Introducción:
En este artículo se busca hacer un resumen acerca del AWS Blueprint for Ransomware Defense publicado el pasado 11 de Mayo de 2023 exponiendo los puntos principales a tener en cuenta y no menos importante, en Español, además me tomaré el atrevimiento de agregar algunas sugerencias y comentarios propios basados en mi experiencia y para intentar hacer más rico el contenido del artículo.
Antes que nada, haremos un pequeño recordatorio de que es un ransomware, para esto citaremos la definición de Kaspersky “El ransomware es una clase de malware que representa un riesgo para ti y para tu dispositivo. ¿Sabes qué lo hace tan especial? Su nombre no es casualidad: el término con el que comienza, “ransom”, es una palabra inglesa que significa “rescate”. El ransomware es un software extorsivo: su finalidad es impedirte usar tu dispositivo hasta que hayas pagado un rescate.
Normalmente, una infección con ransomware ocurre del siguiente modo. Para empezar, el ransomware se introduce en el dispositivo. A continuación, dependiendo del tipo de ransomware, se cifra por completo el sistema operativo o solo algunos de los archivos. Finalmente, se le exige a la víctima el pago de un rescate.”
En principio lo que AWS nos ofrece es una guía de 40 de controles de seguridad recomendados por el CIS (Center for Internet Security) diseñado para la protección contra el Ransomware y a su vez nos indica con que servicios y características de AWS podemos alinearnos a estos controles. A su vez estos controles también están alineados con el NIST (National Institute of Standards and Technology) CSF (Cybersecurity Framework)
Para tener en cuenta también se hace mención de que el CIS Community Defense Model realizó un análisis sobre la implementación de estos controles de seguridad y como resultado arrojo que pueden ayudar a mitigar hasta un 70% de técnicas asociadas al Ransomware NO dirigido, esto debido a que son controles categorizados como esenciales y que pueden ser de gran utilidad sobre todo para profesionales IT con experiencia limitada en ciberseguridad.
Existen algunos servicios los cuales AWS toma como Foundationals, los cuales se recomiendan encarecidamente y se toman como base para cualquier estrategia de seguridad en AWS y estos son:
Utilizar AWS Organizations y AWS Control Tower para poder aplicar gobernanza en la estrategia multi cuenta, de esta forma podríamos implementar una Landing Zone basada en las mejores practicas a la hora de escalar y que la innovación no se vea detenida por la seguridad. Hay otros servicios que vienen a hacer parte de esta estrategia y son Amazon VPC definiendo un baseline a la hora de desplegar cuentas nuevas y por ultimo AWS CloudTrail, quien junto al despliegue inicial de Control Tower, nos genera un Organizational-Level Trail, para agrupar los logs de auditoria de todas las cuentas de la organización.
A su vez, AWS nos provee la forma de gestionar de forma centralizada las identidades a través de usuarios federados en entorno multi cuenta, esto gracias a AWS Identity Center, evitando la complejidad de administrar usuarios y grupos por cuentas individuales.
Conoce tu entorno - (NIST CSF - Identificar)
En este punto se hace hincapié en la importancia de hacer un inventario de recursos, sistemas, software, etc., aquí AWS recomienda utilizar AWS Config como el servicio principal para esta tarea ya que es un servicio completamente administrado y proporciona un inventario de recursos, historial de configuración y notificaciones de cambio de configuración para una mejor seguridad y gobernanza. Además de que permite crear reglas que verifiquen automáticamente la configuración de recursos y AWS Config lo registrará.
También puede sumarse AWS Systems Manager, específicamente su característica llamada Inventory, el cual puede proveer un inventario a nivel de software dentro de las Instancias EC2 el cuál puede ser almacenado en un bucket S3.
Algo que no puede faltar en este apartado es el taggeo o etiquetado de los recursos dentro de AWS, establecer mecanismos de etiquetado nos facilita la organización de dichos recursos, asociar costos a algún proyecto, identificar rápidamente el owner o propietario de dicho recurso, etc., aquí podemos hacer uso de Service Control Policies en conjunto con Tag Policies para establecer nuestra estrategia de etiquetado de recursos forzando los tags requeridos y sus valores permitidos, esto en combinación con Tag Editor para etiquetar recursos existentes nos facilitará mucho el trabajo.
