本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
网络取证
| 通过进行简短的调查 |
在此背景下 AWSSRA,我们使用美国国家标准与技术研究所 (NIST) 提供的以下取证定义:“将科学应用于识别、收集、检查和分析数据,同时保持信息的完整性并对数据保持严格的保管链”(来源:NIST特别出版物800-86——将法医技术整合到事件响应中的指南
安全事件响应上下文中的取证
本节中的事件响应(IR)指南仅在取证以及不同的服务和解决方案如何改进 IR 流程的上下文中提供。
《AWS安全事件响应指南》根据AWS客户事件响应团队的经验,列出了响应AWS云端安全事件的最佳实践(AWSCIRT)
美国国家标准与技术研究院网络安全框架 (NISTCSF)
这种重复的分析、遏制、根除和再次返回分析的循环使您每次检测到新的危害指标 (IoCs) 时都能收集更多信息。从许多角度来看,这些 IoCs 都是有用的。它们可让您了解攻击者为了破坏您的环境而采取的步骤。此外,通过进行适当的事后审查,您可以提高防御和检测能力,以便防止将来发生事件,或者更快地检测到攻击者的行动,从而减少事件的影响。
虽然这个 IR 流程不是取证的主要目标,但许多工具、技术和最佳实践都与 IR 共享(尤其是分析步骤)。例如,在检测到事件后,取证收集过程会收集证据。接下来,证据检查和分析可以帮助提取 IoCs。最后,取证报告可以为 IR 后的活动提供帮助。
我们建议您尽可能自动化取证过程,以加快响应速度并减轻 IR 利益相关者的负担。此外,在取证收集过程完成并且证据已安全存储以避免污染之后,您可以添加更多自动化分析。有关更多信息,请参阅 “AWS规范性指导” 网站上的 “自动事件响应和取证” 模式。
设计注意事项
要改善您的安全 IR 准备,请执行以下操作:
-
启用并安全存储调查或事件响应期间可能需要的日志。
-
为已知场景预建查询,并提供自动搜索日志的方法。考虑使用 Amazon Detective。
-
通过运行模拟来准备 IR 工具。
-
定期测试备份和恢复流程,确保它们成功。
-
使用基于场景的剧本,从AWS基于Amazon发现的常见潜在事件开始。 GuardDuty 有关如何构建自己的攻略手册的信息,请参阅《AWS安全事件响应指南》的 Playbook 资源部分。
取证账户
免责声明
以下对取AWS证账户的描述只能由组织作为起点,让组织在法律顾问的指导下发展自己的取证能力。
我们没有说本指南适用于侦查或调查犯罪,也没有说通过应用本指南捕获的数据或取证证据能够在法庭上使用。您应该独立评估此处描述的最佳实践是否适合您的用例。
下图说明了可以在专用取证账户中配置AWS的安全服务。为了便于上下文,该图显示了安全工具帐户,用于描述用于在 Forensics 帐户中提供检测或通知的AWS服务。
取证账户是一种单独的专用安全工具账户,位于安全 OU 中。取证账户的目的是提供一个标准、预先配置且可重复的洁净室,让组织的取证团队能够实施取证过程的所有阶段:收集、检查、分析和报告。另外,此账户还包括对范围内资源的隔离和分离流程。
将整个取证过程包含在单独的账户中,您便可对收集和存储的取证数据应用额外的访问控制。我们建议您将取证和安全工具账户分开,原因如下:
-
取证和安全资源可能属于不同的团队或具有不同的权限。
-
安全工具账户可能具有自动化功能,重点是响应AWS控制层面的安全事件,例如为 S3 存储桶启用 Amazon S3 阻止公共访问权限,而取证账户还包括客户可能负责AWS的数据平面项目,例如实例中的操作系统 (OS) 或应用程序特定的数据。EC2
-
根据您的组织或监管要求,您可能需要实施额外的访问限制或法律保留。
-
取证分析过程可能需要根据服务AWS条款在安全的环境中对恶意代码(例如恶意软件)进行分析。
取证账户应包括自动化功能,以加快大规模证据收集,同时最大限度地减少取证收集过程中的人际互动。此账户还将包括自动响应和隔离资源,以简化跟踪和报告机制。
本节中描述的取证功能应部署到每个可用AWS区域,即使您的组织没有积极使用这些功能。如果您不打算使用特定AWS区域,则应应用服务控制策略 (SCP) 来限制配置AWS资源。此外,在同一区域内对取证构件进行调查和存储,有助于避免数据驻留和所有权监管环境不断变化的问题。
