Amazon GuardDuty現(xiàn)能更全面?zhèn)蓽y(cè)EC2執(zhí)行實(shí)例憑證外泄風(fēng)險(xiǎn)

AWS更新威脅偵測(cè)服務(wù)Amazon GuardDuty，現(xiàn)在能夠檢測(cè)EC2執(zhí)行實(shí)例憑證被另一個(gè)AWS賬戶使用的情況，并且向用戶發(fā)出不同等級(jí)的警示。目前該新功能已經(jīng)在所有AWS地區(qū)提供，用戶不需要額外支付費(fèi)用，當(dāng)AWS賬戶激活GuardDuty服務(wù)，則默認(rèn)會(huì)激活此新功能。

Amazon GuardDuy可以持續(xù)監(jiān)控惡意活動(dòng)，或是未經(jīng)授權(quán)的行為，保護(hù)用戶的AWS賬戶、工作負(fù)載，以及存儲(chǔ)在S3中的資料。GuardDuty能夠分析事件、關(guān)注趨勢(shì)、模式，找出具有潛在問(wèn)題的各種異常。而EC2執(zhí)行實(shí)例憑證則是通過(guò)EC2元數(shù)據(jù)服務(wù)，提供給執(zhí)行實(shí)例上所執(zhí)行的應(yīng)用程序，一個(gè)臨時(shí)的憑證。

攻擊者可能入侵用戶EC2執(zhí)行實(shí)例上運(yùn)行的應(yīng)用程序，并設(shè)法訪問(wèn)該執(zhí)行實(shí)例的元數(shù)據(jù)服務(wù)，如此攻擊者便能夠截取憑證，而這些憑證具有用戶在IAM角色定義，附加到執(zhí)行實(shí)例上的權(quán)限，因此根據(jù)應(yīng)用程序功能不同，攻擊者有機(jī)會(huì)攻擊S3或是DynamoDB來(lái)竊取資料，啟動(dòng)或是終止EC2執(zhí)行實(shí)例，甚至是創(chuàng)建新的IAM用戶或是角色。

GuardDuty具備能夠偵測(cè)從AWS外部IP，訪問(wèn)這類憑證的情況，但是更聰明的攻擊者，可能會(huì)使用另一個(gè)AWS賬號(hào)，來(lái)進(jìn)一步隱藏活動(dòng)，以利用GuardDuty偵測(cè)范圍之外的方式活動(dòng)。

不過(guò)，AWS服務(wù)API通信的來(lái)源IP地址，與EC2執(zhí)行實(shí)例IP地址不同，可能有其正當(dāng)理由，考慮到流量路由到一個(gè)或是多個(gè)VPC的復(fù)雜網(wǎng)絡(luò)拓?fù)?，像是AWS Transit Gateway或AWS Direct Connect。而且多區(qū)域配置或是不使用AWS Organizations，都會(huì)使得偵測(cè)憑證使用的AWS賬戶，變得非常困難。

不少大型企業(yè)使用自己的解決方案，來(lái)偵測(cè)和維護(hù)這類安全漏洞，但AWS提到，這類型解決方案不容易構(gòu)建和維護(hù)，僅有少數(shù)企業(yè)具有這樣的資源。因此AWS現(xiàn)在更新GuardDuy，使其能夠偵測(cè)來(lái)自AWS網(wǎng)絡(luò)內(nèi)，使用其他AWS賬戶使用憑證的情況，簡(jiǎn)化解決問(wèn)題的方法。

現(xiàn)在當(dāng)GuardDuty偵測(cè)到EC2執(zhí)行實(shí)例憑證遭濫用時(shí)，便會(huì)生成警示，當(dāng)從附屬賬戶使用憑證時(shí)，警示會(huì)被標(biāo)記為中等嚴(yán)重性，否則將會(huì)出現(xiàn)高嚴(yán)重性警示，AWS提到，附屬賬戶可能是由同一個(gè)GuardDuty管理員賬戶監(jiān)控的賬戶，這些賬戶可能屬于組織，也可能并非組織的一部分。