Entre os dias 04/10 e 06/10, nosso head de Threat & Detection Research e Security Content Lead, Rodrigo Montoro, representou a Clavis em mais uma importante apresentação em Toronto no Canadá. No dia 04/10 ele palestrou no Cloud Summit e no dia 06/10 na Sector.
Montoro, apresentou as palestras "The Default Truth Of AWS Shared Responsability Model" e "Understanding, Abusing and Monitoring AWS Appstream 2.0", onde abordou a importância de entender os padrões que o provedor da nuvem proporciona, bem como pesquisar sobre serviços de uso mais incomuns e fora dos grande "holofotes".
A abordagem das duas palestras busca justamente desmitificar um pouco do modelo de responsabilidade compartilhada e configurações iniciais da nuvem e a segunda o entendimento de um serviço não tao comumente utilizado e seus perigos. Como exemplo, compartilhou importantes resultados obtidos após pesquisa de vulnerabilidades no serviço Amazon AppStream 2.0, da Amazon Web Services (AWS).
Automating Business Process via MuleSoft Composer | Bangalore MuleSoft Meetup...
Cloud Summit Canada com Rodrigo Montoro
1. The deFAULT truth
of AWS Shared
Responsibility
Model
Rodrigo Montoro
Head of Threat & Detection Research
@spookerlabs
2. $ aws --profile Rodrigo Montoro sts get-caller-identity
Clavis Segurança da Informação
● Head of Threat & Detection Research at Clavis Security
● Living in Florianópolis (Silicon Island)
● Author of 2 patented technologies (US Patent Office)
● Speaker in different conferences (Brazil,USA,Canada)
● Proud Dad and Husband
● Full Ironman triathlon (2x)
● Crossfit and Powerlifting
4. Some numbers(*) about security ‘IN’ the cloud (AWS)
Clavis Segurança da Informação
● CSPM Detections (cloudsploit)
○ 460 findings (AWS)
○ 87 services covered (around 29% of services)
● Services with Passrole
○ 330 actions
○ 92 services (around 30.7% of services)
● Detections from Elastic rules
○ 59 detections
○ ~22 services covered (around 7.3% of services)
● Detections from Sigma
○ 31 detections
○ ~20 services covered (around 6.7% of services)
* based on my analysis in open source tool and public content
14. How many problems an AWS account start (with an Admin user) ?
Clavis Segurança da Informação
15. Next let’s add an ec2 instance
Clavis Segurança da Informação
16. Just to finish a s3 bucket …
Clavis Segurança da Informação
17. Simple scenario (only 3 services) the "deFAULT problems”
Clavis Segurança da Informação
18. Some more details
Clavis Segurança da Informação
● VPC Endpoint
○ Policy Resource : *
● IAM
○ Managed Policies
■ Resource: *
■ No Conditional
■ No control
19. service enumeration is possible by design with account id
Clavis Segurança da Informação
source: https://www.sidechannel.blog/en/enumerating-services-in-aws-accounts-in-an-anonymous-and-unauthenticated-manner/
24. GuardDuty
Clavis Segurança da Informação
source: https://xmind.app/m/K3fmSB/#
Events analyzed are NOT saved. Only the
payload saved is the content that triggered
the finding.
26. What is Cross Account ?
Clavis Segurança da Informação
source: https://aws.amazon.com/blogs/security/how-to-audit-cross-account-roles-using-aws-cloudtrail-and-amazon-cloudwatch-events/
30. ReadOnlyAccess World (2/3) - bad use everywhere
Clavis Segurança da Informação
source: https://www.wiz.io/blog/82-of-companies-unknowingly-give-3rd-parties-access-to-all-their-cloud-data
33. What do I consider uncommon ?
Clavis Segurança da Informação
● Services without security research related
○ big part of 300 services
○ almost 13000 actions
● Very specific services with only "few" customers
34. So what is _REALLY_ uncommon ? How about Identity Center (SSO)?
Clavis Segurança da Informação
38. Future and Conclusions
Clavis Segurança da Informação
● Make sure you understand default configurations
● Validate cross account / partners permissions
● Know what you are running
● Find your knowledge gaps
● Keep researching and improving detections
● Make sure you train your team
39. Thank you!
See you at Sector
Rodrigo Montoro
@spookerlabs
rodrigo.montoro@clavis.com.br