Quando si verifica un incidente di sicurezza nel cloud, come conservi le prove e conduci un'indagine forense?L'analisi forense nel cloud differisce sostanzialmente dall'analisi forense in locale. Non puoi impossessarti di un server fisico. Le istanze possono essere ridimensionate automaticamente. I tronchi possono essere ruotati. E il fornitore di servizi cloud controlla il livello dell’infrastruttura. Questa guida illustra le tecniche pratiche di indagine forense sul cloud che preservano le prove, supportano le indagini e soddisfano i requisiti legali.
Punti chiave
- Le prove del cloud sono volatili:La scalabilità automatica, la terminazione delle istanze e la rotazione dei log possono distruggere le prove in pochi minuti. La conservazione deve essere immediata e automatizzata.
- La preparazione è tutto:La preparazione forense (registrazione, policy di conservazione e raccolta automatizzata di prove) deve essere configurata prima che si verifichi un incidente.
- La catena di custodia si applica alle prove cloud:Le prove digitali devono essere raccolte, archiviate e documentate con lo stesso rigore delle prove fisiche.
- I fornitori di servizi cloud hanno un supporto forense limitato:Secondo il modello di responsabilità condivisa, sei responsabile delle attività forensi al di sopra del livello dell'infrastruttura.
Fonti di prove forensi sul cloud
| Tipo di prova | AWS Fonte | Azure Fonte | Conservazione |
|---|---|---|---|
| API Attività | CloudTrail | Registro attività | 90 giorni predefiniti, configurare più a lungo |
| Traffico di rete | VPC Registri di flusso | Registri di flusso NSG | Configura il periodo di conservazione |
| DNS Domande | Registri delle query Route 53 | DNS Analisi | Configura la conservazione |
| Accesso allo spazio di archiviazione | S3 Log di accesso, eventi dati CloudTrail | Analisi dell'archiviazione, log diagnostici | Configura la conservazione |
| Informatica forense | Istantanee EBS, dump della memoria (manuale) | Istantanee del disco, dump della memoria (manuale) | Fino all'eliminazione |
| Eventi di identità | CloudTrail, IAM Analizzatore di accesso | Azure Registri di accesso ad AD, registri di controllo | 30 giorni predefiniti (Azure AD), configurare più a lungo |
| Avvisi di sicurezza | Risultati GuardDuty | Defender per avvisi cloud | 90 giorni (GuardDuty), configurare più a lungo |
Preparazione forense: prima dell'incidente
Abilita la registrazione completa
Abilita tutta la registrazione rilevante per le indagini forensi prima che si verifichi un incidente. In AWS: abilita CloudTrail in tutte le regioni e in tutti gli account con eventi di dati per S3 e Lambda, abilita VPC Log di flusso per tutti i VPC e abilita GuardDuty in tutti gli account. In Azure: abilitare i log delle attività con l'inoltro delle impostazioni di diagnostica a Log Analytics, abilitare i log di flusso NSG e abilitare Azure l'accesso ad AD e l'esportazione del log di controllo. Archivia i log in un archivio immutabile con convalida dell'integrità per garantire che le prove non siano state manomesse.
Configurare una conservazione adeguata
La conservazione predefinita dei log non è sufficiente per l'analisi forense. CloudTrail conserva 90 giorni per impostazione predefinita (estendibile con policy di distribuzione e ciclo di vita S3). Azure I log delle attività vengono conservati per 90 giorni (estensibili con le impostazioni di diagnostica agli account di archiviazione). Imposta la conservazione su un minimo di 1 anno per tutti i registri rilevanti per la sicurezza. Alcuni framework di conformità (PCI DSS, HIPAA) richiedono una conservazione più lunga.
Preparare strumenti di raccolta forense
Pre-distribuzione di strumenti e procedure per la raccolta delle prove: script di creazione di immagini/AMI per istanze compromesse, automazione degli snapshot del disco/EBS, strumenti di acquisizione della memoria (LiME per Linux, WinPmem per Windows) preinstallati su sistemi critici o disponibili tramite Systems Manager e script di esportazione dei log che raccolgono tutti i log rilevanti per un intervallo di tempo e una risorsa specifici.
Raccolta di prove durante un incidente
Analisi forense delle istanze
- Isolare l'istanza— Sostituisci i gruppi di sicurezza con un gruppo di quarantena (nega tutto il traffico). NON terminare l'istanza.
- Crea istantanee EBS— Crea uno snapshot di tutti i volumi allegati. Queste sono le immagini del tuo disco forense.
- Cattura la memoria— Se sono disponibili strumenti di acquisizione della memoria, eseguire il dump della memoria prima che l'istanza venga modificata. La memoria contiene processi in esecuzione, connessioni di rete, chiavi di crittografia e malware che potrebbero non esistere sul disco.
