Publicado: Jan 20, 2022
O Amazon GuardDuty apresenta uma nova detecção de ameaças que informa quando suas credenciais de instância do EC2 são usadas para invocar APIs de um endereço IP que pertence a uma conta da AWS diferente daquela em que a instância do EC2 associada está sendo executada. O novo tipo de descoberta é:UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. Embora o Amazon GuardDuty sempre tenha informado quando suas credenciais de instância do EC2 foram usadas de fora da AWS, essa nova detecção de ameaças limita a capacidade de um agente mal-intencionado de evitar a detecção usando as credenciais de instância do EC2 de outra conta da AWS.
Se você já for cliente do Amazon GuardDuty, não precisará tomar nenhuma ação para começar a usar esse novo recurso de detecção de ameaças para monitorar as operações do ambiente de gerenciamento, conforme capturadas no AWS CloudTrail. Se você também for um cliente do GuardDuty S3 Protection, essa nova detecção de ameaças informará adicionalmente quando as credenciais da instância do EC2 forem usadas de outra conta da AWS para invocar operações de plano de dados do S3 (por exemplo, LISTs/PUTs/GETs). A proteção do S3 está ativada por padrão quando você ativa o GuardDuty pela primeira vez. Se você já estiver usando o GuardDuty para proteger suas contas e workloads e ainda não tiver habilitado esse recurso, poderá habilitar a proteção do S3 por meio do console ou da API do GuardDuty.
As credenciais de instância do EC2 são as credenciais temporárias disponibilizadas por meio do serviço de metadados do EC2 para qualquer aplicação em execução em uma instância, quando uma função do AWS Identity and Access Management (IAM) é anexada a ela. Se comprometidas, essas credenciais podem ser usadas para invocar APIs maliciosamente com base nas permissões definidas na função do IAM anexada à instância. Quando um alerta é gerado, também é possível ver o ID da conta da AWS da conta da qual as credenciais foram usadas no console do Amazon GuardDuty ou o Finding JSON. Se a conta remota da AWS da qual as credenciais são usadas não for afiliada à sua conta da AWS, o que significa que as contas não fazem parte da configuração de várias contas do GuardDuty, a gravidade da descoberta será alta. Como alternativa, se a conta remota da AWS for afiliada à sua conta da AWS, a gravidade da descoberta será média. O GuardDuty também aprenderá topologias de redes entre contas comumente usadas para reduzir o volume de descobertas geradas para casos de uso esperados, como quando o AWS Transit Gateway é utilizado para rotear tráfego entre duas contas da AWS.
Disponível globalmente, o Amazon GuardDuty monitora continuamente comportamentos maliciosos ou não autorizados para ajudar a proteger seus recursos da AWS, incluindo suas contas da AWS, chaves de acesso, instâncias do EC2 e dados armazenados no S3. Desenvolvido com inteligência de ameaças, machine learning e técnicas de detecção de anomalias para detectar ameaças, o GuardDuty está evoluindo continuamente para ajudar você a proteger seu ambiente AWS. É possível habilitar sua avaliação gratuita de 30 dias do Amazon GuardDuty com um único clique no Console de Gerenciamento da AWS. Para saber mais, consulte Amazon GuardDuty Findings e para receber atualizações programáticas sobre novos recursos e detecções de ameaças do Amazon GuardDuty, assine o tópico do SNS do Amazon GuardDuty.