Virtualisierung Ihres Forensiklabors in der Cloud Teil 4: Ihre Beweise in AWS sicherstellen

Hallo an alle! Jamie McQuaid hier, Technical Forensics Consultant bei Magnet Forensics, und in letzter Zeit habe ich viel Zeit damit verbracht, über innovative Methoden zur Durchführung von Untersuchungen in der Cloud und zum Einsatz von Cloud-Technologie nachzudenken und diese zu implementieren.

Im vierten Teil dieser Cloud-Blog-Serie möchte ich Ihnen einige Möglichkeiten vorstellen, wie Sie über die Sicherung Ihrer Beweise in AWS nachdenken können (In Teil 5 der Serie gehe ich auf dieselben Techniken ein, die Sie anwenden können, wenn Sie Azure verwenden). Wenn Sie sich mit der Verlagerung Ihres forensischen Labors in die Cloud zurückhalten, weil Sie der Meinung sind, dass die Daten, sobald sie dort sind, nicht so sicher sind wie anderswo, bin ich hier, um einige dieser Bedenken auszuräumen.

Erste Schritte

Unabhängig davon, ob Sie Beweise aus der Cloud sammeln oder dort zur Analyse speichern, sollten Sie Überlegungen und Schritte unternehmen, um sicherzustellen, dass die Daten gesichert und nur für diejenigen zugänglich sind, die sie benötigen. Wir als Prüfer tun dies für Beweise, unabhängig davon, ob es sich physisch in Ihrem Labor, an einem anderen Ort in Ihrer Organisation oder virtuell in der Cloud befindet.

Wie sichern wir unsere Beweise, damit ihre Integrität unabhängig von der Art ihrer Speicherung bewertet und bestätigt werden kann? Es gibt viele Methoden, aber der wichtigste Weg, um etwas zu sichern, besteht darin, den Zugriff einzuschränken. Wir tun dies heute mit angemessenen Anforderungen an die Handhabung von Beweismitteln und die Aufbewahrung und wir verfolgen diesen Zugriff mit der Chain-of-Custody. Eine Verwahrungskette auf der grundlegendsten Ebene verfolgt jeden, der das Beweismaterial berührt hat, von dem Moment an, in dem es beschlagnahmt wird, bis es vor Gericht vorgelegt wird (und dann entweder an den Eigentümer zurückgegeben oder vernichtet wird). Nun, wir können die gleichen Dinge tun, wenn unsere Daten in der Cloud gespeichert sind, wir den Zugriff darauf beschränken und einen Audit-Trail aller Personen haben, die darauf zugegriffen haben.

Einschränken des Zugriffs mithilfe von Zugriffskontrollen in AWS

Genau wie Sie es wahrscheinlich in Ihrem Labor tun, müssen Sie den Zugriff auf Ihre Beweise in der Cloud einschränken. Glücklicherweise verfügen die meisten Cloud-Anbieter genau zu diesem Zweck über sehr robuste Sicherheitszugriffskontrollen. Schauen wir uns also an, wie wir diese Daten in verschiedenen Zuständen sichern können:

Beweise im Ruhezustand – AWS S3

Die gängigste Methode zum Speichern von Daten in AWS ist der S3-Objektspeicher oder Buckets. Es gibt mehrere Möglichkeiten, den Zugriff auf einen S3-Bucket in AWS zu sichern und zu kontrollieren, aber die beiden primären Wege sind IAM-Richtlinien und Bucket-Richtlinien, und sie funktionieren genau so, wie Sie es sich vorstellen.

IAM-Richtlinien werden auf einen Benutzer, eine Gruppe oder eine Rolle angewendet, während Bucket-Richtlinien speziell auf den Storage-Bucket selbst angewendet werden. IAM-Richtlinien gibt es in drei Formen:

1. AWS-verwaltet – Erstellt und verwaltet von AWS
2. Kunden-verwaltet – Individuell erstellt und von Ihnen verwaltet
3. Inline – Speziell für Einzelpersonen und Single-Use-Cases eingesetzt

Es gibt genug von AWS verwaltete Richtlinien, die die meisten Situationen erfüllen sollten, aber wenn Sie Ihre Berechtigungen für bestimmte Umstände etwas detaillierter gestalten möchten, sollten Sie eine vom Kunden verwaltete Richtlinie erstellen. Die IAM-Richtlinien schreiben vor, was der Benutzer/die Gruppe/Rolle darauf zugreifen oder tun kann.