本指南使用前面概述的日志存档帐户来记录环境中通过执行的操作 AWSAPIs,包括您在Forensics帐户中运行的操作。APIs拥有此类日志可以帮助避免有人指控构件处理不当或被篡改。根据您启用的详细程度(请参阅AWS CloudTrail 文档中的日志管理事件和记录数据事件),日志可以包含有关用于收集对象的帐户、收集工件的时间以及收集数据所采取的步骤的信息。通过将构件存储在 Amazon S3 中,您还可以使用高级访问控制并记录有关谁有权访问对象的信息。其他人可以稍后根据需要使用详细的操作日志重复该过程(假设范围内的资源仍然可用)。
设计注意事项
-
如果您有许多并发事件,则自动化会很有用,因为它有助于加快重要证据的收集速度并扩大收集范围。但是,您应谨慎考虑这些好处。例如,如果发生误报事件,全自动的取证响应可能会对由范围内工作负载支持的业务流程产生AWS负面影响。有关更多信息,请参阅以下各节中有关 Sec AWS urity AWS GuardDuty Hub 和 AWS Step Functions 的设计注意事项。
-
我们建议将安全工具账户和取证账户分开,即使组织的取证和安全资源属于同一个团队,并且所有职能均可由团队中的任何成员执行,也要这样做。将职能拆分到单独的账户中,可为最低权限提供进一步支持,帮助避免持续的安全事件分析造成污染,并有助于确保收集到的构件的完整性。
-
如果您想进一步强调职责分离、最低权限和限制性防护机制,则可以创建单独的取证 OU 来托管此账户。
-
如果您的组织使用不可变的基础设施资源,则在检测到安全事件之前,如果某个资源被自动删除(例如,在缩减事件期间),则具有取证价值的信息可能会丢失。为避免这种情况,请考虑对每个此类资源运行取证收集过程。要减少收集的数据量,您可以考虑环境、工作负载的业务关键性、处理的数据类型等因素。
-
考虑使用 Amazon WorkSpaces 来启动干净的工作站。这有助于在调查期间区分利益相关者的操作。
Amazon GuardDuty
Amazon GuardDuty
您可以使用 GuardDuty 调查结果来启动取证工作流程,捕获可能受感染的EC2实例的磁盘和内存映像。这减少了人际互动,并可显著提高取证数据的收集速度。您可以 GuardDuty 与 Amazon 集成 EventBridge ,自动回复新 GuardDuty 发现。
GuardDuty 发现类型的列表越来越多。您应该考虑哪些查找类型(例如 Amazon EC2、Amazon EKS、恶意软件防护等)应启动取证工作流程。
您可以完全自动地将控制和取证数据收集过程与调查 GuardDuty 结果集成,以捕获对磁盘和内存故障以及隔离EC2实例的调查。例如,如果从安全组中删除了所有入口和出口规则,则可以应用网络ACL来中断现有连接,并附加拒绝所有请求的IAM策略。
设计注意事项
-
根据AWS服务的不同,客户的分担责任可能有所不同。例如,只能在实例本身上捕获EC2实例的易失性数据,并且可能包括可用作法证的有价值的数据。相反,回应和调查 Amazon S3 的调查结果主要涉及 CloudTrail 数据或 Amazon S3 访问日志。应根据客户的共同责任、一般流程以及需要保护的捕获构件,在安全工具账户和取证账户中组织响应自动化。
-
在隔离EC2实例之前,请权衡其整体业务影响和重要性。考虑建立一个流程,在使用自动化来控制EC2实例之前,先征求适当的利益相关者的意见。
AWS Security Hub
AWSSec@@ urity Hub
除了监控您的安全状况外,Security Hub 还支持与 Amazon 集成, EventBridge 以自动修复特定发现。例如,您可以定义自定义操作,这些操作可以编程为运行 AWS Lambda 函数或 AWS Step Functions 工作流程来实现取证流程。
Security Hub 自定义操作为授权的安全分析师或资源提供一种标准化机制,以实现遏制和取证自动化。这样可减少在遏制和取证证据捕获过程中的人际互动。您可以在自动化过程中添加手动检查点,以确认是否确实需要进行取证收集。
