Análise SOC da pilha de ameaças: Investigando incidentes envolvendo ferramentas de automação

Como parte de seu trabalho 24 horas por dia, 7 dias por semana, dando suporte aos clientes por meio do Cloud SecOps Program℠, os analistas de segurança do Threat Stack Security Operations Center (SOC) investigam regularmente atividades suspeitas em nome de nossos clientes. Nos últimos meses, nossos analistas de segurança notaram um aumento constante no uso de ferramentas de automação que incluem recursos SSH baseados na web.

O uso dessas ferramentas é um sinal concreto de que muitas organizações estão amadurecendo seu ambiente de nuvem e se tornando mais sofisticadas em sua orquestração de nuvem e gerenciamento diário. Ao usar SSH baseado na web e outros recursos que podem executar scripts personalizados em servidores remotos, as equipes de operações podem reduzir drasticamente a sobrecarga e otimizar o ciclo de vida de seus servidores e a configuração de serviços em escala.

No entanto, como vimos no passado, automatizar operações complexas pode levar a erros ou riscos negligenciados. Primeiro, garantir que suas políticas de IAM estejam atualizadas e sejam específicas para os recursos individuais de determinados serviços se torna ainda mais crítico. Além do foco no IAM, muitas ferramentas de automação, incluindo aquelas com recursos SSH baseados na web, apresentam desafios únicos para equipes de segurança à medida que investigam atividades suspeitas em seu ambiente de nuvem.

Em sistemas Linux, as ferramentas SSH baseadas na web não se manifestam como sessões SSH tradicionais nos logs subjacentes. Essa diferença pode levar a eventos do sistema em logs que não estão associados a nenhum usuário conectado. Normalmente, isso parece uma atividade de automação regular e confiável — mas não se um usuário puder emitir comandos arbitrários por trás dela. As implicações aqui são bastante óbvias: Se um agente malicioso, seja alguém interno ou alguém que aproveite credenciais comprometidas de fora, conseguir obter acesso a uma ferramenta SSH baseada na web, a ofuscação se torna trivial.

Os recursos de análise comportamental e observabilidade de segurança de pilha completa de ferramentas como a Threat Stack Cloud Security Platform® são capazes de identificar essa atividade suspeita, mas é aqui que a natureza automatizada das ferramentas SSH baseadas na Web surpreende os analistas de segurança. É necessária uma técnica investigativa diferente para reconhecer e analisar nuances em eventos de automação para descobrir a intenção subjacente de um usuário.

É aí que entram os analistas do Threat Stack SOC. Ao trabalhar diretamente com alguns dos ambientes de nuvem mais progressivos do setor, eles estão intimamente familiarizados com a forma de investigar esses tipos de incidentes. Se você quiser uma visão interna de como os analistas do Threat Stack Cloud SecOps Program investigam as ações posteriores das ferramentas de automação ao conduzir análises forenses que exigem atribuição do usuário, baixe nosso mais recente Relatório de Inteligência de Ameaças ou registre-se para nossa demonstração ao vivo — “Atividade Automatizada ou Ameaça Interna: Você consegue dizer a diferença?” — realizado em 19 de março.