Videoprezentacija

U AWS okruženju, upravljanje sigurnosnim incidentima zahtijeva prilagodljive alate koji omogućuju brzu reakciju na prijetnje. AWS pruža usluge poput CloudTrail-a i GuardDuty-ja za otkrivanje sumnjivih aktivnosti, dok CloudWatch omogućava praćenje resursa u stvarnom vremenu. Ključno je postaviti jasne planove odgovora i eskalacije, čime se osigurava pravovremeno upravljanje incidentima. Automatizacija procesa kroz AWS Incident Manager ubrzava reakciju, dok integracija s alatima za detekciju omogućava aktivaciju odgovora temeljenog na stvarnim prijetnjama. Ovaj pristup omogućava proaktivno upravljanje incidentima, smanjuje ljudske greške i poboljšava sigurnost infrastrukture, čineći AWS okruženje otpornijim na prijetnje.

U današnjem digitalnom okruženju, sigurnost podataka i infrastrukture postaje sve važnija, posebno u kontekstu usluga u oblaku kao što je Amazon Web Services (AWS). Incident response, ili odgovor na incidente, predstavlja ključni aspekt upravljanja sigurnošću, omogućujući organizacijama da brzo i učinkovito reagiraju na sigurnosne prijetnje i incidente. Ovaj dokument će istražiti strategije i najbolje prakse za upravljanje incidentima u AWS okruženju, s naglaskom na važnost pripreme, detekcije i suradnje među timovima. Dodatna mogućnost je pristup AWS Customer Incident Response Teamu (CIRT), koji će istražiti pogođene resurse te koji su stalno dostupni. Temelj uspješnog programa odgovora na incidente u AWS okruženju su priprema, operacije i aktivnosti nakon incidenta.

Slika 1. Koraci programa odgovora na incidente u AWS okruženju

Postoje tri domene u AWS okruženju u kojima se mogu dogoditi incidenti: servisna domena (obuhvaća AWS račune, IAM dozvole, metapodatke resursa i naplatu), infrastrukturna domena (uključuje mrežne i podatkovne aktivnosti na operacijskom sustavu određene instance) i aplikacijska domena (odnosi se na aplikacijski kod i softver na infrastrukturi).

Slika 2. Površine napada na razini domene u AWS okruženju

Odgovor na incidente u AWS oblaku razlikuje se od tradicionalnih okruženja. Ključne razlike proizlaze iz arhitekture oblaka i alata koje AWS pruža za upravljanje incidentima.

Sigurnost kao podijeljena odgovornost: AWS i korisnici dijele odgovornost za sigurnost. AWS upravlja osnovnom infrastrukturom, dok korisnici preuzimaju odgovornost za upravljanje resursima unutar svojih računa.

Domena usluga u oblaku (eng. service domain): Zbog razlika u odgovornosti za sigurnost, nova domena usluga je kreirana kao odgovor na incidente. Odgovor se provodi putem AWS API poziva, a ne tradicionalnim pristupima na razini operativnog sustava ili mreže iz razloga što ne želimo komunicirati s operativnim sustavom pogođenog resursa.

Slika 3. Pojednostvljani prikaz pristupa resursima preko domene usluge

API za upravljanje infrastrukturom: AWS omogućuje pristup infrastrukturi putem RESTful API-ja, a pristup je povezan s AWS vjerodajnicama. API pozivi mogu se analizirati pomoću alata poput AWS CloudTrail-a kako bi se pratila aktivnost i otkrila neovlaštena upotreba.

Dinamičnost oblakaResursi u oblaku su kratkotrajni i dinamični, što otežava analizu incidenata ako je resurs izbrisan ili izmijenjen. AWS Config omogućuje praćenje povijesti konfiguracija resursa radi lakšeg istraživanja.

Pristup podacima: Prikupljanje podataka u oblaku odvija se putem mreže i API poziva, umjesto direktnog pristupa serverima. Ključno je razumjeti kako efikasno prikupljati podatke putem API-ja i osigurati odgovarajuće pohranjivanje.

Važnost automatizacije: Automatizacija je neizostavna za učinkovito upravljanje incidentima u oblaku. Alati poput AWS CloudFormation omogućuju implementaciju infrastrukture kao koda (IaC), što minimizira ljudske greške i ubrzava reakciju na incidente.