Por último, contar con un mecanismo para clasificar y detectar información sensible y/o confidencial como por ejemplo PII (Personally Identifiable Information) o cualquier tipo de información con propiedad intelectual, cuentas de usuario, datos financieros, etc., esto lo podemos lograr de la mano de Amazon Macie.
Configuraciones seguras - (NIST CSF - Proteger)
AWS recomienda aplicar mejores prácticas o hardenizar (robustecer) configuraciones de Instancias EC2, contenedores de Amazon ECS, funciones Lambda, o instancias de AWS Elastic Beanstalk y guardar estas imágenes hardenizadas o AMI (Amazon Machine Image) y a su seguir las recomendaciones de AWS como cifrado de disco completo, o algún cumplimiento interno del cliente, esto puede lograrse mediante Image Builder.
Dentro de este pilar también se hace énfasis en el uso de Amazon Inspector para detectar vulnerabilidades en instancias EC2, funciones Lambda y repositorios de imágenes de ECR.
Utilizar AWS Config para detectar cambios en las configuraciones de los recursos desplegados y realizar una evaluación continua.
Ya sea mediante soluciones nativas de AWS o de terceros desde AWS Marketplace, se recomienda la inspección de tráfico y a su vez, a través de Amazon VPC podemos crear una red privada, segura y escalable, con subnets públicas, privadas, NACL, Security Groups y yendo un paso más, mediante la utilización de AWS Network Firewall, que es un firewall de red administrado y un servicio de detección/prevención de intrusiones que permite a los clientes filtrar el tráfico en el perímetro de su VPC.
Gestión de cuentas y accesos - (NIST CSF - Proteger)
Respecto a la administración de accesos y cuentas en AWS, hay varias recomendaciones:
- Para la administración de acceso, AWS recomienda la utilización de usuarios federados mediante un IdP, como Active Directory, Azure AD, Okta, etc, por ejemplo utilizar AWS Identity Center para gestionar de forma centralizada los usuarios y opcionalmente integrarlo con un IdP existente.
- Amazon Cognito es útil para gestionar el acceso a las cargas de trabajo dentro de AWS.
- Contraseñas únicas y seguras.
- Eliminar cuentas que no se utilizan.
- Habilitar MFA.
- Seguir el principio de menor privilegio.
Adicionalmente, seguir las mejores prácticas de seguridad de IAM
Gestión de vulnerabilidades - (NIST CSF - Proteger)
AWS hace énfasis en la gestión de vulnerabilidades de los recursos desplegados en AWS, esto lo podemos lograr mediante Amazon Inspector, quien permite encontrar vulnerabilidades de software en las Instancias EC2, funciones Lambda e imágenes en ECR. A su vez, contamos con Patch Manager, parte de la suite de AWS Systems Manager, que nos permite aplicar parches de seguridad en los sistemas operativos y aplicaciones tanto en servidores Linux como Windows, e incluso en servidores On-Premise.
Adicionalmente utilizar AWS Security Hub como CSPM (Cloud Security Posture Management) como lo dicen estas siglas, nos permiten evalúan la postura de seguridad de nuestro entorno Cloud, en este caso en AWS, incluso, de la mano de AWS Organizations, es posible administrar de forma centralizada los hallazgos de seguridad de múltiples todas las cuentas miembros de la organización, no solo esto, gracias a la característica de Findings Aggregation, podemos consolidar hallazgos de múltiples regiones de AWS y controles similares de mas de un estándar de seguridad. Con todas estas características, AWS Security Hub nos permite consolidar hallazgos de otros servicios de AWS como Amazon GuardDuty, Amazon Inspector, Amazon Macie, AWS IAM Access Analyzer, entre otros, y establecer acciones automáticas o semi automáticas, disparando acciones mediante funciones Lambdas, enviando notificaciones a través de Amazon SNS (Simple Notification Service), ejecutar acciones a través de Run Command o Automation (AWS Systems Manager), ejecutando workflows de AWS Step Functions e incluso integrarse con soluciones de terceros como podría ser un SIEM, herramientas de tickets, plataformas de respuestas a incidentes, etc.
