Cloud Sniper: gestión de seguridad en ambientes Cloud
Cloud Sniper es una plataforma diseñada para gestionar la seguridad en ambientes cloud, recientemente publicada por su autor, Nicolás Rivero Corvalán, en Black Hat Arsenal 2020 y disponible en su repositorio de GitHub.
Cloud Sniper realiza análisis y la correlación de artefactos nativos en entornos cloud. Se reciben y procesan feeds de seguridad, proporcionando un mecanismo de respuesta automática para proteger a la infraestructura. La plataforma se despliega con Terraform (v0.12), de forma modular (en stacks) lo que facilita a la comunidad extender los casos de uso. Cada stack representa una funcionalidad distinta, generados con un enfoque holístico y sin dependencias entre componentes. Actualmente existen stacks de IAM y Threat Intelligence.
Cloud Sniper ejecuta acciones automáticas (multi-account | multi-region) para proteger la infraestructura, generando las alertas correspondientes, a través de Slack y/o email. Los hallazgos y salidas producidos por Cloud Sniper son enviados en formato JSON a S3, los cuales serán consumidos y procesados de manera automática por el pipeline de logstash.
La platforma está integrada con las siguientes tecnologías cloud:
- GuardDuty findings
- SQS
- CloudWatch
- WAF
- EC2
- VPC Flow Logs
- DynamoDB
- IAM
- S3
- Lambda
- Kinesis Firehose
Para detectar TTPs avanzados, se desarrolló un módulo de analíticas con el objetivo de correlacionar distintos IOCs proporcionando nuevos findings al analista de seguridad.
Actualmente, el módulo de analíticas contiene una función para detectar
patrones de beaconing asociados a instancias de EC2. Se analizan VPC Flow
logs, en donde se detectan patrones de periodicidad en los datos,
en
condiciones de mucho ruido. La plataforma aplica un modelo de
transformadas de Fourier analizando periodogramas y filtrando falsos
positivos por autocorrelación.
Cloud Sniper introduce la capacidad de monitoreo de
seguridad en ambientes cloud agregando telemetría, proporcionando métricas y
alertas basadas en la información procesada. Se integra de manera nativa con
el stack ELK, sólo es necesario importar el dashboard para comenzar a
visualizar los hallazgos.
Cloud Sniper provee un sistema de gestión completo, exhaustivo y automatizado de los incidentes de seguridad en entornos cloud. Al mismo tiempo, un analista de seguridad puede integrar herramientas externas y procesar nuevas fuentes de datos.
El sistema está actualmente disponible para AWS, se puede instalar desde CLI, y se extenderá a otras plataformas cloud.
Fuente: SeguInfo
Comentarios
Publicar un comentario