Tipovi incidenata koji se mogu pojaviti u AWS okruženju: prekide usluga, neovlašteni pristup, eskalaciju privilegija, zadržavanje neovlaštenog pristupa, prekomjerne dozvole, izlaganje informacija i izlaganje dozvola.

AWS CloudTrail bilježi sve autentificirane API pozive u vašem AWS računu. Svaki zapis uključuje tko je izveo poziv, IP adresu izvora, vrijeme poziva, radnju koja je izvršena, uslugu na koju se odnosi te zahvaćene resurse.

Međutim, CloudTrail bilježi samo “management events”, dok za praćenje pristupa podacima poput S3, DynamoDB ili Lambda funkcija treba omogućiti “Data Events”. Premda nije besplatno, praćenje ovih događaja pomaže izbjeći situaciju u kojoj ne možete dokazati da nije došlo do povrede podataka.

Slika 4. Izgled CloudTrail zapisa i pripadnih metapodataka

GuardDuty je AWS usluga za detekciju prijetnji koja koristi tri glavna izvora podataka: CloudTrail, VPC Flow Logs i DNS Query Logs. Generira nalaze vezane za identitet ili uređaje u mreži, a ovi nalazi mogu biti eksplicitni (jasno definirane prijetnje) ili bazirani na anomalijama (neobično ponašanje). GuardDuty automatski otkriva prijetnje bez potrebe za dodatnom konfiguracijom ili upravljanjem infrastrukturom. Pruža alarme za aktivnosti poput neovlaštenog pristupa, pokušaja eskalacije privilegija ili otkrivanja zlonamjernih IP adresa.

Slika 5. Detekcija anomalija i alarmiranje pomoću alata GuardDuty

AWS Security Hub: Pruža pregled sigurnosnih upozorenja i usklađenosti kroz integrirane nadzorne ploče. Sjedinjuje podatke detakrirane iz AWS usluga (GuardDuty, Inspector, Macie) i omogućuje automatizirane provjere usklađenosti.

Amazon CloudWatch: Praćenje AWS resursa i aplikacija uz metrike, logove i alarme. Omogućuje uvid u performanse i automatsku reakciju na promjene radi stabilnosti sustava.

AWS Incident Manager omogućuje jednostavno upravljanje procesima odgovora na incidente. S njim možete:Planirati procese odgovora, Definirati Runbookove (automatizirane korake), Slati obavijesti relevantnim timovima/ljudima zaduženima za sigurnost, Pregledavati detalje incidenta u stvarnom vremenu

Priprema za incidente započinje razvojem sveobuhvatnog plana koji definira strategije i procedure za odgovor na sigurnosne događaje.

Slika 6. Razvoj plana odgovora na incidente - koraci

Kontakt podatci U ovom koraku se definira ime osobe odgovorne za incident response procese i njen alias. Navode se komunikacijski kanali (E-mail, SMS, Voice) za kontaktiranje te osobe. Preporučuje se definirati barem dva kanala za osiguranje dostupnosti.

Kreiranja plana eskalacije Kreiranje plana eskalacije je opcionalno, kao i kreiranje kontakt podataka. Ovaj plan je koristan u situacijama kada želite da više osoba istovremeno upravlja nekim slučajem. Možete odabrati više osoba i automatski proslijediti slučaj sljedećoj osobi u slučaju da prva osoba ne odgovori na slučaj. U polju za detalje plana eskalacije potrebno je dodati ime i alias za plan. U polju za faze možete odabrati osobe koje će raditi na slučaju, dok s parametrom trajanje možete odrediti koliko minuta će proći prije nego slučaj bude eskaliran sljedećem odgovaraču.

Slika 7. Forma za unos plana eskalacije

Plan odgovora na incident Plan odgovora je ključan za upravljanje incidentima, jer omogućava planiranje odgovora, određivanje ozbiljnosti incidenata, izbor kontakata, praćenje metrike i pokretanje automatiziranih radnih uputa.

Slika 8. Forma za definiranje plana odgovora na incident

Nakon što ste postavili planove eskalacije i odgovora, sljedeći korak je povezivanje s AWS CloudTrailom ili GuardDutyjem kako bi se automatski aktivirali incidenti i odgovori na temelju sigurnosnih događaja ili aktivnosti u vašem AWS okruženju.

