Infografía de auditoría ORIGINAL
tmp_wlinares
Created on July 12, 2024
More creations to inspire you
HOW TO CREATE THE PERFECT VIRTUAL WORKSPACE
Vertical infographics
BOOKFLIX
Vertical infographics
12 PRINCIPLES OF ANIMATION
Vertical infographics
WHY WE LIKE INFOGRAPHICS
Vertical infographics
Transcript
Auditoria de seguridad
Promotora
Paulina Martinez
12 de julio del 2024
COMPLIANCE
15 %
Verificar si existen credenciales con más de 90 días de antigüedad.
MFA esta habilitado en todos los usuarios.
Asegúrese de que ninguna política de IAM administrada por el cliente permita acciones que puedan conducir a una escalada de privilegios.
Verificar si existen políticas de IAM que permitan privilegios administrativos completos. "*:*"
Verificar si existen políticas de IAM personalizadas que permitan asunción de roles permisivos. (e.g. sts:AssumeRole on *)
Verificar que la cuenta tenga una política de credenciales exigente.
Verificar que el usuario root no cuente con Access Keys.
MFA está habilitado en el usuario root
AWS Identity and Access Management
Verificar si existen access keys con más de 90 días de antigüedad.
Verificar que los usuarios de grupos con política AdministratorAccess tengan MFA habilitado.
Habilitar GuardDuty
Verificar si hay incidentes de alto riesgo en Guardduty.
AMAZON GUARDDUTY
Comprobar si el cifrado predeterminado de EBS está activado.
Comprobar si los snapshot están encriptados
Verificar si hay volúmenes EBS sin cifrar.
Comprobar si hay grupos de seguridad que no se estén siendo utilizados.
Comprobar si existen credenciales o tokens en el UserData de EC2.
Verificar si existen grupos de seguridad con puertos criticos expuestos al mundo.
Verificar si existen políticas de respaldos automaticos.
Habilitar la protección contra eliminación en EC2.
Verificar si existen AMI configuradas como publicas.
Verificar si existen SNAPSHOTS configuradas como publicas.
Amazon Elastic Compute Cloud (Amazon EC2)
Revisar si hay EIP que no estan siendo utilizadas.
X
Recursos afectados:
Habilitar la protección contra eliminación en CloudFormation.
AWS CloudFormation
Comprobar si existen credenciales dentro de los outputs de Cloudformation.
AWS Application Auto Scaling(ASG)
Validar si las VPCs principales tienen Flog los habilitado.
INSPECTOR
Realiza al menos un análisis de inspector a tus aplicativos.
Asegúrese de que todas las instancias EC2 estén administradas por el servicio AWS Systems Manager (SSM).
Comprobar si las instancias EC2 administradas por Systems Manager cumplen con los requisitos de aplicación de parches.
AWS SYSTEMS MANAGER (SSM)
Comprobar si existen credenciales dentro del código del lambda.
Comprobar si existen credenciales dentro de las variables de entorno de lambda.
Comprobar si las funciones de Lambda tienen una política basada en recursos establecida como pública.
Compruebe si las funciones de Lambda tienen políticas que permiten el acceso a cualquier cuenta de AWS.
AWS Lambda
Aplicar cifrado de almacenamiento en RDS.
Comprobar si existen instancias de RDS configurados con acceso publico.
Amazon Relational Database Service (Amazon RDS)
Habilitar las copias de seguridad en RDS.
Comprobar si hay snapshots de instancias y clusters configurados con acceso público.
Habilitar la protección contra eliminación en RDS.
Revisar si existen buckets de S3 expuestos al mundo.
Verifique si los depósitos S3 tienen políticas que permiten el acceso de escritura.
Amazon Simple Storage Service (Amazon S3)
Aplicar cifrado en reposo en Buckets de S3.
Comprobar si hay llaves KMS expuestas.
Habilitar la rotación para llaves KMS. (CMK)
AWS Key Management Service (AWS KMS)
Amazon Virtual Private Cloud (Amazon VPC)
Validar si las VPCs principales tienen Flog los habilitado.
Compruebe si Application Load Balancer descarta paquetes no válidos para evitar el contrabando de solicitudes HTTP basadas en encabezados.
Comprobar si Application Load Balancer tiene una ACL de WAF adjunta
Validar si los balanceadores tienen el monitoreo habilitado.
Habilitar la protección contra eliminación en ELB.
Elastic Load Balancing
AWS Certificate Manager (ACM)
Para cada clave maestra de cliente de KMS (CMK); asegúrese de que Rotar esta clave cada año esté habilitado.
Si tiene alguna duda o comentario, no dude en ponerse en contacto con el equipo de Customer Success. Estaremos encantados de asistirle y resolver cualquier inquietud que pueda tener.
Riesgo
Recomendación
Si la copia de seguridad no está habilitada; los datos son vulnerables. El error humano o los malos actores podrían borrar o modificar los datos.
Habilite la copia de seguridad automatizada para los datos de producción. Defina un período de retención y pruebe periódicamente la restauración de la copia de seguridad.
