AWS SecOps Training: Hacker, Einhörner und Pizza
Zumindest so erscheint das Setting des AWS Security Days, welchen Amazon Web Services (AWS) in Berlin, München sowie remote veranstaltet. Es handelt sich hier zwar nicht um Twitter nach der Übernahme, aber um unicorn.rentals, das weltweit führende AirBnB für Einhörner. Ich bin für Zweitag in Berlin dabei.
Unicorn.rentals ist sehr erfolgreich, ist aber leider Ziel eines Angriffs geworden. Daten drohen abzufließen. Also liegt es in der Hand der teilnehmenden Teams, die Angriffe zu stoppen, die Infrastruktur in AWS abzusichern und vorsorgende Maßnahmen für den Fall weiterer Angriffe zu treffen. Natürlich mit Scoreboard für ein Ranking der Teams.
Nach einer kurzen Stärkung in Form von Pizza und Drinks erhalten wir die Einweisung des unicorn.rentals Managements mit unseren konkreten Aufgaben. Dann geht es los. Auf der Agenda steht: Datenbankspeicher verschlüsseln, Zugänge sperren, "feindliche" Konfigurationen finden und entfernen und am Ende für weitere Angriffe vorbereitet sein.
AWS bietet hier eine Vielzahl von Tools für diese SecOps-Aufgaben. Grob lassen sich diese in vier Bereiche bzw. Schritte einteilen:
- Daten sammeln: Im ersten Schritt werden Event-Daten gesammelt. Das können z. B. Daten aus Anwendungs-Logs (CloudWatch), Netzwerk-Traffic (VPCFlow Logs), DNS-Anfragen (DNS Resolver Logs), S3 Events oder Audit Logs sein. Hilfreich ist auch die Möglichkeit des Config Recorders, der Veränderungen im AWS Account aufzeichnet und analysierbar macht.
- Daten überprüfen, entdecken und messen: Im Anschluss können diese Quellen mit Services wie AWS Detective, GuardDuty, Inspector und IAM Analyzer auf Auffälligkeiten überprüft werden. Diese Services ermöglichen ebenfalls, Notifications einzurichten, die bei zukünftigen Auffälligkeiten direkt alarmieren. Bei einigen dieser Tools ergibt Ihr Einsatz fast immer Sinn, wie etwa im Fall des IAM Analyzers. Dieser warnt, wenn Ressourcen öffentlich verfügbar gemacht wurden, was in den seltensten Fällen die gewünschte Konfiguration ist. Der Einsatz des Analyzers hätte den einen oder anderen Datenklau verhindern können.
- Daten konsolidieren, aggregieren: Zur besseren Übersicht und Aggregation von sicherheitsbezogenen Auffälligkeiten stellt Security Hub eine Account-übergreifende Oberfläche zur Verfügung. Dieser Schritt bietet sich besonders an, wenn mehrere AWS Accounts genutzt werden und eine zentrale Übersicht wichtig ist.
- Act & Respond: Am Ende jedes Events steht eine Entscheidung, die getroffen werden muss. Hier unterstützt AWS mit den Services SSM Operations Manager und Trusted Advisor. Ferner können über die Notifications auch direkt automatisierte Aktionen eingeleitet werden, wie z. B. das Hinzufügen von betrügerischen IPs einer Blocklist. Diese Aktionen können über EventBridge-Regeln und z. B. Lambda-Funktionen implementiert werden.
Mit diesem "Koffer" von Tools gewappnet, beginnen mein Team und ich also die Abwehr von unicorns.rentals. Um hier nicht zu spoilern, berichte ich nicht über die genauen Schritte, die zur Lösung der Aufgaben geführt haben. Nach drei Stunden haben wir erfolgreich alle Angriffe abgewehrt und die Infrastruktur abgesichert. Einhörner können nun wieder sicher entliehen werden. Nach einer abschließenden Siegerehrung geht der Game Day zu Ende.
Alles in allem ist der Game Day eine super Gelegenheit, um die eigenen SecOps-Fähigkeiten in AWS weiter zu trainieren und diese im Kontext eines neuen, fremden Umfelds anzuwenden. Ich kann die Game Days nur empfehlen.
Solltest du auch an diesen Themen interessiert sein oder Bedarf an Input zu diesen Themen haben, lass uns gerne über E-Mail oder LinkedIn connecten.