Bucket-Richtlinien gelten für die Buckets selbst und bestimmen, wer oder was darauf Zugriff hat. Sie sind hilfreich, wenn Sie den Zugriff auf eine bestimmte Teilmenge von Buckets innerhalb eines Kontos weiter einschränken möchten. Wenn Sie den Zugriff auf Objekt- oder Dateiebene innerhalb eines Buckets einschränken möchten (z. B. hat Alice Zugriff auf Bucket A, aber nicht auf file1, file2 oder file3), müssen Sie Bucket-ACLs verwenden. Während Bucket-Richtlinien steuern, wer auf den Bucket zugreifen kann, steuern ACLs den Zugriff auf Objektebene. Bucket-ACLs werden nicht mehr so häufig verwendet, aber meiner Meinung nach sind sie immer noch die beste Möglichkeit, den Zugriff auf einzelne Objekte innerhalb eines Buckets zu steuern.

EC2-Instanzen und EBS-Volumen

Um etwas zu verarbeiten oder zu analysieren, möchten Sie wahrscheinlich die Daten aus dem Objektspeicher in etwas mit Rechenkapazität verschieben. Viele der oben erwähnten Zugriffskontrollen und Sicherheitsmaßnahmen gelten weiterhin, aber es gibt einige andere Überlegungen, die Sie bei der Analyse Ihrer Daten berücksichtigen sollten.

• Zugriff einschränken – Verwenden Sie dieselben IAM-Rollen/-Richtlinien wie oben, um den Zugriff auf Ihre Instanzen sowie den Zugriff der Instanz einzuschränken.
• Dedizierte vs. gemeinsam genutzte Hardware – AWS ermöglicht es Ihnen, Ihre Instanzen auf dedizierter Hardware auszuführen, was jedoch mit Kosten verbunden ist. Die gemeinsam genutzte Infrastruktur wird immer getrennt und bereinigt, bevor sie von einem anderen Benutzer verwendet wird. Wenn Sie jedoch eine zusätzliche Trennungsebene wünschen, kann dedizierte Hardware eine Option für Sie sein.
• Aufräumen und Herunterfahren – Wenn Sie Ihre Falldaten beibehalten oder speichern müssen, können Sie den Fall entweder wieder auf S3 speichern oder das gesamte EBS-Volume als Snapshot speichern, bevor Sie es beenden.

Verschlüsselung

Verschlüsselung ist wahrscheinlich das Erste, woran Sie denken, wenn Sie Ihre Daten überall sichern möchten, und AWS bietet viele Optionen zum Verschlüsseln Ihrer Daten im Ruhezustand sowohl für S3 als auch für EBS. Standardmäßig sind beide nicht verschlüsselt, aber Sie können die Verschlüsselung aktivieren, wenn entweder ein Bucket oder ein EBS-Volume erstellt wird, oder die Verschlüsselung auf den Speicher anwenden, nachdem dieser erstellt wurde (bei EBS ist es etwas komplizierter, wenn Sie einen Snapshot eines Volumes erstellen müssen , verschlüsseln und den neuen Snapshot verwenden, aber es ist ziemlich einfach).

Die größte Frage bei der AWS-Verschlüsselung ist, ob Sie Amazon vertrauen, die Verschlüsselung für Sie zu verwalten, oder ob Sie alles selbst verwalten möchten. Es ist definitiv viel einfacher, AWS Ihre Schlüssel verwalten zu lassen, aber Sie können sicherlich auch Ihre eigenen Customer Managed Keys (CMK) über den AWS Key Management Service (KMS) importieren. Dieser Beitrag wird nicht auf die verschiedenen Optionen für CMK eingehen (es gibt viele davon) und verdient einen eigenen Beitrag, aber die Zusammenfassung ist: AWS-verwaltete Verschlüsselung ist gut, aber da wir mit sehr sensiblen Informationen umgehen, möchten Sie wahrscheinlich CMK für Ihre eigentliche Beweisspeicherung verwenden.

Persönlich verwende ich AWS-verwaltete Schlüssel für alles andere als Beweis- und Falldaten, aber CMK kann für jede Art von Laborzertifizierung erforderlich sein. Der Nachteil ist, dass Sie Ihre Schlüssel manuell rotieren müssen und wenn Sie die Schlüssel verlieren, kann AWS nur sehr wenig tun, um Ihnen zu helfen.

Zugriffsverfolgung mit Audit-Logs

Wenn wir unsere Daten gesichert und den Zugriff darauf eingeschränkt haben, woher wissen wir dann, dass niemand sonst darauf zugegriffen hat? Wenn wir unsere oben genannten Zugriffskontrollen korrekt eingerichtet haben, haben nur die autorisierten Personen darauf zugegriffen, aber wie können Sie dies beweisen? Cloud-Anbieter verfügen über sehr robuste Protokollierungsfunktionen und -funktionen, die weit über jede Chain-of-Custody-Form hinausgehen und ein bestehendes Custody-Tracking ergänzen können, um sicherzustellen, dass der Zugriff eingeschränkt wurde.