Recursos afectados:
Riesgo
Recomendación
Desde una perspectiva de seguridad, si no usa Systems Manager (SSM) para administrar su flota de instancias EC2, tendrá que parchear manualmente cada instancia. Esto puede llevar a que falten parches en algunas instancias, exponiendo vulnerabilidades del sistema que los atacantes podrían explotar.
Systems Manager facilita la gestión de recursos en AWS, reduce el tiempo para detectar y solucionar problemas, y permite operar y administrar instancias de manera segura a escala. Para supervisar y gestionar instancias EC2 con AWS Systems Manager, deben configurarse como instancias administradas.
Recursos afectados:
Riesgo
Recomendación
Si no se restringe, podría ocurrir un acceso no deseado.
Utilice el principio de privilegios mínimos al otorgar permisos.
Recursos afectados:
Riesgo
Recomendación
Las credenciales dentro de las variables de entorno de lambda pueden ser utilizados por malware y malos actores para obtener acceso lateral a otros servicios.
Utilice Secrets Manager para proporcionar de forma segura las credenciales.
Recursos afectados:
Riesgo
Recomendación
La reutilización de credenciales y las credenciales débiles podrían poner en riesgo la seguridad de la consola.
Se recomienda implementar una política de credenciales exigente.
Recursos afectados:
Es importante evitar que los servicios de acceso público expongan datos sensibles a personas malintencionadas. Se aconseja mantener privados los snapshots de RDS para prevenir filtraciones o uso indebido de información confidencial, garantizando así la seguridad de los datos.
Riesgo
Configure sus snapshots como privados.
Recomendación
Riesgo
Recomendación
Se le cobra por hora por cada dirección IP elástica que no esté asociada a una instancia EC2.
Si no necesita una dirección IP elástica; puede detener los cargos liberando la dirección IP.
Recursos afectados:
Riesgo
Recomendación
Tener una definición y un alcance claros para los grupos de seguridad crea un mejor entorno de administración.
Eliminar los grupos de seguridad que no estan siendo utilizados.
Recursos afectados:
Riesgo
Recomendación
Si no se abordan los hallazgos críticos, las amenazas pueden propagarse en sus aplicativos.
Revise y corrija los hallazgos críticos de GuardDuty lo más rápido posible.
Recursos afectados:
Para cada clave maestra de cliente de KMS (CMK); asegúrese de que Rotar esta clave cada año esté habilitado.
Riesgo
Recomendación
Supervise la caducidad del certificado y tome medidas automatizadas para renovar; reemplazar o quitar.
Riesgo
Recomendación
AWS GuardDuty detecta comportamientos maliciosos o no autorizados en sus registros de AWS, como llamadas API sospechosas o instancias EC2 comprometidas, para proteger contra posibles compromisos de seguridad.
Habilite Guardduty en todas las regiones para proteger su entorno e infraestructura de AWS (cuentas y recursos de AWS, credenciales de IAM, sistemas operativos invitados, aplicaciones, etc.) contra amenazas de seguridad.
Recursos afectados:
Riesgo
Recomendación
ALB puede ser el objetivo de los actores que envían encabezados HTTP incorrectos
Asegúrese de que Application Load Balancer esté configurado para encabezados HTTP con campos de encabezado que no son válidos y que el balanceador de carga elimine (verdadero)
Recursos afectados:
Riesgo
Recomendación
Si no está habilitado, la información sensible en reposo no está protegida.
Puede configurar su cuenta de AWS para aplicar el cifrado de los nuevos volúmenes de EBS y las copias de instantáneas que cree.
Recursos afectados:
Riesgo
Recomendación
Sin protección de terminación habilitada; una instancia critica puede eliminarse accidentalmente.
Asegúrese de que la protección de terminación esté habilitada.
Recursos afectados:
Riesgo
Recomendación
Si la protección contra eliminación no está habilitada; el recurso no está protegido contra la eliminación.
Habilitar el atributo de protección contra eliminación; esto no está habilitado por defecto.
Recursos afectados:
Riesgo
Recomendación
Los usuarios no previstos pueden colocar objetos en un depósito determinado.
Asegúrese de que se implemente la política de depósitos adecuada con el principio de privilegios mínimos aplicado.
Recursos afectados:
Si no está habilitado, la información sensible en reposo no está protegida.
Riesgo
Habilitar el cifrado en sus instancias de RDS.
Recomendación
Riesgo
Recomendación
Las credenciales dentro del código del lambda pueden ser utilizados por malware y malos actores para obtener acceso lateral a otros servicios.
Utilice Secrets Manager para proporcionar de forma segura las credenciales.
Recursos afectados:
Riesgo
Recomendación
Las claves KMS expuestas o los permisos de política amplios pueden dejar los datos desprotegidos.
Las claves KMS expuestas o los permisos de política amplios pueden dejar los datos desprotegidos.
Recursos afectados:
Recomendación
Riesgo
El acceso no autorizado a las cuentas de usuario puede verse comprometida si no se cuenta con una política de credenciales exigente.
