Publicado en: Jan 20, 2022
Amazon GuardDuty presenta una nueva detección de amenazas que le informa cuando sus credenciales de instancia de EC2 se utilizan para invocar una API desde una dirección IP que pertenece a una cuenta de AWS distinta a aquella desde la que se ejecuta la instancia de EC2 asociada. El nuevo tipo de hallazgo es: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. Aunque Amazon GuardDuty siempre le informa cuando sus credenciales de instancia de EC2 se utilizan desde fuera de AWS, esta nueva detección de amenazas limita la capacidad de un actor malicioso de evadir la detección utilizando las credenciales de instancia de EC2 desde otra cuenta de AWS.
Si ya es cliente de Amazon GuardDuty, no necesita realizar ninguna acción para empezar a utilizar esta nueva capacidad de detección de amenazas para supervisar las operaciones del plano de control capturadas en AWS CloudTrail. Si también es cliente de GuardDuty S3 Protection, esta nueva detección de amenazas también le informará cuando las credenciales de la instancia de EC2 se utilicen desde otra cuenta de AWS para invocar operaciones del plano de datos S3 (por ejemplo, LIST/PUT/GET). La protección de S3 se activa de forma predeterminada cuando habilita GuardDuty por primera vez. Si ya está utilizando GuardDuty para proteger sus cuentas y cargas de trabajo y aún no habilitó esta capacidad, puede habilitar la protección de S3 a través de la API o la consola de GuardDuty.
Las credenciales de instancia de EC2 son las credenciales temporales que se ponen a disposición a través del servicio de metadatos de EC2 para cualquier aplicación que se ejecute en una instancia cuando se le adjunta un rol de AWS Identity and Access Management (IAM). Estas credenciales, si se vulneran, pueden utilizarse para invocar maliciosamente las API en función de los permisos definidos en el rol de IAM asociado a la instancia. Al generar una alerta, ahora también puede ver el ID de la cuenta de AWS desde la que se utilizaron las credenciales en la consola de Amazon GuardDuty o en el archivo JSON del hallazgo. Si la cuenta remota de AWS desde la que se utilizan las credenciales no está afiliada a su cuenta de AWS, es decir, las cuentas no forman parte de su configuración multicuenta de GuardDuty, la gravedad del hallazgo será alta. Por otro lado, si la cuenta remota de AWS está afiliada a su cuenta de AWS, la gravedad del hallazgo será mediana. GuardDuty también aprenderá topologías de redes de uso común entre cuentas para reducir el volumen de hallazgos generados para los casos de uso esperados, como cuando se utiliza AWS Transit Gateway para dirigir el tráfico entre dos cuentas de AWS.
Amazon GuardDuty, que se encuentra disponible a nivel mundial, controla de manera continua el comportamiento malicioso o no autorizado para proteger los recursos de AWS, incluidas las claves de acceso, las cuentas de AWS, las instancias de EC2 y los datos almacenados en S3. Impulsado mediante inteligencia ante amenazas, machine learning y técnicas de detección de anomalías, GuardDuty evoluciona continuamente para ayudar a proteger el entorno de AWS. Puede habilitar una prueba gratuita de 30 días de Amazon GuardDuty con un solo clic en la consola de administración de AWS. Si desea obtener más información, consulte Hallazgos de Amazon GuardDuty; para recibir actualizaciones programáticas sobre nuevas características y detecciones de amenazas de Amazon GuardDuty, suscríbase al tema de SNS de Amazon GuardDuty.