CloudTrail in AWS

In AWS protokolliert CloudTrail den gesamten Zugriff auf Ihre Daten entweder über die Konsole, die CLI oder das SDK. Das Protokollieren, Speichern und Analysieren von CloudTrail-Protokollen kann eine sehr wertvolle Fähigkeit für jede Cloud-Aktivität sein, aber besonders wichtig, um die Integrität Ihrer Beweise zu beweisen. Zu den Best Practices gehören:

• Protokollierung zentralisieren – Kopieren Sie diese Protokolle in ein anderes Konto, auf das nur wenige Personen Zugriff haben
• Integritätsprüfungen – Beim Kopieren von Protokollen können Sie Integritätsprüfungen für diese Protokolle aktivieren, um sicherzustellen, dass sie nicht manipuliert wurden
• Automatische Benachrichtigungen – Richten Sie Benachrichtigungen ein, wenn ein anderer Benutzer auf die Protokolle oder Beweise zugreift oder auf eine Weise verwendet wird, die Ihrem gewünschten Zweck zuwiderläuft.

Cloud Trail protokolliert Folgendes:

• Identität des API-Aufrufers
• Zeitpunkt des API-Aufrufs
• Quell-IP
• Parameter anfordern
• Antwort
• Zusätzliche Metadaten

CloudTrail ist ein ausgezeichnetes Tool, um den Zugriff auf Ihre AWS-Ressourcen zu überwachen. Ein Bereich, der normalerweise nicht abgedeckt wird, ist jedoch der direkte Zugriff oder die Verbindungen zu Ihren EC2-Instanzen. Wenn Sie Ihre Instanzen entweder über SSH oder RDP für die Öffentlichkeit zugänglich gemacht haben, sollten Sie auch sicherstellen, dass Sie dafür eine Art Zugriffsprotokollierung aktiviert haben, die als externer Zugriff betrachtet und von CloudTrail nicht erkannt wird (sogar Vermeiden Sie besser den direkten öffentlichen Zugriff auf Ihre Instanzen insgesamt, um dies zu vermeiden). In diesem Fall können Ereignisprotokolle für Windows oder ähnliche Artefakte dabei helfen, den Zugriff auf eine bestimmte Instanz zu bestimmen, wenn diese versehentlich offengelegt wurde.

Insgesamt ist die Nutzung der Cloud zur Verbesserung unserer Untersuchungskapazitäten ein großer Gewinn für Teams, die möglicherweise kein Budget für ein komplettes Labor haben oder über begrenzte Speicher- und Rechenleistung verfügen. Selbst wenn Sie ein anständiges Labor haben, gibt es sicherlich viele Vorteile, um die Fähigkeiten Ihres Labors zu verbessern. Solange Sie sich die Zeit nehmen, zu verstehen, wie es verwendet werden kann, und Ihre Beweise so sichern, wie Sie es in Ihrem physischen Labor tun würden, kann es eine sehr wertvolle Ergänzung Ihres Toolkits sein. Die Sicherung von Daten beginnt mit Zugangskontrollen und Audits ermöglichen es uns, sicherzustellen, dass die Vertraulichkeit und Integrität während des gesamten Ermittlungsprozesses gewahrt bleibt.

Jamie McQuaid ist Technical Forensics Consultant bei Magnet Forensics mit über einem Jahrzehnt Erfahrung in Unternehmensermittlungen und berät Magnet und ihre Kunden zu Best Practices für Cloud-Sicherheit und findet innovative Wege zur Durchführung von Ermittlungen in der Cloud und unter Verwendung von Cloud-Technologie.

Folgen Sie Jamie McQuaid auf Twitter (@reccetech), um zu sehen, was er vorhat, und ihn einzuholen!

Weitere Lektüre

• Teil 1: Nutzung von IaaS für Ihr Labor
• Teil 2:Die Vorteile der Virtualisierung Ihres Forensiklabors
• Teil 3: Die Praxis
• Teil 5: Ihre Beweise in Microsoft Azure sichern
• Eine praktische Anleitung, wie Sie Ihre forensische Workstation virtualisieren: Eine Amazon EC2-Instanz für AXIOM Cyber einrichten

Haftungsausschluss technische Beratung

Magnet Forensics widmet sich der Kommunikation mit der DFIR-Community über Blogs und Informationsschriften. Doch technologische Probleme korrekt anzugehen beinhaltet oft zahlreiche Variablen, die unabhängige Einschätzung und Strategien für die jeweiligen spezifischen Umstände voraussetzen. Da Magnet Forensics keinen Einblick in alle Variablen in einer spezifischen Situation hat, dient dieser Blog/diese Informationsschrift informationellen Zwecken und sollte nicht als professioneller Rat gesehen werden, in dem Techniken oder Technologien für Ihre spezifische Situation empfohlen werden. Wir übernehmen keine Haftung für Auslassungen, Fehler oder Ungenauigkeiten in diesem Blog/dieser Informationsschrift oder jegliche ergriffene Maßnahmen, die darauf bauen.