O blog da AWS

5 dicas (e um Bônus) para aumentar sua resiliência a ataques de Ransomware na AWS

Bruno Silveira, Arquiteto de Soluções, ISV Partners & Startups, Setor Publico Brasil
Karlos Correia, Arquiteto de Soluções, Governo Federal, Setor Publico Brasil

 

Atualmente os ataques cibernéticos tem crescido de forma exponencial, acompanhando o crescimento do uso de serviços digitais. Ataques do tipo ransomware estão cada vez mais comuns e suas consequências cada vez mais preocupantes.

Neste blog post, abordaremos 5 dicas (e um bônus) de como aumentar sua resiliência contra este tipo de ataque na AWS, e quais práticas seus times podem adotar para a sua jornada de segurança ser eficiente contra esse tipo de ameaça.

 

O que é Ransomware?

Ransomware é um código malicioso projetado por criminosos cibernéticos para obter acesso não autorizado à sistemas, criptografar seus dados e impedir o acesso legítimo de seus usuários. Em seguida, um resgate é exigido para que seja fornecida uma chave de acesso, que em teoria, permite decriptografar os dados e restabelecer o acesso aos sistemas. No entanto, se o resgate não for pago, as organizações correm o risco de destruição permanente ou vazamento de dados públicos controlados pelo invasor.

Para aumentar a resiliência a ataques deste tipo, listamos algumas dicas do seu ambiente na AWS.

 

Dica 1: Tenha uma estratégia de backup estabelecida

Quando tratamos de ameaças como ransomware, o principal objetivo dos atacantes é conseguir sequestrar dados produtivos e que sejam críticos para o negócio, usualmente unidades de disco montadas em servidores vulneráveis. Uma forma de recuperação é possuir uma estratégia bem definida de backup, que possibilite que você mantenha o controle dos seus dados e consiga retornar ao último estado integro, limitando o dano ao seu negócio.

Na AWS há alguns serviços que podem apoiar na guarda dos dados, como o AWS Backup que disponibiliza uma plataforma gerenciada e centralizada para o backup dos serviços AWS como Amazon EBS, EC2, EFS, FSx, RDS, DynamoDB e volumes do Storage Gateway.

 

 

No caso do EBS, serviço de armazenamento de blocos, você também pode usar o Data Lifecycle Manager para gerir o processo de snapshot dos seus volumes de forma mais simples. Outra estratégia é utilizar o S3 como um backup off-site integrado à soluções de parceiros AWS, como mostra o blogpost “Storing data with partner backup solutions and Amazon S3 Glacier Deep Archive”.

Apesar do backup agregar segurança aos dados, o processo de recuperação do seu ambiente pode exigir muitas atividades para restabelecer suas cargas de trabalho, por isso ter uma política de recuperação de desastres passa a ser fundamental. Mesmo com o backup implementado, é preciso testar com frequência a restauração dos dados e sistemas. A AWS permite que você crie um ambiente temporário e isolado para a validação dos dados e das cargas de trabalho.

 

Dica 2: Crie um Plano de Continuidade de Negócio

Recuperação de Desastres (DR) pode ser a última fronteira caso seu ambiente tenha sido comprometido por um ataque mais extenso de ransomware. Trata-se de uma estratégia onde você replica os dados do seu site principal para um site de DR geograficamente separado, que tenha a capacidade computacional para a executar as cargas de trabalho de produção em caso de falha do site principal. Normalmente a manutenção de um site de DR próprio gera um custo expressivo de infraestrutura, dado que é necessário que você replique os recursos do site principal no site de DR, e é nesse ponto que a nuvem AWS auxilia na redução dos custos pois, diferentemente da estratégia tradicional, você não precisa manter recursos ociosos na nuvem, provisionando o necessário no momento do desastre.

Para facilitar a construção de uma solução de DR na nuvem AWS, o CloudEndure auxilia na automação e replicação das suas cargas de trabalho para a nuvem com foco em DR, permitindo a replicação dos dados de forma síncrona ou assíncrona para uma região da AWS, através de uma console capaz de iniciar automaticamente as suas cargas de trabalho na AWS em caso de desastre.

 

Figura 2 – Como o CloudEndure funciona

 

Nesse whitepaper você encontrará mais informações sobre uso do CloudEndure e os ganhos de TCO (Total Cost Ownership) em ambientes corporativos.

Importante salientar que caso você seja comprometido por um ransomware no site principal, você corre o risco copiar o mesmo para o site DR. Estratégias de detecção de ameaças (como falaremos mais a frente) e pipelines DevOps de validação do seu ambiente ajudam a identificar o problema antes da cópia para o site DR.

 

Dica 3: Segmente e Atualize seu ambiente Tecnológico

Segmente sua rede com Amazon VPC

A segmentação da rede atenua o congestionamento do tráfego local e também melhora a segurança ao alocar apenas os recursos específicos ao usuário, o que diminui significativamente as maneiras de os invasores se moverem lateralmente na rede.