- Registra i metadati dell'istanza— Acquisisci ID istanza, AMI, gruppi di sicurezza, ruolo IAM, interfacce di rete e tag.
- Esporta registri— Raccogliere eventi CloudTrail/Log attività, log di flusso VPC e log dell'applicazione per il periodo di tempo pertinente.
Analisi forense dei servizi cloud
Per gli incidenti che coinvolgono servizi cloud (accesso ai dati S3, compromissione IAM, abuso Lambda): esportare tutti gli eventi CloudTrail rilevanti per il periodo di tempo, documentare la configurazione del servizio al momento dell'incidente, conservare eventuali risorse temporanee (registri Lambda in CloudWatch, messaggi SQS) e acquisire policy IAM e relazioni di trust tra ruoli che potrebbero essere state modificate.
Documentazione della catena di custodia
Per ogni prova raccolta, documentare: cosa è stato raccolto (tipo, identificatore, dimensione), quando è stato raccolto (timestamp), chi lo ha raccolto (nome, ruolo), come è stato raccolto (strumento, metodo, comandi), dove è archiviato (posizione, controlli di accesso) e valori hash (SHA-256) per la verifica dell'integrità. Conservare la documentazione della catena di custodia separatamente dalle prove stesse, con accesso limitato.
Tecniche di analisi forense
Ricostruzione della sequenza temporale
Crea una sequenza temporale dell'attività dell'aggressore correlando gli eventi tra più origini: chiamate CloudTrail API (quali azioni ha intrapreso l'aggressore), log di flusso VPC (connessioni di rete effettuate), risultati GuardDuty (avvisi di sicurezza generati), log di accesso S3 (accesso ai dati) ed eventi IAM (credenziali utilizzate, ruoli assunti). L'analisi della sequenza temporale rivela l'intera catena di attacco: accesso iniziale, persistenza, movimento laterale, accesso ai dati ed esfiltrazione.
Analisi forense del disco dagli snapshot
Monta gli snapshot EBS o gli snapshot del disco Azure su una workstation forense pulita. Analizza il file system per: file malware, configurazione modificata, strumenti degli aggressori, cronologia dei comandi (bash_history, log di PowerShell), processi cron o attività pianificate (persistenza), modifiche SSH autorizzate_keys e log del server Web che mostrano sfruttamento.
Come Opsio conduce l'analisi forense del cloud
- Preparazione forense:Configuriamo registrazione completa, conservazione e raccolta automatizzata di prove nel tuo ambiente cloud.
- Indagine sugli incidenti:Il nostro team IR conduce analisi forensi utilizzando strumenti forensi nativi del cloud e di terze parti.
- Conservazione delle prove:Seguiamo procedure di catena di custodia che soddisfano i requisiti legali e normativi.
- Analisi della cronologia:Ricostruiamo l'intera catena di attacco dall'accesso iniziale fino all'impatto, utilizzando la correlazione tra fonti.
- Testimonianza di esperti:I nostri risultati forensi sono documentati secondo uno standard adatto per procedimenti legali e reporting normativo.
Domande frequenti
Posso condurre analisi forensi dopo aver terminato un'istanza cloud?
Se hai terminato l'istanza senza prima creare snapshot EBS, le prove del disco andranno perse in modo permanente. CloudTrail e i log di flusso VPC sono ancora disponibili (se abilitati), fornendo attività API e prove di rete. Questo è il motivo per cui la preparazione forense, ovvero la creazione automatizzata di snapshot al rilevamento degli incidenti, è fondamentale. Non terminare mai le istanze potenzialmente compromesse prima che le prove vengano conservate.
Le prove forensi sul cloud sono ammissibili in tribunale?
Sì, a condizione che venga mantenuta un'adeguata catena di custodia, che l'integrità delle prove sia verificabile (valori hash), che i metodi di raccolta siano documentati e che le prove possano essere autenticate. I registri del fornitore di servizi cloud (CloudTrail, registri delle attività) sono generalmente accettati come record aziendali. La chiave è mantenere una documentazione rigorosa durante tutto il processo di raccolta e analisi.
Quali strumenti vengono utilizzati per l'analisi forense del cloud?
Strumenti nativi del cloud: CloudTrail Lake (AWS), Log Analytics (Azure) per l'analisi dei log. Strumenti di terze parti: Cado Response (piattaforma forense nativa del cloud), Autopsy (analisi forense del disco), Volatility (analisi forense della memoria), Plaso/Log2Timeline (analisi della sequenza temporale) e script personalizzati per la raccolta di prove specifiche del cloud. Opsio utilizza una combinazione di questi strumenti in base ai requisiti dell'indagine.