Kiedy w chmurze wystąpi incydent bezpieczeństwa, jak zabezpieczyć dowody i przeprowadzić dochodzenie kryminalistyczne?Kryminalistyka w chmurze zasadniczo różni się od kryminalistyki lokalnej. Nie można przejąć serwera fizycznego. Instancje mogą być automatycznie skalowane. Logi mogą być obracane. A dostawca chmury kontroluje warstwę infrastruktury. W tym przewodniku omówiono praktyczne techniki kryminalistyczne w chmurze, które chronią dowody, wspierają dochodzenia i spełniają wymagania prawne.
Kluczowe wnioski
- Dowody w chmurze są niestabilne:Automatyczne skalowanie, kończenie instancji i rotacja dzienników mogą zniszczyć dowody w ciągu kilku minut. Konserwacja musi być natychmiastowa i zautomatyzowana.
- Przygotowanie to wszystko:Gotowość do analizy kryminalistycznej — rejestrowanie, zasady przechowywania i automatyczne gromadzenie dowodów — należy skonfigurować przed wystąpieniem zdarzenia.
- Łańcuch dowodowy dotyczy dowodów w chmurze:Dowody cyfrowe należy gromadzić, przechowywać i dokumentować z taką samą rygorystycznością jak dowody fizyczne.
- Dostawcy usług w chmurze mają ograniczone wsparcie kryminalistyczne:W modelu współodpowiedzialności odpowiadasz za kryminalistykę ponad warstwą infrastruktury.
Źródła dowodów kryminalistycznych w chmurze
| Rodzaj dowodu | AWS Źródło | Azure Źródło | Zatrzymanie |
|---|---|---|---|
| API Aktywność | Chmurny Szlak | Dziennik aktywności | Domyślnie 90 dni, skonfiguruj dłużej |
| Ruch sieciowy | VPC Dzienniki przepływu | Dzienniki przepływu NSG | Skonfiguruj okres przechowywania |
| DNS Zapytania | Dzienniki zapytań Route 53 | DNS Analityka | Skonfiguruj przechowywanie |
| Dostęp do magazynu | S3 Dzienniki dostępu, zdarzenia dotyczące danych CloudTrail | Analiza pamięci masowej, dzienniki diagnostyczne | Skonfiguruj przechowywanie |
| Obliczenia kryminalistyczne | Migawki EBS, zrzuty pamięci (ręczne) | Migawki dysków, zrzuty pamięci (ręczne) | Do czasu usunięcia |
| Wydarzenia związane z tożsamością | CloudTrail, IAM Analizator dostępu | Azure Dzienniki logowania AD, dzienniki audytu | Domyślnie 30 dni (Azure AD), skonfiguruj dłużej |
| Alerty bezpieczeństwa | Ustalenia GuardDuty | Obrońca alertów w chmurze | 90 dni (GuardDuty), konfiguracja dłuższa |
Gotowość kryminalistyczna: przed incydentem
Włącz kompleksowe rejestrowanie
Włącz wszelkie rejestrowanie istotne dla kryminalistyki, zanim wystąpi incydent. W AWS: włącz CloudTrail we wszystkich regionach i na wszystkich kontach ze zdarzeniami danych dla S3 i Lambda, włącz VPC dzienniki przepływu dla wszystkich VPC i włącz GuardDuty na wszystkich kontach. W Azure: włącz dzienniki aktywności z ustawieniami diagnostycznymi przekazującymi do Log Analytics, włącz dzienniki przepływu sieciowej grupy zabezpieczeń i włącz logowanie do usługi Azure AD oraz eksport dziennika inspekcji. Przechowuj dzienniki w niezmiennym magazynie z walidacją integralności, aby mieć pewność, że dowody nie zostały naruszone.
Skonfiguruj odpowiednie przechowywanie
Domyślne przechowywanie dzienników jest niewystarczające dla kryminalistyki. CloudTrail domyślnie zachowuje 90 dni (przedłuż o zasady dostawy i cyklu życia S3). Azure Dzienniki aktywności zachowują 90 dni (rozszerzają się o ustawienia diagnostyczne na konta magazynu). Ustaw przechowywanie wszystkich dzienników istotnych z punktu widzenia bezpieczeństwa na co najmniej 1 rok. Niektóre ramy zgodności (PCI DSS, HIPAA) wymagają dłuższego przechowywania.
Przygotowanie narzędzi do gromadzenia danych kryminalistycznych
Wstępne wdrożenie narzędzi i procedur do gromadzenia dowodów: skrypty AMI/tworzenia obrazu dla zaatakowanych instancji, automatyzacja EBS/migawek dysku, narzędzia do pozyskiwania pamięci (LiME dla Linux, WinPmem dla Windows) preinstalowane w systemach krytycznych lub dostępne za pośrednictwem Menedżera systemów oraz skrypty eksportu dzienników, które gromadzą wszystkie istotne dzienniki dla określonego zakresu czasu i zasobu.
Gromadzenie dowodów podczas zdarzenia
Kryminalistyka instancji
- Izoluj instancję— Zastąp grupy zabezpieczeń grupą kwarantanny (odmów całego ruchu). NIE kończ instancji.
- Utwórz migawki EBS— Zrób migawkę wszystkich podłączonych woluminów. To są obrazy dysków z analizy kryminalistycznej.
- Przechwytywanie pamięci— Jeśli dostępne są narzędzia do pozyskiwania pamięci, zrzuć pamięć przed modyfikacją instancji. Pamięć zawiera działające procesy, połączenia sieciowe, klucze szyfrowania i złośliwe oprogramowanie, które może nie istnieć na dysku.
