Em nosso mais novo webinar, Rodrigo Montoro – Diretor de Pesquisa e Inovação – aborda os aspectos técnicos do hunting na AWS, com foco nos insights obtidos em sua pesquisa. Essa apresentação possui tudo e mais um pouco do que ele apresentou durante o evento fwd:cloudsec, que aconteceu em junho nos EUA.
A pesquisa tem como objetivo aplicar técnicas eficazes de hunting na AWS, dado que o cenário atual é marcado por uma grande dificuldade de detecção nesse ambiente. Algumas soluções demonstraram-se pouco práticas, principalmente, quando observamos grandes organizações.
Para solucionar essa questão, Montoro modelou um fluxo com etapas complementares entre si para obter “hunting signals” que detectem propriamente as atividades fora do comum com potencial malicioso. Com esse modelo de funcionamento é possível detectar as ameaças com mais eficiência.
No webinar “Hunting AWS threat actors with access Analyzer Policy Suggestions” você encontra a explicação de cada uma dessas etapas, como elas funcionam, além de exemplos práticos com dados reais da Clavis e ferramentas ofensivas de nuvem. Não perca a oportunidade de ficar por dentro do que há de mais novo sobre cibersegurança na nuvem!
O que você encontrará no webinar?
Durante sua apresentação no webinar, Montoro descreve como funciona a mecânica do AWS Threat Hunter. Para isso, ele separa o fluxo em quatro diferentes momentos para, finalmente, chegar na detecção de atividades potencialmente maliciosas. O esquema abaixo demonstra de maneira prática as etapas:
UserDB
No primeiro momento, analisa-se o comportamento do usuário. Para isso, é utilizado o userDB, que contém as informações do que esse indivíduo já realizou – funcionando como um baseline do comportamento esperado.
A fonte inicial da pesquisa para o comportamento inicial do usuário foi o Access Analyzer Policy Suggestion, porém também é possível fazer o uso de ferramentas alternativas, como o Cloudtail Event Lookup, AWS Athena, S3 files parsing e o próprio SIEM. Todas as possibilidades possuem pontos positivos e negativos, porém Montoro ressalta que o SIEM é o ideal e, consequentemente, mais efetivo dentre as opções disponíveis.
CloudtrailDB
Esta etapa é responsável por mapear os eventos e ações que o usuário realizou em seu ambiente. Devido a sua semelhança com a fase anterior, apesar do maior grau de profundidade das informações, as ferramentas utilizadas são basicamente as mesmas: Event Lookup, Athena e SIEM connector.
Além dessas, na fase de cloudtrail adiciona-se a possibilidade de utilizar o time ofensivo – a fim de verificar os cenários possíveis dado o cenário de uso – e os TTPs (Táticas, Técnicas e Procedimentos) de reports – os quais contribuem fornecendo os comportamentos e métodos mais comuns em ataques maliciosos.
DiffDB
O objetivo do DiffDB é justamente mensurar a diferença entre o userDB e o cloudtrailDB, a fim de identificar possíveis ações e comportamentos diferentes. Tais ações que diferem serão correlacionadas no detectionDB.
DetectionDB
Na última etapa, é formada uma database composta pelas ações que possuem potencial malicioso. Além disso, avalia-se a severidade e o nível de sinais de hunting através de uma correlação entre a diffDB com a detectionDB. Atualmente, temos alguns tipos de detecção, dentre as quais destacamos o acesso de credencial, exfiltração e escalada de privilégios.
É importante ressaltar que o grau de severidade de ações maliciosas devem ser tratadas de forma individualizada. Cada setor e cada companhia possui diferentes objetivos, produtos e modos de funcionamento e, por isso, é importante entender o que é prioridade para definir uma estratégia de segurança.
De maneira geral, as estratégias de hunting precisam estar alinhadas com o contexto da companhia para funcionar de maneira eficaz. Assim, entende-se que cada empresa deve ter um score com parâmetros personalizados.
Durante o webinar, Montoro descreve essa estratégia e muito mais trazendo seu conhecimento técnico, além de mostrar na prática como o hunting na AWS funciona. Convidamos todos a aproveitarem essa oportunidade de aprofundar os conhecimentos em cibersegurança na nuvem.