Recuperación de datos y respuesta a incidentes - (NIST CSF - Responder)
Tal como AWS lo dice, los logs nos proveen visibilidad y facilitan la comprensión de la naturaleza de cualquier tipo de incidente, por lo tanto, disponer de logs es y será critico siempre, sin importar el escenario, en este punto AWS cataloga los logs en tres planos:
Plano de control: Estos logs hacen referencia al acceso mediante llamadas API a los servicios de AWS, típicamente logs capturados por AWS CloudTrail.
Plano de datos: Este tipo de logs son los relacionados al acceso como tal de un objeto dentro de algún servicio, como por ejemplo un objeto dentro de un bucket S3 o _/var/log/messages _dentro de una Instancia EC2 Linux.
Plano de networking: Por ultimo estos logs son los generados por actividad de red dentro de la VPC.
Hay ciertas buenas practicas relacionadas a los logs en AWS, entre las que se encuentran asegurar el principio de menor privilegio a los logs, para por ejemplo, evitar que se eliminen intencional o accidentalmente. Almacenar los logs en una cuenta central y con este fin especifico, para esto AWS Control Tower nos brinda una cuenta de Log Archive, la cual podemos utilizar para dicho propósito, habilitando de forma predeterminada los logs de AWS CloudTrail y AWS Config en todas las cuentas miembro de la organización, esto nos facilita la tarea de monitoreo.
Otra sugerencia de AWS para sus clientes es habilitar VPC Flow Logs y Amazon Route 53 Resolver Query Logs, almacenarlos en un Bucket S3 o un Log Group de CloudWatch, en el caso de VPC Flow Logs, se puede habilitar a nivel de la VPC, Subnet o ENI (Elastic Network Interface) esto permite jugar un poco con los costos del servicio.
AWS CloudTrail logs, VPC Flow Logs y Route 53 Resolver Query Logs son los tres componentes claves en cuanto a recolección de logs para investigaciones de seguridad, pero adicionalmente hay otros servicios que pueden generar logs útiles para estos propósitos, y que como es sabido en el Modelo de Responsabilidad Compartida de AWS, no vienen habilitados por defecto, es uno como cliente quien debe habilitarlos, algunos de esos otros servicios son ELB Logs, AWS WAF Logs, AWS Config Recorder Logs, hallazgos de Amazon GuardDuty, etc.
Otro servicio interesante que AWS recomienda es Amazon Security Lake el cual automáticamente recolecta logs de AWS CloudTrail, Amazon VPC, Amazon Route 53, Amazon S3 y AWS Lambda, pero no queda solo allí, a través de AWS Security Hub también puede recolectar hallazgos de AWS Firewall Manager, Amazon GuardDuty, AWS Config, AWS Health, AWS IAM Access Analyzer, Amazon Inspector, Amazon Macie y Patch Manager, además, es posible agregar datos desde soluciones de terceros compatibles con el Open Cybersecurity Schema Framework (OCSF) y datos personalizados.
Bien, ahora que ya AWS nos dio sus recomendaciones respecto a la recolección de logs, veremos mediante qué otros servicios podemos hacer consultas sobre ellos, para esto tenemos CloudWatch Log Insights para consultar logs almacenados en Log Groups.
Luego tenemos otros servicios para consultar logs almacenados en Buckets S3 como pueden ser Amazon Athena, Amazon Security Lake y Amazon OpenSearch Service e incluso puede integrarse este análisis de logs con herramientas de terceros como por ejemplo un SIEM (Security Information and Event Management).
Considerado como uno de los 10 principales elementos de seguridad para mejorar en su cuenta de AWS, se recomienda que verifique y actualice regularmente su cuenta de AWS y la información de contacto de seguridad, lo que proporciona a AWS los puntos de contacto necesarios para compartir información, colaborar y orquestar un respuesta si es necesario.
Al final del artículo dejaremos un link para consultar la Guía de respuesta a incidentes de seguridad de AWS para obtener más información sobre cómo actualizar la información de contacto de su cuenta de AWS.
Defensa contra malware - (NIST CSF - Proteger)
Existen varias soluciones nativas de AWS y de terceros disponibles para la detección y protección de malware en AWS. Una solución nativa de AWS que puede ser utilizada es Amazon GuardDuty Malware Protection.