- Metadane instancji rekordu— Przechwytuj identyfikator instancji, AMI, grupy zabezpieczeń, rolę IAM, interfejsy sieciowe i znaczniki.
- Eksportuj logi— Zbieraj zdarzenia z dziennika CloudTrail/aktywności, dzienniki przepływu VPC i dzienniki aplikacji z odpowiedniego okresu.
Kryminalistyka usług w chmurze
W przypadku incydentów związanych z usługami w chmurze (dostęp do danych S3, kompromis IAM, nadużycie Lambda): wyeksportuj wszystkie istotne zdarzenia CloudTrail w danym okresie, udokumentuj konfigurację usługi w momencie zdarzenia, zachowaj wszelkie zasoby tymczasowe (dzienniki Lambda w CloudWatch, wiadomości SQS) i przechwyć zasady IAM i relacje zaufania ról, które mogły zostać zmodyfikowane.
Dokumentacja łańcucha dostaw
Dla każdego zebranego dowodu należy udokumentować: co zostało zebrane (typ, identyfikator, rozmiar), kiedy zostało zebrane (znacznik czasu), kto je zebrał (nazwa, rola), w jaki sposób zostały zebrane (narzędzie, metoda, polecenia), gdzie są przechowywane (lokalizacja, kontrola dostępu) i wartości skrótu (SHA-256) w celu weryfikacji integralności. Przechowuj dokumentację łańcucha dostaw oddzielnie od samych dowodów, z ograniczonym dostępem.
Techniki analizy kryminalistycznej
Rekonstrukcja osi czasu
Stwórz oś czasu aktywności atakującego, korelując zdarzenia z wielu źródeł: wywołania CloudTrail API (jakie działania podjął atakujący), dzienniki przepływu VPC (wykonane połączenia sieciowe), ustalenia GuardDuty (wygenerowane alerty bezpieczeństwa), dzienniki dostępu S3 (dostęp do danych) i zdarzenia IAM (użyte dane uwierzytelniające, przyjęte role). Analiza osi czasu ujawnia pełny łańcuch ataków: dostęp początkowy, trwałość, ruch boczny, dostęp do danych i eksfiltrację.
Analiza dysku na podstawie migawek
Montuj migawki EBS lub migawki dysków Azure na czystej stacji roboczej do celów kryminalistycznych. Przeanalizuj system plików pod kątem: plików złośliwego oprogramowania, zmodyfikowanej konfiguracji, narzędzi atakującego, historii poleceń (historia_bash, dzienniki PowerShell), zadań cron lub zaplanowanych zadań (trwałość), modyfikacji autoryzowanych_kluczy SSH i dzienników serwera WWW pokazujących wykorzystanie.
Jak Opsio przeprowadza analizę śledczą w chmurze
- Gotowość kryminalistyczna:Konfigurujemy kompleksowe rejestrowanie, przechowywanie i automatyczne gromadzenie dowodów w Twoim środowisku chmurowym.
- Dochodzenie w sprawie incydentu:Nasz zespół IR przeprowadza analizę kryminalistyczną przy użyciu narzędzi kryminalistycznych natywnych dla chmury i narzędzi kryminalistycznych innych firm.
- Zabezpieczenie dowodów:Przestrzegamy procedur łańcucha dostaw, które spełniają wymogi prawne i regulacyjne.
- Analiza osi czasu:Rekonstruujemy pełny łańcuch ataków od początkowego dostępu po wpływ, wykorzystując korelację między źródłami.
- Opinia biegłego:Nasze ustalenia kryminalistyczne są dokumentowane zgodnie ze standardami odpowiednimi do celów postępowań prawnych i sprawozdawczości regulacyjnej.
Często zadawane pytania
Czy mogę przeprowadzić analizę kryminalistyczną po zakończeniu instancji w chmurze?
Jeśli zakończysz instancję bez uprzedniego utworzenia migawek EBS, dane na dysku zostaną trwale utracone. Dzienniki przepływu CloudTrail i VPC są nadal dostępne (jeśli są włączone), zapewniając aktywność API i dowody sieci. Właśnie dlatego gotowość do działań kryminalistycznych — automatyczne tworzenie migawek po wykryciu incydentu — ma kluczowe znaczenie. Nigdy nie kończ potencjalnie zagrożonych instancji przed zabezpieczeniem dowodów.
Czy dowody kryminalistyczne w chmurze są dopuszczalne w sądzie?
Tak, pod warunkiem, że zachowany jest właściwy łańcuch dostaw, możliwa jest weryfikacja integralności dowodów (wartości skrótu), metody gromadzenia są udokumentowane, a dowody można uwierzytelnić. Dzienniki dostawców usług w chmurze (CloudTrail, dzienniki aktywności) są ogólnie akceptowane jako zapisy biznesowe. Kluczem jest utrzymywanie rygorystycznej dokumentacji w całym procesie gromadzenia i analizy.
Jakie narzędzia są używane w kryminalistyce w chmurze?
Narzędzia natywne w chmurze: CloudTrail Lake (AWS), Log Analytics (Azure) do analizy logów. Narzędzia innych firm: Cado Response (platforma kryminalistyczna natywna w chmurze), Autopsja (analiza kryminalistyczna dysków), Volatility (analiza kryminalistyczna pamięci), Plaso/Log2Timeline (analiza osi czasu) i niestandardowe skrypty do gromadzenia dowodów w chmurze. Opsio wykorzystuje kombinację tych narzędzi w oparciu o wymagania dochodzeniowe.