twitterfacebookgithubgoogle-plusxinglinkedininstagram
Unfortunately, this article is only available in German.
Engineering

AWS SecOps Training: Hacker, Einhörner und Pizza

4 minutes reading time
Unicorn hunter / Unicorn hunting AWS
  • Kevin Scholz
    Kevin Scholz

Wer als SecOps (das Sec steht hier für Security), Site Reliability oder Infrastructure Engineer arbeitet, kann sich vermutlich das folgende Szenario vorstellen. Du startest neu in einem Unternehmen, in dem Elon Musk gerade 70% des Infrastruktur-Teams entlassen hat und findest Infrastruktur vor, die wenig dokumentiert und historisch gewachsen ist. Der Job: Halte den Service online und die Daten sicher.

Zumindest so erscheint das Setting des AWS Security Days, welchen Amazon Web Services (AWS) in Berlin, München sowie remote veranstaltet. Es handelt sich hier zwar nicht um Twitter nach der Übernahme, aber um unicorn.rentals, das weltweit führende AirBnB für Einhörner. Ich bin für Zweitag in Berlin dabei. 

AWS Security Days


Unicorn.rentals ist sehr erfolgreich, ist aber leider Ziel eines Angriffs geworden. Daten drohen abzufließen. Also liegt es in der Hand der teilnehmenden Teams, die Angriffe zu stoppen, die Infrastruktur in AWS abzusichern und vorsorgende Maßnahmen für den Fall weiterer Angriffe zu treffen. Natürlich mit Scoreboard für ein Ranking der Teams.

Nach einer kurzen Stärkung in Form von Pizza und Drinks erhalten wir die Einweisung des unicorn.rentals Managements mit unseren konkreten Aufgaben. Dann geht es los. Auf der Agenda steht: Datenbankspeicher verschlüsseln, Zugänge sperren, "feindliche" Konfigurationen finden und entfernen und am Ende für weitere Angriffe vorbereitet sein.

AWS bietet hier eine Vielzahl von Tools für diese SecOps-Aufgaben. Grob lassen sich diese in vier Bereiche bzw. Schritte einteilen:

  • Daten sammeln: Im ersten Schritt werden Event-Daten gesammelt. Das können z. B. Daten aus Anwendungs-Logs (CloudWatch), Netzwerk-Traffic (VPCFlow Logs), DNS-Anfragen (DNS Resolver Logs), S3 Events oder Audit Logs sein. Hilfreich ist auch die Möglichkeit des Config Recorders, der Veränderungen im AWS Account aufzeichnet und analysierbar macht.

  • Daten überprüfen, entdecken und messen: Im Anschluss können diese Quellen mit Services wie AWS Detective, GuardDuty, Inspector und IAM Analyzer auf Auffälligkeiten überprüft werden. Diese Services ermöglichen ebenfalls, Notifications einzurichten, die bei zukünftigen Auffälligkeiten direkt alarmieren. Bei einigen dieser Tools ergibt Ihr Einsatz fast immer Sinn, wie etwa im Fall des IAM Analyzers. Dieser warnt, wenn Ressourcen öffentlich verfügbar gemacht wurden, was in den seltensten Fällen die gewünschte Konfiguration ist. Der Einsatz des Analyzers hätte den einen oder anderen Datenklau verhindern können.

  • Daten konsolidieren, aggregieren: Zur besseren Übersicht und Aggregation von sicherheitsbezogenen Auffälligkeiten stellt Security Hub eine Account-übergreifende Oberfläche zur Verfügung. Dieser Schritt bietet sich besonders an, wenn mehrere AWS Accounts genutzt werden und eine zentrale Übersicht wichtig ist.

  • Act & Respond: Am Ende jedes Events steht eine Entscheidung, die getroffen werden muss. Hier unterstützt AWS mit den Services SSM Operations Manager und Trusted Advisor. Ferner können über die Notifications auch direkt automatisierte Aktionen eingeleitet werden, wie z. B. das Hinzufügen von betrügerischen IPs einer Blocklist. Diese Aktionen können über EventBridge-Regeln und z. B. Lambda-Funktionen implementiert werden.

Mit diesem "Koffer" von Tools gewappnet, beginnen mein Team und ich also die Abwehr von unicorns.rentals. Um hier nicht zu spoilern, berichte ich nicht über die genauen Schritte, die zur Lösung der Aufgaben geführt haben. Nach drei Stunden haben wir erfolgreich alle Angriffe abgewehrt und die Infrastruktur abgesichert. Einhörner können nun wieder sicher entliehen werden. Nach einer abschließenden Siegerehrung geht der Game Day zu Ende.

Alles in allem ist der Game Day eine super Gelegenheit, um die eigenen SecOps-Fähigkeiten in AWS weiter zu trainieren und diese im Kontext eines neuen, fremden Umfelds anzuwenden. Ich kann die Game Days nur empfehlen.

Solltest du auch an diesen Themen interessiert sein oder Bedarf an Input zu diesen Themen haben, lass uns gerne über E-Mail oder LinkedIn connecten.

You are looking for the right partner for successful projects?
We'd love to help – let's get in touch!
Contact us