AWS更新威脅偵測服務Amazon GuardDuty,現在能夠檢測EC2執行個體憑證被另一個AWS帳戶使用的情況,並且向用戶發出不同等級的警示。目前此一新功能已經在所有AWS地區提供,用戶不需要額外支付費用,當AWS帳戶啟用GuardDuty服務,則預設會啟用此新功能。

Amazon GuardDuy可以持續監控惡意活動,或是未經授權的行為,保護用戶的AWS帳戶、工作負載,以及儲存在S3中的資料。GuardDuty能夠分析事件、追蹤趨勢、模式,找出具有潛在問題的各種異常。而EC2執行個體憑證則是透過EC2後設資料服務,提供給執行個體上所執行的應用程式,一個臨時的憑證。

攻擊者可能入侵用戶EC2執行個體上運作的應用程式,並設法存取該執行個體的後設資料服務,如此攻擊者便能夠擷取憑證,而這些憑證具有用戶在IAM角色定義,附加到執行個體上的權限,因此根據應用程式功能不同,攻擊者有機會攻擊S3或是DynamoDB來竊取資料,啟動或是終止EC2執行個體,甚至是創建新的IAM用戶或是角色。

GuardDuty具備能夠偵測從AWS外部IP,存取這類憑證的情況,但是更聰明的攻擊者,可能會使用另一個AWS帳號,來進一步隱藏活動,以便用GuardDuty偵測範圍之外的方式活動。

不過,AWS服務API通訊的來源IP地址,與EC2執行個體IP地址不同,可能有其正當理由,考慮到流量路由到一個或是多個VPC的複雜網路拓墣,像是AWS Transit Gateway或AWS Direct Connect。而且多區域配置或是不使用AWS Organizations,都會使得偵測憑證使用的AWS帳戶,變得非常困難。

不少大型企業使用自己的解決方案,來偵測和維護這類安全漏洞,但AWS提到,這類型解決方案不容易建置和維護,僅有少數企業具有這樣的資源。因此AWS現在更新GuardDuy,使其能夠偵測來自AWS網路內,使用其他AWS帳戶使用憑證的情況,簡化解決問題的方法。

現在當GuardDuty偵測到EC2執行個體憑證遭濫用時,便會生成警示,當從附屬帳戶使用憑證時,警示會被標記為中等嚴重性,否則將會出現高嚴重性警示,AWS提到,附屬帳戶可能是由同一個GuardDuty管理員帳戶監控的帳戶,這些帳戶可能屬於組織,也可能並非組織的一部分。

熱門新聞

Advertisement