cloud security.jpg
Σχεδόν κάθε εβδομάδα προσθέτουμε άλλη μια ροή εργασιών στη δική μας βιβλιοθήκη αυτοματισμού. Η πλατφόρμα και ο copilot μας βοηθούν τους ανθρώπους να αυτοματοποιήσουν τις κατά τα άλλα κουραστικές εργασίες στις λειτουργίες ασφαλείας. Οι ενσωματώσεις μεταξύ πλατφορμών περιλάμβαναν παραδοσιακά μηχανικούς ασφαλείας που γράφουν προσαρμοσμένο κώδικα χρησιμοποιώντας διεπαφές προγραμματισμού εφαρμογών (APIs).
Για παράδειγμα, εάν θέλετε να σαρώσετε όλους τους κάδους S3 για δημόσια πρόσβαση, αναζητώντας δικαιώματα READ και WRITE και να στείλετε μια ειδοποίηση σε ένα κανάλι Slack απόκρισης περιστατικού, θα χρειαστείτε κώδικα Python ή Bash με πολλές κλήσεις API.
Ωστόσο, με πλατφόρμες αυτοματισμού ασφαλείας όπως το Blink Ops, αυτό έχει αλλάξει δραστικά. Μπορείτε να ενσωματώσετε την αυτοματοποίηση στο περιβάλλον σας γράφοντας a απλή προτροπήκαι ο copilot θα δημιουργήσει τη ροή εργασίας που πιστεύει ότι χρειάζεστε. Στη συνέχεια, είναι θέμα εισαγωγής μερικών παραμέτρων και προσθήκης διαπιστευτηρίων ελέγχου ταυτότητας. Αυτό μπορεί να σώσει ανθρώπους σε επιχειρήσεις ασφαλείας εκατοντάδες ώρες ένα χρόνο.
Παρακάτω παρατίθενται πέντε ροές εργασίας απόκρισης συμβάντων/λειτουργιών ασφαλείας που μπορείτε να αυτοματοποιήσετε με το Blink Ops. Αυτά τα παραδείγματα σάς δίνουν μια ιδέα για το πώς οι αυτοματισμοί Blink Ops μπορούν να επιταχύνουν την εργασία σας.
Η κατάληψη υποτομέα λαμβάνει χώρα όταν μια καταχώρηση DNS οδηγεί σε έναν ανύπαρκτο ή ανενεργό πόρο, επιτρέποντας στους εισβολείς να παραβιάσουν τον τομέα. Η προσπάθεια να αποτραπεί αυτό με μη αυτόματο τρόπο περιλαμβάνει συχνούς ελέγχους για να διασφαλιστεί ότι όλες οι διαμορφώσεις DNS είναι σωστές.
Αυτή η διαδικασία είναι πλήρως αυτοματοποιημένη χρησιμοποιώντας το Blink Ops. Σε συνδυασμό με το AWS Route 53, το Blink Ops σαρώνει για ορφανές/κρεμασμένες εγγραφές CNAME που δείχνουν πόρους που δεν υπάρχουν πλέον χρησιμοποιώντας το Wiz. Μετά τον εντοπισμό προβλημάτων, το Blink Ops στέλνει μια άμεση ειδοποίηση σε ένα καθορισμένο κανάλι Slack που περιγράφει την εσφαλμένη ρύθμιση παραμέτρων καταχώρησης DNS.
Στη συνέχεια, η Wiz θέτει το αρχείο σε καραντίνα ή κάνει βήματα αποκατάστασης. Όταν δεν εντοπιστούν προβλήματα, αποστέλλεται μια ειδοποίηση ότι όλα είναι ασφαλή. Αυτός ο αυτοματισμός απλοποιεί τον εντοπισμό και τον μετριασμό των κινδύνων εξαγοράς υποτομέων.
Βήματα κουκκίδας:
1. Για διαμορφώσεις DNS, το Blink Ops συνδέεται στο AWS Route 53.
2. Το Wiz ελέγχει τις καταχωρίσεις DNS για κρέμονται ορφανές εγγραφές CNAME.
