研究者在BlackHat2016展示四种工具,
响应安全事件亚马逊WebService内部部署与响应企业自备设备事件大不相同,
获取法证证据不同,主要是因为安全从业者无法实际访问AWS实例运行的机器
有个足球雷竞技app+More网络世界黑帽9免费安全工具防攻+
使用AWS软件开发程序包或命令行接口,客户可自写工具制作已失密磁盘实例法证图像,例如Andrew Krug和Alex McCormack研究者对介绍四工具黑帽2016并写出专处理AWS事件响应
关键是制定响应计划, 工具可以实现它的主要部分, 清除大量人工法证工作 延缓事端并给予攻击者更多时间去破坏令人类免去执行任务 任由他们出错
可能难以定位AWS实例,使响应更加复杂macormack表示:「AWS全球化,
简单描述四大工具你可以下载来.
玛格丽塔散弹枪:工具自动化从远程系统收集存储器,无论存储器为企业所有还是通过AWS提供由SSH向安全代理调查事件工作站流存数据可存入磁盘或转置AWSs3存储桶进程并行使用Python多处理库,以便尽快获取数据,减少失密实例保持活动时间
思想是计划对事件作出反应 并实现自动化 如此宝贵的证据
ss-ir:自动收集事件证据并减轻攻击并有三大命令首项主机折中程序将失密实例分派给安全性强的集团,该集团切除攻击者主动链接取附量快照,捕捉存储器,收集实例元数据并收集控制台输出数据收集后关闭实例
二命令密钥折中触发失密AWS访问密钥失效第三个命令创建工作站创建独立工作站实例分析攻击者使用密钥可能已采取的行动
威胁响应网页:工具可收集分析事件相关数据,如果事件中似乎涉及其他实例,也可以从中提取信息工具提供存储视图和磁盘分析视图,指定执行调查工作站提供这些视图
威胁响应网络仪表板显示AWS全球网络哪个地理区域相关实例运行中以及亚马逊机器图像类型运行中
威胁Prep设计帮助更好地维护AWS实例,工具查找安全可改善之处和常规收集法证量应增加的领域检验事物包括s3存储桶是否启动日志编译和公开读写判定多因子认证是否开机获取AWS账户相关身份和访问管理并观察流日志是否启动虚拟专用云