Você pode provisionar seções logicamente isoladas da nuvem da AWS, onde pode iniciar recursos da AWS em redes virtuais que você definir. Segmentar VPCs em componentes isolados, seja por grupos de segurança e/ou listas de controle de acesso à rede (ACL), para que apenas o tráfego necessário esteja disponível, pode reduzir a capacidade do ransomware de se espalhar indiscriminadamente em ambientes AWS.

 

Figura 3 – Exemplo de segmentação entre subredes em múltiplas VPCs

 

Nesse blogpost, você pode entender como evoluir sua segmentação de VPCs em vários senários, desde uso de ambientes de uma única VPC até o uso de múltiplas e compartilhadas VPC.

Segmente os acessos aos seus recursos com AWS IAM

Definir políticas fortes de acesso que determinam quais sistemas e dados estão disponíveis para usuários individuais, grupos de usuários e/ou sob quais condições esses dados estão acessíveis, pode limitar a amplitude de acesso que o ransomware é capaz de atingir em um ambiente.

No nível do usuário, a AWS permite que você faça controle de acesso granular, definindo quais usuários ou funções têm acesso a determinados sistemas e dados. Esses controles determinam quais ações podem ser executadas em um determinado recurso na AWS, permitindo aos usuários privilégios com base na “necessidade de saber”, com base nas necessidades de negócios e responsabilidades de trabalho.

O AWS IAM permite que você gerencie o acesso aos serviços e recursos da AWS com segurança. Através dele você pode criar e gerenciar usuários e grupos da conta AWS e usar permissões para controlar seu acesso aos recursos da AWS.

A AWS recomenda seguir o princípio do menor privilégio para usuários de rede interna e externa. Por exemplo, algumas variações de ransomware são projetadas para usar uma conta de administrador do sistema para executar suas operações. Com este tipo de ransomware, diminuir os privilégios da conta do usuário e encerrar todas as contas de administrador do sistema padrão pode criar um obstáculo de segurança extra.

 

Figura 4 – Como o AWS IAM funciona

 

Para mais detalhes, veja o guia de melhores práticas do AWS IAM.

Mantenha seus workloads atualizados com Amazon Inspector e o System Manager Patch Manager

Vulnerabilidades não corrigidas são uma das formas mais comuns de um ransomware infectar o ambiente de uma organização. Identificando e corrigindo vulnerabilidades rapidamente, as organizações podem reduzir sua exposição à essas ameaças, limitando as maneiras como podem entrar.

Usando o Amazon Inspector, você pode inspecionar ambientes AWS em busca de CVEs, avaliar suas instâncias em comparação com benchmarks de segurança e automatizar totalmente a notificação de engenheiros de segurança e de TI quando descobertas estiverem presentes. Assim que as vulnerabilidades forem identificadas, ferramentas de patch como AWS Systems Manager Patch Manager podem ajudá-lo a implantar o sistema operacional e patches de software automaticamente em grandes grupos de instâncias para fechar as possíveis exposições.

Um exemplo do uso de gerenciamento de patch na AWS é o Server Fleet Management at Scale, solução disponibilizada no AWS Solutions.

 

Figura 5 – Arquitetura do Server Fleet Management at Scale

 

Esta solução combina o Systems Manager com o Inspector para ajudar a simplificar o gerenciamento de inventário de software, conformidade de patch de SO e avaliações de vulnerabilidade de segurança em instâncias gerenciadas. Fácil de ser implantada, a solução fornece automaticamente os serviços necessários para automatizar o gerenciamento da frota de servidores.

Outra abordagem para evitar que vulnerabilidades vão para produção é realizar análises em nível de artefatos, como é o caso dos containers, que estão em adoção exponencial em ambientes tanto on premisses quanto em nuvem.

Uma ferramenta que pode ajudar nesse contexto é o Trivy, uma ferramenta simples de busca por vulnerabilidades para containers e outros tipos de artefatos. Você pode utiliza-lo diretamente via linha de comando e isso a torna adaptavel para pipelines DevSecOps. Na arquitetura abaixo, é possível ver a integração do Trivy com as ferramentas de desenvolvimento da AWS ou ainda você pode utilizar outras ferramentas como o Jenkins.

 

Figura 6 – Analisando Vulnerabilidades em Containers com o Trivy

 

Para maiores detalhes sobre a solução, veja o blogpost “How to build a CI/CD pipeline for container vulnerability scanning with Trivy and AWS Security Hub”.

