AWS - Inspector Enum
Inspector
Die Amazon Inspector-diens is agent-gebaseerd, wat beteken dat dit sagteware-agente vereis om geïnstalleer te word op enige EC2-instanties wat jy wil assesseer. Dit maak dit 'n maklike diens om te konfigureer en by te voeg op enige punt aan bestaande hulpbronne wat reeds in jou AWS-infrastruktuur loop. Dit help Amazon Inspector om 'n naadlose integrasie te word met enige van jou bestaande sekuriteitsprosesse en -prosedures as 'n verdere vlak van sekuriteit.
Dit is die toetse wat AWS Inspector jou toelaat om uit te voer:
CVE's
CIS Benchmarks
Sekuriteitsbestuurspraktyke
Netwerk bereikbaarheid
Jy kan enige van hierdie toetse uitvoer op die EC2-masjiene wat jy kies.
Element van AWS Inspector
Rol: Skep of kies 'n rol om Amazon Inspector leesnetwerktoegang tot die EC2-instanties te gee (DescribeInstances) Assessment Targets: Groep EC2-instanties wat jy wil assesseer AWS-agente: Sagteware-agente wat op EC2-instanties geïnstalleer moet word om te monitor. Data word na Amazon Inspector gestuur deur middel van 'n TLS-kanaal. 'n Gereelde hartklop word van die agent na die inspector gestuur om vir instruksies te vra. Dit kan outomaties opdateer word Assessment Templates: Definieer spesifieke konfigurasies vir hoe 'n assessering op jou EC2-instanties uitgevoer word. 'n Assesseringstemplate kan nie gewysig word nadat dit geskep is nie.
Reëlspakkette wat gebruik moet word
Duur van die assessering 15min/1uur/8ure
SNS-onderwerpe, kies wanneer om kennisgewing te stuur: Begin, klaar, verander toestand, vind 'n bevinding
Kenmerke wat aan bevindinge toegewys moet word
Reëlspakket: Bevat 'n aantal individuele reëls wat teen 'n EC2 nagegaan word wanneer 'n assessering uitgevoer word. Elkeen het ook 'n erns (hoog, medium, laag, inligting). Die moontlikhede is:
Algemene kwesbaarhede en blootstelling (CVE's)
Sentrum vir Internet-sekuriteit (CIS) Benchmark
Sekuriteitsbestuurspraktyke
Sodra jy die Amazon Inspector-rol gekonfigureer het, die AWS-agente geïnstalleer het, die teiken gekonfigureer het en die sjabloon gekonfigureer het, sal jy dit kan uitvoer. 'n Assessering kan gestop, hervat of uitgevee word.
Amazon Inspector het 'n vooraf gedefinieerde stel reëls wat in pakkette gegroepeer is. Elke assesseringstemplate bepaal watter reëlspakkette in die toets ingesluit moet word. Instansies word geëvalueer teen reëlspakkette wat in die assesseringstemplate ingesluit is.
Let daarop dat AWS tans al toelaat om outomaties al die nodige konfigurasies te skep en selfs die agente outomaties binne die EC2-instanties te installeer.
Verslagdoening
Telemetrie: Data wat versamel word van 'n instantie, wat sy konfigurasie, gedrag en prosesse tydens 'n assessering aandui. Sodra die data versamel is, word dit dan in byna-ware tyd oor TLS teruggestuur na Amazon Inspector, waar dit dan gestoor en versleutel word op S3 deur middel van 'n tydelike KMS-sleutel. Amazon Inspector het dan toegang tot die S3-emmer, ontsluit die data in die geheue, en analiseer dit teen enige reëlspakkette wat vir daardie assessering gebruik word om die bevindinge te genereer.
Assesseringverslag: Verskaf besonderhede oor wat geassesseer is en die resultate van die assessering.
Die bevindingverslag bevat 'n opsomming van die assessering, inligting oor die EC2 en reëls, en die bevindinge wat voorgekom het.
Die volledige verslag is die bevindingverslag + 'n lys van reëls wat geslaag is.
Enumerasie
Post Exploitasie
Vanuit 'n aanvaller se perspektief kan hierdie diens die aanvaller help om kwesbaarhede en netwerk blootstellings te vind wat hom kan help om ander instansies/houers te kompromitteer.
'n Aanvaller kan egter ook belangstel om hierdie diens te ontwrig sodat die slagoffer nie kwesbaarhede (al of spesifieke) kan sien nie.
TODO: PR's is welkom
Last updated