Con Malware Protection habilitado, cualquier actividad o comportamiento sospechoso que Amazon GuardDuty detecte dentro de una instancia EC2 o un contenedor, automáticamente iniciará un análisis sin agente en los volúmenes EBS asociados a las instancias EC2 o los contenedores para poder detectar la presencia de malware.
Adicionalmente otra recomendación es habilitar Amazon Route 53 Resolver DNS Firewall para filtrar el tráfico DNS saliente de su VPC.
Concientización sobre seguridad y capacitación en habilidades - (NIST CSF - Proteger)
Los programas de capacitación y concientización son factores claves para aumentar la capacidad de abordar riesgos en materia de ciberseguridad, por lo tanto mantener al personal y no solo los especialistas seguridad, sino todo el personal es muy importante y AWS recomienda que como mínimo, una vez al año.
AWS ofrece programas de formación como AWS Skill Builder, laboratorios prácticos a través de AWS Workshops, ambos con formación específica en seguridad. Además, tenemos el Well-Architected Tool para ayudar a los arquitectos de soluciones a crear entornos seguros, de alto rendimiento, resilientes y eficaces para cualquier carga de trabajo en AWS.
Recuperación de datos y respuesta a incidentes - (NIST CSF - Recuperar)
En este punto AWS plantea algo que es super importante, y es que cualquier organización debería tener procesos claves de restauración de sus sistemas en los casos donde un incidente ha causado daños que no pueden aceptarse o mitigarse, a su vez, estos procesos deberían probarse regularmente para saber que cumplen con la estrategia de RPO y RTO de la organización.
AWS nos recomienda el uso de AWS Backup el cual es un servicio de copia de seguridad administrado el cual nos da la posibilidad de automatizar los backups en diferentes servicios de AWS. Adicionalmente, gracias a su integración con AWS Organizations, podemos administrar los backups Cross Account y delegar la gestión del servicio a una cuenta específica, pero no queda solo allí, para aplicar restricciones a quienes pueden realizar determinadas acciones en el servicio tenemos AWS IAM o a un nivel de cuenta, podemos aplicar Service Control Policies, y luego gracias a AWS CloudTrail tendremos registradas las actividades a nivel de API, por último con Amazon CloudWatch podremos ver métricas de performance de las tareas de backup, consumos, etc.
Finalmente, si quisiéramos contar con respaldos inmutables, podemos activar dos características AWS Backup Vault Lock y S3 Object Lock.
Para organizaciones que necesitan una solución de recuperación completa basada en la nube o para aplicaciones On-Premise, tenemos AWS Elastic Disaster Recovery que puede ayudarlo a recuperar de manera rápida y confiable aplicaciones mientras utiliza almacenamiento asequible, cómputo mínimo y point-in-time recovery.
Por último, una recomendación es el uso de Infraestructura como Código o IaC, en este caso puede realizarse con servicios nativos de AWS, como por ejemplo AWS CloudFormation, o en su defecto utilizar Terraform, independientemente de cuál se utilice, será mejor opción que desplegar los recursos manualmente, ya que en casos de desastres o querer recuperarse rápidamente, tener los recursos definidos por código pueden ser desplegados nuevamente de forma rápida en cualquier cuenta y región.
Conclusión
Como se mencionó al inicio, el AWS Blueprint for Ransomware Defense es una guía de controles de seguridad para mitigar un gran porcentaje de incidentes de Ransomware pero no brinda protección para todo tipo de ataques, sobre todo dirigidos, es por ello que se debe tener como guía base y complementarse con la estrategia de seguridad de la organización, esto con el objetivo de aumentar la resiliencia y protección contra Ransomware y demás amenazas.
Para concluir, comparto unos enlaces adicionales para aquellos interesados en profundizar en los temas abordados en este artículo. Especialmente, les recomiendo leer el Blueprint de AWS para obtener más detalles y reconocer el arduo trabajo de quienes contribuyeron a su desarrollo. Agradezco sinceramente a todos ustedes por haber llegado hasta el final, esperando que la información aquí proporcionada haya sido de su agrado y utilidad.
- AWS Blueprint for Ransomware Defense:
https://aws.amazon.com/es/blogs/security/announcing-the-aws-blueprint-for-ransomware-defense/
- NIST Cybersecurity Framework:
https://www.nist.gov/cyberframework
- AWS Security Incident Response Guide:
- AWS Well-Architected:
Top comments (0)