Inserito il: Oct 16, 2019
Amazon GuardDuty presenta tre nuovi rilevamenti delle minacce. Due dei rilevamenti sono correlati ad Amazon S3 e il terzo alla potenziale esfiltrazione dei metadati dell'istanza EC2 tramite il rebinding DNS.
Il primo rilevamento correlato a S3: Policy:IAMUser/S3BlockPublicAccessDisabled informa che il blocco dell'accesso pubblico S3 è stato disabilitato per un bucket S3 nel tuo account AWS (o più account se configurato in una configurazione su più account). Il blocco dell'accesso pubblico S3 viene utilizzato per filtrare i criteri o le liste di controllo accessi (ACL) applicate a un bucket per impedire l'esposizione involontaria dei dati. Questo rilevamento può essere un indicatore di una configurazione errata o di un'attività dannosa. Un risultato generato da questo rilevamento delle minacce non indica necessariamente che il bucket o gli oggetti siano condivisi pubblicamente, quanto piuttosto che è necessario controllare i criteri e le ACL applicate al bucket per confermare che siano presenti le autorizzazioni appropriate. Il secondo rilevamento relativo a S3: Stealth:IAMUser/S3ServerAccessLoggingDisabled informa che si è verificata una modifica per disabilitare la registrazione dell’accesso ai server Amazon S3 per un bucket in cui era precedentemente abilitata. Quando la registrazione dell'accesso al server Amazon S3 è disabilitata, questo potrebbe essere un indicatore di una configurazione errata o di un'attività dannosa e deve quindi essere esaminata. La gravità di entrambi questi risultati è bassa.
Il terzo nuovo rilevamento delle minacce, UnauthorizedAccess:EC2/MetaDataDNSRebind ti informa che un'istanza EC2 nel tuo ambiente AWS sta interrogando un dominio che si risolve nell'indirizzo IP dei metadati EC2. Una query DNS di questo tipo può indicare un tentativo di eseguire il rebinding DNS per ottenere metadati da un'istanza EC2, incluse le credenziali IAM associate ad essa. Il rebinding DNS utilizza vulnerabilità in un'applicazione in esecuzione sull'istanza EC2 o utenti umani che accedono all'URL in un browser Web in esecuzione su quell’istanza. La gravità di questo risultato è elevata.
Queste nuovi risultati sono oggi disponibili in tutte le regioni in cui è disponibile Amazon GuardDuty. Per iniziare a utilizzare questi nuovi tipi di risultato, non è necessario intraprendere alcuna azione.
Amazon GuardDuty è un servizio disponibile in tutto il mondo con cui è possibile monitorare le attività in modo costante per individuare comportamenti sospetti o non autorizzati e proteggere così le risorse AWS, tra cui account e chiavi di accesso. GuardDuty identifica le attività inconsuete o non autorizzate, ad esempio il mining di criptovalute e le implementazioni infrastrutturali, in una regione che non è mai stata utilizzata in passato. Questo servizio, basato sull’intelligence di minacce e sul Machine Learning, è in continua evoluzione per aiutare a proteggere gli ambienti AWS.
È possibile attivare una prova gratuita di 30 giorni di Amazon GuardDuty dalla Console di gestione AWS con la massima semplicità. Per un elenco di tutte le regioni in cui è disponibile GuardDuty, consulta la pagina delleRegioni AWS. Per ulteriori informazioni, visita la pagina Risultati di Amazon GuardDuty e inizia subito il periodo di prova gratuito di 30 giorni dalla pagina periodo di prova gratuito di Amazon GuardDuty.