DNS Logs
• Análise de queries DNS realizadas por
instâncias EC2 para domínios maliciosos.
• Não é preciso utilizar o Route53 para
detecção de ameaças e geração de alertas.
CloudTrail Events
CloudTrail Events
• O histórico do CloudTrail de chamadas da
API da AWS usado para acessar o Console
de gerenciamento, SDKs, CLI, etc.,
• Identificação da atividade do usuário e da
conta, incluindo o endereço IP de origem
usado para fazer as chamadas.
15. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Componentes do Serviço GuardDuty
Feeds
Listas de
IPs
maliciosos
16. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Listas de IPs maliciosos / IOCs
GuardDuty utiliza 3 feeds de inteligência nativos:
• AWS
• CrowdSrike
• Proofpoint
• OpenSource
• Customer provided – “format”:
“[TXT | STIX | OTX_CSV | ALIEN_VAULT | PROOF_POINT | FIRE_EYE]”,
É possível expandir com lista de IPs customizadas:
Lista de IPs
confiáveis
IPs de ameaças conhecidas
ou listas de parceiros+
17. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Componentes do Serviço GuardDuty
Alertas
18. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Alertas de Ameaças
AWS Console API / JSON
Veja rapidamente
informações sobre
ameaças, incluindo:
- Gravidade
- Região
- Contagem
- Frequência
- Tipo de ameaça
- Recurso afetado
- Informações da fonte
- Visível CloudWatch
Exportar dados para
análise posterior,
incluindo:
- Ingerir no SIEM
- Enriquecimento de
dados
- Resposta Programática
- Informação adicional
- ARN
- Período de tempo
- Informações sobre
recursos
19. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Classificação dos Alertas de Ameaças
BAIXO MÉDIO ALTO
Atividade suspeita ou
maliciosa bloqueada antes
de comprometimento
Atividade suspeita que se
desvia do comportamento
normalmente observado
Recurso comprometido e
ativamente usado para fins
não autorizados
Tomar ação Imediata
• Isole a instância.
• Rotacione chaves.
• Efetue um processo de Análise
Forense detalhado e busque a
causa raiz do problema.
• Provisione novo recurso
seguro e confiável..
Investigar mais
• Verificar novo software que
alterou o comportamento.
• Verificar alterações nas
configurações.
• Detectar software não
autorizado e avaliar as
permissões IAM.
Apenas para informação
• Não há ações imediatas
necessárias, mas anote as
informações como algo que
pode ser avaliado no futuro.
20. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Detalhamento de alertas
ThreatPurpose ThreatFamilyName ThreatFamilyVariant: ResourceTypeAffected / . ! Artifact
Siginificado: “Uma instância EC2 está se comunicando com um
endereço IP de Bitcoin conhecido que faz parte de um
domínio Bitcoin conhecido”
CryptoCurrency BitcoinTool B: EC2 / . ! DNS
21. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Componentes do Serviço GuardDuty
Contas
AWS
22. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Relacionamento de contas
Time de Segurança
CloudTrail Events
Conta A Conta B Conta C
23. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Relacionamento de contas
• Script permite automatizar
a ativação de várias contas.
• Disponível no AWS Git
Repo
• Automatizações GuardDuty
adicionais podem ser
encontradas aqui e em
repositórios de parceiros.
24. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Detecção e Alerta
25. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Detecção e Remediação automática
26. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon GuardDuty Próximos passos
• Ative o GuardDuty e monitore o custo e as descobertas
durante o período de avaliação de 30 dias sem custo.
• Avalie após 30 dias como o GuardDuty será incorporada em
sua estratégia de segurança.
https://aws.amazon.com/guardduty/
27. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
GuardDuty Atualizações e Recursos
Tipos de descobertas do GuardDuty
https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html
Integração com Slack:
https://github.com/aws-samples/amazon-guardduty-to-slack
Script para habilitação em múltiplas contas:
https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts
Scripts de teste para GuardDuty:
https://github.com/awslabs/amazon-guardduty-tester
28. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Por favor, preencha a pesquisa no aplicativo
móvel.
29. Não esqueçam do Feedback da sessão
1. Tap the Schedule icon. 2. Select the session
you attended.
3. Tap Session Evaluation
to submit your feedback.
30. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Obrigado
mzillo@amazon.com