Sunucu Erişim Günlükleri ile AWS CloudTrial günlükleri arasındaki avantajlar ve değiş tokuşlar IAM kullanıcıları kullanıyorsanız onlar için Çok Faktörlü Kimlik Doğrulamayı (MFA) etkinleştirdiğinizden emin olun
Her senaryo önemli aksaklıklara yol açarak kuruluşların kritik verilere erişmesini potansiyel olarak engelliyor Team Axon, popüler SIEM değişiminin uzman tehdit avcılığı koludur Avcılarve müşterilerin ortamlarında ortaya çıkan siber tehditlere hızlı yanıt, isteğe bağlı siber uzmanlık ve proaktif tehdit avcılığı sunar Tehditleri önceliklendirmek, CloudTrail ve Sunucu Erişim Günlükleri aracılığıyla görünürlük sağlamak ve proaktif önlemleri uygulamak, riskin azaltılmasında önemli adımlardır sql *Not: Nesne Şifreleme ve Nesne Silme – Silme İşlemleri, uygun paketler için Cloudtrail Veri Olaylarının etkinleştirilmesini gerektirir Bu gelişen tehditlerle etkili bir şekilde mücadele etmek için kuruluşunuzun S3 ortamınızda görünürlüğe sahip olmasını, tehdit aktörlerinin fidye için verileri nasıl tehlikeye atabileceğinin ve en önemlisi siber suçluların başarılı bir şekilde yürütme riskini en aza indirmeye yönelik en iyi uygulamaların farkında olmanız hayati önem taşımaktadır Kuruluşlar, her senaryo için gerekli izinleri, saldırgan bakış açılarını ve tespit yöntemlerini inceleyerek potansiyel tehditlere karşı proaktif bir şekilde hazırlanabilirler S3 fidye yazılımı saldırılarında gözlemlediğimiz üç ana saldırı senaryosu vardır ve bunların tümü bir kuruluşun verilerine erişmesini engelleyebilmektedir 25 Ekim 2023Hacker HaberleriFidye Yazılımı/Kötü Amaçlı Yazılım Tehdidi Günümüzün dijital ortamında, %60 Kurumsal verilerin büyük bir kısmı artık bulutta bulunuyor ve Amazon S3 birçok büyük şirket için veri depolamanın omurgası konumunda com/axon-git/threat-hunting-tools/blob/main/S3%20Ransomware/s3_ransomware_objects_encrypted_with_a_kms_key_not_owner_by_the_organization |
Yeterli görünürlük sağlamak için yukarıdaki günlükleri kullanarak, riskleri etkili bir şekilde azaltmak amacıyla potansiyel saldırı senaryolarını takip etmek mümkündür
S3, saygın bir sağlayıcının sunduğu güvenli bir hizmet olmasına rağmen, büyük miktarlardaki hassas verilerin (müşteri kişisel bilgileri, finansal veriler, fikri mülkiyet vb Her biri farklı avantajlar ve ödünleşimler sunar:
- Cloud Trail Veri Olayları: Bir kaynak üzerinde veya içinde gerçek zamanlı olarak gerçekleştirilen kaynak işlemlerine ilişkin görünürlük sunar ancak yüksek API çağrı hacimleri nedeniyle potansiyel maliyet etkileriyle birlikte gelir
- Sunucu Erişim Günlükleri: S3 klasörünüze yapılan her istek için kayıtlara ücretsiz erişim, ancak günlük kullanılabilirliğinde olası gecikmeler ve daha az bütünlükle potansiyel günlük kaydı ile birlikte gelir
Veri hacimleri artmaya devam ederken Amazon S3’ün güvenliğinin sağlanması, milyonlarca kuruluşun fidye yazılımı saldırılarına ve gelişen siber tehditlere karşı korunması açısından büyük önem taşıyor Amazon S3’te neredeyse her eylem, CloudTrail’de titizlikle kaydedilen ve AWS belgelerinde belgelenen bir API çağrısına dönüşür sql
Yaygın saldırı senaryolarının ve en iyi uygulamaların daha ayrıntılı bir dökümü için şu adrese göz atın: videonun derin incelemesi Axon Takımından
- Avcılık Sorgusu: https://github
- S3 Nesne Kilidini Etkinleştir: bir kez yaz, çok oku (WORM) modelinde çalışmak, verilerinizin hiç kimse tarafından silinemeyeceği anlamına gelir (veriler “kilitlenir”), bu da belirli zaman aralıklarında değişikliklere karşı koruma sağlar sql
- Avcılık Sorgusu: https://github
- En az ayrıcalık ilkesini izleyin: Bu, kullanıcıların ve rollerin yalnızca görevleri için gerekli izinlere sahip olmasını sağlar
- Kısa vadeli kimlik bilgileri için IAM rollerini kullanın: Statik IAM erişim anahtarlarını kullanmaktan kaçının Akson Takımı herkesin kendi ortamlarında bu saldırı senaryolarını aramasına olanak tanıyan herkese açık bir paylaşım yaptı:
- Nesne Şifreleme: Fidye yazılımı genellikle bir kuruluşun dosyalarına erişimini engellemek, iş operasyonlarına zarar vermek ve dosyaları geri almak için fidye talep etmek için dosya şifrelemeyi içerir
- Avcılık Sorgusu: https://github X’te Team Axon’u takip edin Ortaya çıkan siber tehditlere ilişkin zamanında güncellemeler ve ilk siber içerik için
Koruma ve En İyi Uygulamalar
Saldırı senaryolarını anlamak, saldırı yüzeyini önemli ölçüde azaltmak için proaktif önlemlerin nasıl uygulanacağına ilişkin bağlam sağlamaya yardımcı olur
S3 paketlerindeki etkinliği günlüğe kaydetmeye yönelik iki ana seçenek – CloudTrail Veri Olayları ve Sunucu Erişim Günlükleri – güvenlik uygulayıcılarının şüpheli etkinlikleri tahmin etmek ve tespit etmek için kullanması gereken çok sayıda bilgi içerir böyle bir saldırı Kuruluşlar bu stratejileri benimseyerek S3 klasörlerinin korumasını güçlendirebilir ve kritik verilerinin bütünlüğünü ve güvenliğini sağlayabilir
- S3 Sürüm Oluşturmayı Etkinleştirin: Bu, doğrudan değiştirmek yerine paketinizde depolanan her nesnenin her sürümünün kaydını tutmak anlamına gelir Aşağıda, Hunters’ın uzman tehdit avlama ekibinin yanıtladığı avlanma sorgularına bağlantılar ile birlikte saldırı senaryoları yer almaktadır
Görünürlüğün Sağlanması: CloudTrail ve Sunucu Erişim Günlükleri
Görünürlük, her türlü etkili tespit stratejisinin temelini oluşturur
- Kısa vadeli kimlik bilgileri için IAM rollerini kullanın: Statik IAM erişim anahtarlarını kullanmaktan kaçının Akson Takımı herkesin kendi ortamlarında bu saldırı senaryolarını aramasına olanak tanıyan herkese açık bir paylaşım yaptı: