L'infrastructure cloud devenant l'épine dorsale des entreprises modernes, il est primordial de garantir la sécurité de ces environnements. AWS (Amazon Web Services) étant toujours le cloud dominant, il est important pour tout professionnel de la sécurité de savoir où chercher des signes de compromission. AWS CloudTrail se distingue comme un outil essentiel pour le suivi et la journalisation de l'activité des API, fournissant un enregistrement complet des actions effectuées au sein d'un compte AWS.
Considérez AWS CloudTrail comme un journal d'audit ou d'événements pour tous les appels d'API effectués dans votre compte AWS. Pour les professionnels de la sécurité, la surveillance de ces journaux est essentielle, en particulier lorsqu'il s'agit de détecter d'éventuels accès non autorisés, par exemple via des clés d'API volées. J'ai appris ces techniques et bien d'autres au cours des incidents sur lesquels j'ai travaillé chez AWS et que nous avons intégrées dans SANS FOR509 , Enterprise Cloud Forensics. 1. Appels d'API et modèles d'accès inhabituels# A. Augmentation soudaine des demandes d'API# L'un des premiers signes d'une faille de sécurité potentielle est une augmentation inattendue des requêtes API. CloudTrail enregistre chaque appel API effectué dans votre compte AWS, y compris la personne qui a effectué l'appel, la date et l'origine de l'appel. Un attaquant disposant de clés API volées peut lancer un grand nombre de requêtes dans un court laps de temps, soit en sondant le compte pour obtenir des informations, soit en tentant d'exploiter certains services. Que rechercher : Une augmentation soudaine et inhabituelle de l’activité des API. Appels API provenant d'adresses IP inhabituelles, en particulier de régions où les utilisateurs légitimes n'opèrent pas. Tentatives d’accès à une grande variété de services, surtout s’ils ne sont pas généralement utilisés par votre organisation. Notez que la fonction de garde (si activée) signalera automatiquement ce type d'événements, mais vous devez être vigilant pour les trouver. Lire la suite : https://thehackernews.com/2024/08/detecting-aws-account-compromise-key.html