3. Όταν εντοπιστεί μια ευάλωτη εγγραφή, το Blink Ops στέλνει μια ειδοποίηση στο Slack.
4. Η Wiz είτε θέτει σε καραντίνα την εγγραφή είτε εφαρμόζει την επιδιόρθωση.
5. Εάν δεν εντοπιστούν προβλήματα, αποστέλλεται ένα email επιβεβαίωσης που το επιβεβαιώνει.
Οι εκτεθειμένοι κάδοι S3 αποτελούν σημαντικό κίνδυνο ασφάλειας για κάθε οργανισμό και η μη αυτόματη παρακολούθηση τους κάθε μέρα μπορεί να είναι κουραστική. Θα μπορούσατε να το αντιμετωπίσετε ενεργοποιώντας καθημερινές αυτόματες σαρώσεις κάδων S3 με δημόσια δικαιώματα READ.
Αυτή η ροή εργασίας ενσωματώνεται με το AWS S3 και το Blink Ops μπορεί να σαρώσει κάθε κάδο που έχει επισημανθεί για δημόσια πρόσβαση. Ο εντοπισμός ενός κάδου με δημόσια πρόσβαση READ ενεργοποιεί μια ειδοποίηση Slack από το Blink Ops, δίνοντας στην ομάδα ασφαλείας πληροφορίες σχετικά με τον κάδο — συμπεριλαμβανομένου του ονόματος και των αδειών του.
Μια επακόλουθη ενέργεια από το Blink Ops μπορεί επίσης να αφαιρέσει τη δημόσια άδεια για τον κάδο. Αυτή η ροή εργασίας εντοπίζει εκτεθειμένους κάδους γρήγορα και κατάλληλα, έτσι ώστε τα ευαίσθητα δεδομένα να μην εκτίθενται σε μη εξουσιοδοτημένους χρήστες.
Βήματα κουκκίδας:
1. Καθημερινά, το Blink Ops ελέγχει τους κάδους AWS S3 για δημόσια δικαιώματα ανάγνωσης.
2. Οποιοσδήποτε κάδος βρεθεί με δημόσια πρόσβαση READ ενεργοποιεί μια ειδοποίηση Slack.
3. Το Blink Ops μπορεί προαιρετικά να ανακαλέσει τα δικαιώματα READ (σημείωση – δεν περιλαμβάνεται παραπάνω).
4. Ο κάδος είναι ασφαλισμένος και ειδοποιείται η ομάδα ασφαλείας.
Αποτυχημένες προσπάθειες σύνδεσης και μη εξουσιοδοτημένος εντοπισμός και απόκριση κλιμάκωσης προνομίων σε περιπτώσεις EC2 είναι κρίσιμες για την ασφάλεια. Το Blink Ops μπορεί να το αυτοματοποιήσει έτσι ώστε οι απειλές να εντοπίζονται σε πραγματικό χρόνο και να ανταποκρίνονται.
Μπορείτε να παρακολουθήσετε περιπτώσεις EC2 για να αποκαλύψετε επαναλαμβανόμενες αποτυχημένες προσπάθειες σύνδεσης SSH ή RDP —πέντε ή περισσότερες αποτυχημένες προσπάθειες σε ένα παράθυρο 15 λεπτών— μέσω του Slack. Μπορείτε επίσης να παρακολουθείτε την κλιμάκωση των προνομίων παρακολουθώντας τις αλλαγές ρόλου IAM, όπως όταν παραχωρούνται πρόσθετα προνόμια σε μια παρουσία EC2, όπως το AdminAccess.
Όταν συμβεί αυτό, το Blink Ops λαμβάνει ένα στιγμιότυπο του επηρεασμένου στιγμιότυπου EC2 για εγκληματολογική ανάλυση και στέλνει μια ειδοποίηση στην ομάδα ασφαλείας που περιγράφει τι συνέβη. Αυτός ο αυτοματισμός απαλλάσσει τις ομάδες ασφαλείας από τη μη αυτόματη παρακολούθηση αρχείων καταγραφής κατά τη διάρκεια αποτυχιών σύνδεσης ή κατάχρησης προνομίων.
Βήματα κουκκίδας:
1. Οι αποτυχημένες προσπάθειες σύνδεσης SSH και RDP σε περιπτώσεις EC2 παρακολουθούνται από το Blink Ops.
2. Εάν πραγματοποιηθούν > 5 αποτυχημένες συνδέσεις μέσα σε 15 λεπτά, το Blink Ops εκδίδει μια ειδοποίηση Slack.
3. Οι αλλαγές ρόλου IAM, όπως η κλιμάκωση προνομίων, παρακολουθούνται επίσης από το Blink Ops.
4. Όταν συμβαίνει κλιμάκωση προνομίων, το Blink Ops λαμβάνει ένα στιγμιότυπο.
5. Οι ομάδες ασφαλείας λαμβάνουν ειδοποιήσεις με όλες τις σχετικές λεπτομέρειες σχετικά με το συμβάν.
Η διαχείριση ευπάθειας είναι απαραίτητη για τη διατήρηση ασφαλών περιβαλλόντων cloud. Το Blink Ops απλοποιεί τη διαδικασία ενσωματώνοντας το AWS Inspector για αυτόματη σάρωση παρουσιών και κοντέινερ EC2 για κρίσιμα τρωτά σημεία.
Ως μέρος του Blink Ops, το AWS Inspector μπορεί να ελέγξει για ευπάθειες υψηλής σοβαρότητας, όπως βαθμολογίες CVSS μεγαλύτερες από 7. Μόλις εντοπιστεί μια κρίσιμη ευπάθεια, το Blink Ops ειδοποιεί το καθορισμένο κανάλι Slack για την ευάλωτη παρουσία/κοντέινερ. Η ειδοποίηση συνδέεται επίσης με έναν οδηγό αποκατάστασης ή ένα βιβλίο παιχνιδιού για χειροκίνητη παρέμβαση
Για ευπάθειες που δεν μπορούν να διορθωθούν αυτόματα, το Blink Ops καταγράφει τις λεπτομέρειες και επιτρέπει τη μη αυτόματη αποκατάσταση από έναν μηχανικό ασφαλείας. Μόλις ολοκληρωθεί η αποκατάσταση, το Wiz επαληθεύει ότι η ευπάθεια έχει επιδιορθωθεί, διασφαλίζοντας ότι το περιβάλλον cloud είναι ασφαλές.
Βήματα κουκκίδας:
1. Το AWS Inspector σαρώνει παρουσίες EC2 και δοχεία για ευπάθειες.
2. Μετά την ανακάλυψη μιας ευπάθειας (CVSS >7), το Blink Ops στέλνει μια ειδοποίηση στο Slack.
3. Το Wiz επιβεβαιώνει ότι το θέμα ευπάθειας επιδιορθώθηκε μετά από μη αυτόματη αποκατάσταση.
4. Οι ομάδες ασφαλείας ειδοποιούνται για την ολοκλήρωση της διαδικασίας επιδιόρθωσης και επαλήθευσης.
Η διασφάλιση ευαίσθητων δεδομένων σε κάδους S3 είναι η καλύτερη πρακτική. Αυτό επιλύεται με την αυτοματοποίηση της παρακολούθησης κάδου S3 για συμμόρφωση με την κρυπτογράφηση με το Blink Ops.
Η παρακολούθηση των κάδων S3 με ετικέτα ευαίσθητων δεδομένων μέσω του Blink Ops είναι ενσωματωμένη στο AWS Config. Επαληθεύει ότι τέτοιοι κάδοι είναι κρυπτογραφημένοι με AES-256. Με τον εντοπισμό ενός μη κρυπτογραφημένου κάδου, το Blink Ops εφαρμόζει κρυπτογράφηση AES-256 χρησιμοποιώντας το PutBucketEncryption API της AWS.