 

Dica 4: Use ferramentas de detecção de ameaças

Responder a qualquer incidente cibernético exige que você seja capaz de detectar a existência da ameaça em primeiro lugar. A detecção precoce de comportamento anômalo do usuário ou atividade de rede é fundamental para impedir ameaças de ransomware e iniciar processos de resposta a incidentes. Tendo a compreensão do que é “normal” no seu ambiente AWS, os alertas de segurança podem ser automaticamente configurados para enviar notificações quando comportamentos maliciosos ou não autorizados estiverem presentes.

Para ajudar nessa estratégia, o Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades mal-intencionadas e comportamentos não autorizados para proteger suas contas, cargas de trabalho e dados da AWS armazenados no Amazon S3. O serviço usa aprendizado de máquina, detecção de anomalias e inteligência de ameaças integrada para identificar e priorizar ameaças potenciais. O GuardDuty analisa dezenas de bilhões de eventos em várias fontes de dados da AWS, como logs de eventos do AWS CloudTrail, VPC Flow Logs e logs de DNS.

Em nosso workshop Getting Hands on with Amazon GuardDuty, há uma simulação de uma instância que está em uma lista publica de ameaças que é detectado pelo GuardDuty. A partir da detecção, através da análise do VPC Flow Logs, o CloudWatch Events aciona o AWS Lambda para isolamento automatizado da instância comprometida e também dispara um e-mail, via SNS, para o time de Segurança iniciar a investigação.

 

Figura 7 – Exemplo de resposta à alerta do Amazon Guardduty

 

Além do Amazon EC2, o Guardduty gera alertas relacionados ao AWS IAM e o S3. Para maiores detalhes, acesse o link.

 

Dica 5: Tenha rotinas de análise e resposta à incidentes de segurança

Embora a AWS forneça recursos para automatizar políticas e procedimentos de maneira orientada por políticas para melhorar os tempos de detecção, encurtar os tempos de resposta e reduzir a superfície de ataque, é responsabilidade dos clientes desenvolver políticas e procedimentos para responder a incidentes cibernéticos.

Durante um incidente, suas equipes de resposta a incidentes devem ter acesso aos ambientes e recursos envolvidos no incidente. Identifique e discuta a estratégia de conta(s) da AWS e a estratégia de identidade em nuvem com os arquitetos de nuvem da sua organização, para entender quais métodos de autenticação e autorização são configurados.

 

Figura 8 – Segmentação de ambiente de múltiplas contas

 

Simulando cenários de resposta a incidentes antes de um ataque real, você pode validar se os controles e processos que você implementou reagirão conforme o esperado. Usando essa abordagem, você pode determinar se pode se recuperar e responder com eficácia aos incidentes quando eles ocorrerem.

 

Bônus: Cenário pós-ataque

Documentar e reciclar as lições aprendidas durante as simulações e incidentes de volta aos processos e procedimentos permite que as organizações entendam melhor como foram violados, onde estavam vulneráveis, onde a automação pode ter falhado ou onde faltou visibilidade e a oportunidade de fortalecer sua postura geral de segurança.

Para ajudar nesse cenário, o Amazon Detective torna fácil analisar, investigar e identificar rapidamente a causa raiz de possíveis problemas de segurança ou atividades suspeitas. O Detective coleta automaticamente os dados de log de seus recursos da AWS e usa aprendizado de máquina, análise estatística e teoria dos gráficos para construir um conjunto de dados vinculado que permite que você conduza investigações de segurança mais rápidas e eficientes.

Neste blog post, por exemplo, você pode ver como utilizar o Detective para analisar alertas do GuardDuty para instâncias EC2 que estão fazendo conexões com redes anônimas.

 

Conclusão e Próximos Passos

Este blogpost trouxe algumas dicas essenciais para iniciar sua jornada constante de proteção dos suas cargas de trabalho, porém essas práticas não param por aqui. Adote frameworks de segurança como o NIST Cybersecurity Framework (CSF) e use arquiteturas de referências como o NIST High-Impact Controls on AWS  para se manter atualizado com boas práticas de segurança utilizadas no mundo todo.

Além da adoção de frameworks de segurança, a adoção de práticas DevOps ajuda na descoberta de falhas de software em estágios iniciais do desenvolvimento, diminuindo custo e potenciais vulnerabilidades a serem exploradas.

 

 


Sobre os autores

Bruno Silveira, Arquiteto de Soluções da AWS no time de Setor Publico com foco em Parceiros de Tecnologia e Startups. Com carreira prévia em instituições dos setores de Governo, Serviços Financeiros, Utilities e Instituições sem Fins Lucrativos, Bruno é entusiasta em Segurança da Informação e gosta muito de um bom rock’n roll com uma boa cerveja.

 

 

 

Karlos Correia é Arquiteto de Soluções da Amazon Web Services para o setor público e atua especificamente com Governo Federal. Trabalhou anteriormente com arquitetura e planejamento de infraestrutura em empresas do setor de telecomunicações e um é apaixonado por aviação.