SOC的教训:分析和修复云攻击路径(由Rapid7赞助)

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/SEC315-S-Lessons_from_the_SOC__Analyzing_and_remediating_cloud_attack_paths__sponsored_by_Rapid7___Rapid7_-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 能够将潜在攻击路径背后的数十个因素简化为一个简单的图形,让技术人员和非技术人员都可以理解,这可能意味着修复的快慢和事件的严重程度之间的差异。在这个闪电式演讲中,了解Rapid7专家分析过的常见和新颖的攻击路径示例,并逐步探索保护您组织关键数据的建议。本次演示由亚马逊云科技合作伙伴Rapid7带来。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共800字，阅读时间大约是4分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> Lonnie Best，在Rapid7工作了六年的资深员工，曾担任SOC分析师，现管理着一个分析师团队。他登上讲台，分享了他在调查和修复现实世界云计算攻击过程中的宝贵经验。Rapid7是一家知名的安全公司，以其产品如Metasploit而著称，在行业领先的漏洞管理方面具有优势。此外，Rapid7还提供关键的安全服务，包括由安全分析师和事件响应顾问组成的全天候管理的检测和响应（MDR）服务。 Rapid7具备强大的威胁情报和研究能力。例如，他们运营全球蜜罐并执行互联网扫描，以应对新兴威胁。Rapid7还通过像AttackerKB这样的计划回馈社区，这是一个包含超过300,000个漏洞的按可利用性排名的漏洞数据库；Metasploit是一个受欢迎的开源渗透测试工具，被200,000多名安全专业人士使用；Velociraptor是一个开源的数字取证和事件响应工具。 Lonnie通过现实生活中的例子讲述了威胁行为者如何利用被入侵的亚马逊云科技环境作为自己的游乐场的故事。这个故事始于一位客户注意到来自根用户帐户的可疑活动。他们迅速通过与24小时热线联系并与客户顾问交谈来寻求Rapid7的MDR团队的帮助。 SOC开始通过审查客户的亚马逊云科技CloudTrail日志（已纳入InsightIDR SIEM平台以及其他安全数据源）来展开调查，同时分析其他可疑行为。初步迹象表明可能存在更严重的问题，因此SOC邀请了Rapid7的事件响应顾问参与更深层次的调查。 深入调查发现，威胁行为者在亚马逊云科技环境中广泛开展了恶意活动： - 初始访问时，遗憾的是，在客户通过删除关键证据来解决之前，根源原因未能确定。但是，被入侵的亚马逊云科技凭证是一个常见的初始突破口。 威胁行为者通过调用一些常见的API（如DescribeKeyPairs、ListAccessKeys和ListMFADeviles）来尝试访问大量的亚马逊云科技资源，包括凭证、多因素认证设备和服务配额等。为了获得更高的访问权限，他们已经攻陷了五个账户，并收集了相关的会话令牌以及SSH密钥对。在执行过程中，他们还创建了一个SageMaker角色以及多个Jupiter笔记本，试图掩盖其真实目的。为了实现持久化，他们甚至创建了八个新的用户账户。最后，为了造成更大的影响，他们在Lightsail实例上设置了一个可能被用于进一步攻击的网络钓鱼基础设施。Lonnie将这一系列行动与相关的MITRE ATT&CK战术和技术进行了对比。他强调，这次广泛的调查主要依赖于对云日志和安全数据的手动分析。如果能在更早的时候获得更多的背景信息和可见性，可能会加快检测和响应的速度。为了解决这一差距，Rapid7最近在InsightCloud中推出了一项名为攻击路径分析的新功能。这项功能旨在可视化攻击者在云环境中可能使用的入口路径和横向移动方式。了解这些路径的早期可以帮助我们优化云监控并加强防御措施。此外，Lonnie还引用了一项由Rapid7进行的研究，结果显示拥有成熟云项目的组织有七倍的可能性能够迅速有效地应对威胁和管理安全加固。他认为，安全编排和自动化是实现跨云环境高效调查和修复的关键。 快速7的Cloud Risk Complete服务在云安全的关键领域具有强大的功能。企业可通过精心设计的云安全架构、监控和自动化来及时发现威胁、限制影响范围并迅速修复问题。Lonnie的见解丰富的演讲充分利用了快速7在调查和修复云攻击方面的丰富经验，为努力提高云安全状况的安全团队提供了实用的建议。尽管威胁将继续演变，但如了解攻击路径、提高可视性和启用自动化等基本实践将在企业的云安全之旅中扮演重要角色。 **下面是一些演讲现场的精彩瞬间：** 演讲者探讨了一种方法，即通过对现实世界的安全事件进行分析，以识别和解决云攻击路径的问题。  这位专家提及了Rapid7公司，这是一家以其各种产品，如Metasploit和漏洞管理而闻名的企业。  他强调了亚马逊云科技在安全研究方面的社区驱动努力，例如Attacker KB、MITRE框架和Velociraptor应急响应工具。  然而，由于客户更关注快速解决问题而非彻底调查，因此往往无法找到安全事件的源头。  为了应对这一挑战，演讲者介绍了一种名为攻击路径分析的新型安全功能，该功能能够追踪云环境中未授权访问的踪迹。  借助这些自动化技术，客户每天可节省9000美元的成本，同时还能防止比特币挖矿等恶意活动。  最后，演讲者简短地提到了Rapid7的Cloud Risk Complete服务，并鼓励观众前往该公司展台以获取更多相关信息。  ## 总结 快速7公司的一位发言人讨论了针对真实世界中安全事件进行分析和解决云攻击路径问题的方法。首先，他描述了一个威胁行为者如何渗透到一个客户的亚马逊云科技环境并将之当作个人“游乐场”，包括创建用户、收集凭证、搭建钓鱼基础设施等行为。尽管初始访问途径尚不清楚，但发言人怀疑可能是泄露的凭证所致。经过快速7公司的调查，发现了威胁行为者遵循MITRE ATT&CK标准进行的发现、凭证访问、执行、持续性和影响等活动。随后，发言人谈到了通过快速7 InsightCloud端到端可视化攻击路径所带来的关键价值，这有助于更快地识别和修复攻击。他还强调，更成熟的云安全项目能更快地实现包含和监督功能。接着，发言人讲述了一个客户如何防范其亚马逊云科技环境中的加密货币挖矿攻击。他们利用自动化工具自动更新权限并关闭未经授权的资源，每天节省近9000美元。最后，发言人总结道，通过对攻击路径进行分析并完善云安全措施，可以降低风险并节省资金。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")