Povezivanje s AWS CloudTrail: Možete postaviti CloudTrail tako da automatski pokreće Response plan kada detektira određene vrste aktivnosti, poput sumnjivih ili neovlaštenih API poziva.

Povezivanje s AWS GuardDuty: Kada GuardDuty prepozna prijetnju, možete postaviti automatske akcije koje će pokrenuti Response plan prema postavkama koje ste prethodno definirali. Na primjer, može automatski dodati označene prijetnje u incidente i aktivirati odgovarajuće planove reakcije.

U okviru testiranja sustava, važno je znati kako inicirati incident, bilo ručno ili automatski. Za ručno pokretanje incidenta, jednostavno se klikne na opciju “Start Incident” na Incident Manager nadzornoj ploči, odabere pripremljeni plan odgovora i, opcionalno, unese naslov i utjecaj incidenta prije nego što se klikne na “Start”. Kao što vidimo na slici možemo odabrati jedan od plana odgovora na incident koji smo prethodno kreirali.

Slika 9. Ručno kreiranje incidenta (forma s potrebnim podatcim za unos)

Za automatsko pokretanje incidenta putem CloudWatch alarma, prvo je potrebno postaviti alarm u CloudWatchu i odabrati opciju “Create Incident” pod Systems Manager Actions, povezujući alarm s planom odgovora. Kada alarm detektira uvjet koji ste postavili, incident će se automatski pokrenuti.

Slika 10. Automatsko kreiranje incidenta putem CloudWatch-a (forma s potrebnim podatcim za unos)

Incidenti mogu biti praćeni kroz nadzornu ploču Incident Managera, gdje možete pratiti metrike, vremenske linije, angažmane i druge relevantne podatke. Kada je incident riješen, možete ga zaključiti klikom na “Resolve incident”. Nakon što je incident riješen, može se započeti analiza pomoću predložaka, s mogućnostima izmjena na kasnijim analizama. Ovaj proces omogućava učinkovito testiranje sustava kroz simulaciju i praćenje incidenata te njihovo rješavanje i analizu.

Slika 11. Prikaz detektiranog incidenta i mogućnosti pregleda detalja istog

U digitalnom okruženju, učinkovito upravljanje sigurnosnim incidentima u cloud infrastrukturi, poput AWS-a, ključno je za zaštitu podataka i sustava. AWS nudi alate kao što su CloudTrail, GuardDuty, Security Hub i CloudWatch za detekciju prijetnji i automatski odgovor na incidente. Ključna razlika u odnosu na tradicionalne pristupe leži u podjeli sigurnosne odgovornosti, dinamičnosti resursa u oblaku i važnosti automatizacije kroz alate poput AWS CloudFormation.

Za uspješan odgovor na incidente, važno je razviti jasne planove odgovora i eskalacije, što AWS Incident Manager omogućava kroz ručne i automatske inicijacije incidenata. Integracija s alatima poput CloudTrail-a i GuardDuty-ja omogućava automatske odgovore temeljem detektiranih prijetnji, dok praćenje kroz nadzorne ploče pruža detaljan uvid u status incidenata.

Nakon rješavanja incidenta, analiza pomaže u ocjeni učinkovitosti odgovora i identificiranju područja za poboljšanje. Automatizacija i jasna koordinacija među timovima ključni su za brže rješavanje problema i smanjenje ljudskih grešaka. Testiranje sustava i stalno praćenje incidenata omogućuju stalnu prilagodbu i poboljšanje procesa odgovora, čime se osigurava sigurnost infrastrukture u AWS okruženju.

[1] Cloud security, Izvor: https://www.chrisfarris.com/post/aws-ir

[2] Incident response on AWS, Izvor: https://ayberk.ninja/incident-response-on-aws

[3] Security Incident Response User Guide, Izvor: https://docs.aws.amazon.com/pdfs/security-ir/latest/userguide/sir-ug.pdf#select-a-membership-account

[4] AWS Documentation, Izvor: https://docs.aws.amazon.com/security-ir/latest/userguide/dashboard.html

[5] AWS security week, Izvor: https://www.slideshare.net/slideshow/aws-security-week-incident-response/108456754