Μετά την εφαρμογή της κρυπτογράφησης, το Blink Ops στέλνει μια επιβεβαίωση Slack για την ενημέρωση και το Wiz ενεργοποιείται για να επαληθεύσει ότι εφαρμόστηκε η κρυπτογράφηση. Μια τέτοια αυτοματοποιημένη ροή εργασίας προστατεύει όλα τα ευαίσθητα δεδομένα χωρίς ανθρώπινη παρέμβαση και επιτρέπει στις ομάδες ασφαλείας να επιβάλλουν πολιτικές κρυπτογράφησης σε όλο το περιβάλλον cloud.
Βήματα κουκκίδας:
1. Το AWS Config παρακολουθεί κουβάδες S3 με ετικέτα ευαίσθητων δεδομένων που παρακολουθούνται από το Blink Ops.
2. Εάν δεν είναι κρυπτογραφημένο, το Blink Ops ενεργοποιεί το AWS για να εφαρμόσει κρυπτογράφηση.
3. Όταν εφαρμόζεται κρυπτογράφηση, αποστέλλεται ειδοποίηση Slack.
4. Το Wiz επιβεβαιώνει ότι η κρυπτογράφηση εφαρμόστηκε σωστά.
5. Οι ομάδες ασφαλείας γνωρίζουν τώρα ότι ο κάδος είναι ασφαλισμένος.
Οι παραπάνω περιπτώσεις χρήσης είναι μερικές μόνο από τις πολλές δυνατότητες που μπορεί να αυτοματοποιήσει το Blink Ops για εσάς. Το Blink Ops μπορεί να χρησιμοποιηθεί με πλατφόρμες όπως το AWS και το Wiz για την αυτοματοποίηση διαδικασιών που απαιτούσαν προσαρμοσμένο κώδικα και χειρωνακτική εργασία. Αυτό σημαίνει ότι οι ομάδες ασφαλείας μπορούν να εξοικονομήσουν ώρες, να ανταποκρίνονται ταχύτερα σε απειλές και να μειώσουν τον κίνδυνο ανθρώπινου λάθους.
Αυτοματοποιήστε τις χρονοβόρες εργασίες, ώστε η ομάδα σας να μπορεί να επικεντρωθεί σε πρωτοβουλίες ασφάλειας υψηλότερης αξίας—χρησιμοποιώντας το Blink Ops. Είτε χρειάζεται να παρακολουθείτε την κατάληψη υποτομέα, να εντοπίσετε αποτυχημένες συνδέσεις EC2 ή να αυτοματοποιήσετε σαρώσεις ευπάθειας, το Blink Ops σάς επιτρέπει να βελτιστοποιείτε και να κλιμακώνετε τις λειτουργίες ασφαλείας σας.
Ξεκινήστε με το Blink Ops σήμερα για αυτοματοποίηση επαναλαμβανόμενων εργασιών.
Χορηγός και συγγραφή από Αναβοσβήνει.
VIA: bleepingcomputer.com
Το Μικτό Ορκωτό Δικαστήριο Θεσσαλονίκης καταδίκασε σε κάθειρξη 10 ετών έναν 40χρονο Ιρακινό που κρίθηκε…
Η ηρεμία αυτή τη στιγμή στο Αιγαίο είναι πολύ πολύτιμη, δήλωσε αναφερόμενος στα ελληνοτουρκικά ο…
Διαξιφισμοί, αντιπαραθέσεις και ένταση σε μια ακόμα συνεδρίαση της Π.Γ. με το βλέμμα στο κρίσιμο…
Η «υπνωτισμένη» περιφερειακή άμυνα, η… ανορθογραφία στα επιθετικά ριμπάουντ και στις ελεύθερες βολές (9/16), οδήγησαν…
Σήμερα, 17 Οκτωβρίου 2024, πραγματοποιήθηκε με επιτυχία επίσκεψη κινητής μονάδας εμβολιασμών του Εθνικού Οργανισμού Δημόσιας…
Οι ειδικοί δεν συμφωνούν απόλυτα για το ποσοστό των ανθρώπων που απατούν στις σχέσεις που…