AWS - Inspector Enum
Inspector
Il servizio Amazon Inspector è basato su agenti, il che significa che richiede l'installazione di agenti software su qualsiasi istanza EC2 che si desidera valutare. Ciò rende il servizio facile da configurare e aggiungere in qualsiasi momento alle risorse esistenti già in esecuzione all'interno della tua infrastruttura AWS. Questo aiuta Amazon Inspector a diventare un'integrazione senza soluzione di continuità con qualsiasi dei tuoi processi e procedure di sicurezza esistenti come ulteriore livello di sicurezza.
Questi sono i test che AWS Inspector ti consente di eseguire:
CVE
CIS Benchmarks
Best practice di sicurezza
Raggiungibilità di rete
Puoi eseguire uno qualsiasi di questi test sulle macchine EC2 che decidi.
Elemento di AWS Inspector
Ruolo: Crea o seleziona un ruolo per consentire ad Amazon Inspector di avere accesso in sola lettura alle istanze EC2 (DescribeInstances) Obiettivi di valutazione: Gruppo di istanze EC2 su cui si desidera eseguire una valutazione Agenti AWS: Agenti software che devono essere installati sulle istanze EC2 per il monitoraggio. I dati vengono inviati ad Amazon Inspector tramite un canale TLS. Viene inviato un battito cardiaco regolare dall'agente all'ispettore per richiedere istruzioni. Può aggiornarsi automaticamente Modelli di valutazione: Definiscono configurazioni specifiche per l'esecuzione di una valutazione sulle tue istanze EC2. Un modello di valutazione non può essere modificato dopo la creazione.
Pacchetti di regole da utilizzare
Durata dell'esecuzione della valutazione 15 minuti/1 ora/8 ore
Argomenti SNS, seleziona quando notificare: Inizio, completamento, cambio stato, segnala un risultato
Attributi da assegnare ai risultati
Pacchetto di regole: Contiene una serie di regole individuali che vengono controllate su un'istanza EC2 quando viene eseguita una valutazione. Ognuna ha anche una gravità (alta, media, bassa, informativa). Le possibilità sono:
Vulnerabilità e esposizioni comuni (CVE)
Center for Internet Security (CIS) Benchmark
Best practice di sicurezza
Una volta configurato il Ruolo di Amazon Inspector, installati gli Agenti AWS, configurato il target e configurato il modello, sarai in grado di eseguirlo. Un'esecuzione di valutazione può essere interrotta, ripresa o eliminata.
Amazon Inspector ha un insieme predefinito di regole, raggruppate in pacchetti. Ogni modello di valutazione definisce quali pacchetti di regole includere nel test. Le istanze vengono valutate rispetto ai pacchetti di regole inclusi nel modello di valutazione.
Nota che al giorno d'oggi AWS consente già di creare automaticamente tutte le configurazioni necessarie e persino di installare automaticamente gli agenti all'interno delle istanze EC2.
Reporting
Telemetria: dati raccolti da un'istanza, dettagliando la sua configurazione, comportamento e processi durante l'esecuzione di una valutazione. Una volta raccolti, i dati vengono quindi inviati a Amazon Inspector in tempo quasi reale tramite TLS, dove vengono archiviati e crittografati su S3 tramite una chiave KMS effimera. Amazon Inspector accede quindi al bucket S3, decrittografa i dati in memoria e li analizza rispetto a eventuali pacchetti di regole utilizzati per quella valutazione al fine di generare i risultati.
Rapporto di valutazione: Fornisce dettagli su ciò che è stato valutato e i risultati della valutazione.
Il rapporto dei risultati contiene il riepilogo della valutazione, informazioni sull'EC2 e sulle regole e i risultati che si sono verificati.
Il rapporto completo è il rapporto dei risultati + un elenco di regole che sono state superate.
Enumerazione
Post Esploitation
Dal punto di vista di un attaccante, questo servizio può aiutare l'attaccante a trovare vulnerabilità ed esposizioni di rete che potrebbero aiutarlo a compromettere altre istanze/contenitori.
Tuttavia, un attaccante potrebbe anche essere interessato a interrompere questo servizio in modo che la vittima non possa vedere le vulnerabilità (tutte o specifiche).
TODO: I PR sono benvenuti
Last updated