设计注意事项
-
Security Hub 可以与许多服务集成,包括AWS合作伙伴解决方案。如果组织使用的侦测性安全控制措施未经过全面微调,有时会导致误报提醒,则完全自动化取证收集过程将导致不必要地运行该过程。
Amazon EventBridge
Amazon EventBridge
例如,您可以 EventBridge 将其用作在 Step Functions 中启动取证工作流程的机制,以根据安全监控工具(例如)的检测结果捕获磁盘和内存映像。 GuardDuty或者你可以用更手动的方式使用它: EventBridge可以检测中的标签更改事件 CloudTrail,这可以在 Step Functions 中启动取证工作流程。
AWS Step Functions
AWSSt
Step Functions 非常适合与取证流程一起使用,因为它支持一组可重复的、自动化的预定义步骤,可以通过AWS日志进行验证。这可以帮助您排除任何人为参与,并避免在取证过程中出现错误。
设计注意事项
-
您可以手动或自动启动 Step Functions 工作流程,以便在或 Security Hub 表明存在安全漏洞时 GuardDuty 捕获和分析安全数据。在发生影响许多资源的重大安全事件时,只需很少或无需人际互动的自动化功能让您的团队能够快速扩展。
-
要限制全自动工作流,可以在自动化流程中加入相应步骤,以便进行一些手动干预。例如,您可能需要授权的安全分析师或团队成员来审查生成的安全调查发现,并确定是开始收集取证证据,还是隔离并遏制受影响的资源,或者两者兼而有之。
-
如果您想在没有通过安全工具(例如 GuardDuty 或 Security Hub)创建的有效调查结果的情况下启动取证调查,则应实现其他集成以调用 Step Functions 取证工作流程。这可以通过创建查找特定 CloudTrail 事件(例如标签更改事件)的 EventBridge 规则,或者允许安全分析师或团队成员直接从控制台启动取证 Step Functions 工作流程来完成。您还可以使用 Step Functions 将其与组织的工单系统集成,以创建可操作的工单。
AWSLambda
使用 AWSLambda
在取证调查的上下文中,使用 Lambda 函数可帮助您通过 Lambda 代码中定义的可重复、自动和预定义的步骤获得稳定结果。当 Lambda 函数运行时,它会创建一个日志,帮助您验证是否实施了正确的流程。
设计注意事项
-
Lambda 函数的超时时间为 15 分钟,而收集相关证据的全面取证过程可能需要更长时间。因此,我们建议您使用集成在 Step Functions 工作流中的 Lambda 函数来编排取证过程。该工作流让您可以按正确顺序创建 Lambda 函数,并且每个 Lambda 函数都实现了单独的收集步骤。
-
通过将取证 Lambda 函数整理到 Step Functions 工作流中,您可以并行运行部分取证收集过程以加快收集速度。例如,当范围内有多个卷时,您可以更快地收集有关创建磁盘映像的信息。
AWS KMS
AWS密钥管理服务
作为取证过程的一部分,数据收集和调查应在隔离的环境中进行,以最大限度地减少对业务的影响。在此过程中,数据的安全性和完整性不会受到损害,因此需要制定一个流程,以允许在可能遭到入侵的账户和取证账户之间共享加密资源,例如快照和磁盘卷。为了实现这一目标,您的组织必须确保相关的AWSKMS资源策略支持读取加密数据,并通过使用取证帐户中的AWSKMS密钥重新加密数据来保护数据。
设计注意事项
-
组织的KMS密钥策略应允许授权的取证IAM委托人使用该密钥解密源账户中的数据,并在取证账户中对其进行重新加密。使用基础设施即代码 (IaC) 集中管理组织中的所有密钥,AWSKMS以帮助确保只有经过授权的IAM委托人才具有适当且权限最低的访问权限。这些权限应存在于所有可用于加密取证调查期间AWS可能收集的资源的KMS密钥上。如果您在安全事件发生后更新KMS密钥策略,则正在使用的KMS密钥的后续资源策略更新可能会影响您的业务。此外,权限问题可能会增加安全事件的总体平均响应时间 (MTTR)。