Habilitar MFA todos los usuarios.
Recursos afectados:
Riesgo
Recomendación
La cuenta root en AWS tiene los máximos privilegios. MFA añade seguridad extra, requiriendo nombre de usuario, contraseña y un código de autenticación al iniciar sesión en sitios de AWS.
Para mejorar la seguridad, usa MFA virtual para cuentas root con un dispositivo móvil dedicado, no personal, como una tableta o teléfono gestionado. Esto minimiza el riesgo de perder acceso a MFA debido a pérdidas, intercambios de dispositivos, o cambios en la situación laboral de los usuarios.
Recursos afectados:
Riesgo
Recomendación
Si la copia de seguridad no está habilitada; los datos son vulnerables. El error humano o los malos actores podrían borrar o modificar los datos.
Habilite la copia de seguridad automatizada para los datos de producción. Defina un período de retención y pruebe periódicamente la restauración de la copia de seguridad.
Recursos afectados:
Riesgo
Recomendación
Sin protección de terminación habilitada; una pila crítica de CloudFormation puede eliminarse accidentalmente.
Asegúrese de que la protección de terminación esté habilitada para las pilas.
Recursos afectados:
Riesgo
Recomendación
El acceso a la función Lambda a cualquier cuenta de AWS puede generar problemas de seguridad
Asegúrese de que la política de la función Lambda no permita el acceso a ninguna cuenta
Recursos afectados:
Riesgo
Recomendación
Las credenciales en las salidas de CloudFormation pueden ser utilizados por malware y malos actores para obtener acceso lateral a otros servicios.
Utilice Secrets Manager para proporcionar de forma segura las credenciales.
Recursos afectados:
Riesgo
Recomendación
Las claves de acceso se utilizan para firmar las solicitudes programáticas a los recursos de AWS, la exposición de estas puede poner en riesgo la seguridad de la consola.
Se recomienda eliminar, rotar o desactivar todas las Access keys que no se hayan utilizado en 90 días o más.
Recursos afectados:
Riesgo
Recomendación
El cifrado de datos en reposo evita la visibilidad de los datos en caso de acceso no autorizado o robo.
Cifre todos los volúmenes de EBS y habilite el cifrado de forma predeterminada.
Recursos afectados:
Riesgo
Recomendación
Cuando comparte un snapshot; está dando acceso a otros a los datos del snapshot. Comparta snapshot solo con las personas con las que desea compartir todos sus datos.
Asegúrese de que el snapshot debe compartirse.
Recursos afectados:
Riesgo
Recomendación
Una AMI compartida es creada por un desarrollador y disponible para otros desarrolladores. Si incluye información del entorno, podría representar un riesgo de seguridad. Usar una AMI compartida implica riesgos propios. Amazon no asegura la integridad o seguridad de las AMI compartidas en Amazon EC2.
Enumere todas las AMI compartidas y tome una acción sobre ellas.
Recursos afectados:
Riesgo
Recomendación
Los servicios de acceso público podrían exponer datos sensibles a los malos actores.
Otorgue permiso de uso por recurso y aplicando el principio de privilegio mínimo.
Recursos afectados:
Riesgo
Recomendación
Las claves KMS expuestas o los permisos de política amplios pueden dejar los datos desprotegidos.
Las claves KMS expuestas o los permisos de política amplios pueden dejar los datos desprotegidos.
Recursos afectados:
Riesgo
Recomendación
La reutilización de credenciales y las credenciales débiles podrían poner en riesgo la seguridad de la consola.
Se recomienda implementar una política de credenciales exigente.
Recursos afectados:
Las bases de datos de acceso público podrían exponer datos sensibles a los malos actores.
Riesgo
Con una regla de AWS Config, verifique periódicamente las instancias públicas de RDS y verifique que haya una razón comercial para ello.
Recomendación
Riesgo
Recomendación
El cifrado de datos en reposo evita la visibilidad de los datos en caso de acceso no autorizado o robo.
Cifre el snapshot de EBS y habilite el cifrado de forma predeterminada.
Recursos afectados:
Riesgo
Recomendación
Si un usuario privilegiado de IAM con permisos de administrador es usado por alguien sin experiencia, puede causar problemas de seguridad, fugas de datos, pérdida de datos o cargos inesperados en AWS.
Asegúrese de que su cuenta de AWS no tenga grupos de IAM con permisos de administrador para seguir las mejores prácticas de seguridad.
Recursos afectados:
Riesgo
La cuenta root en AWS tiene los máximos privilegios. Las claves de acceso permiten acceso programático a la cuenta. Es recomendable eliminar todas las claves de acceso de la cuenta root para reducir posibles compromisos de seguridad. Esto fomenta el uso de roles con menos privilegios para gestionar mejor la seguridad y el acceso en AWS.
Recomendación
Elimine las access keys del usuario root.
Recursos afectados:
Riesgo
Recomendación
Tener grupos de seguridad abiertos permite que cualquier usuario o malware con acceso vpc busque puertos conocidos y sensibles y obtenga acceso a la instancia.
Para adoptar el enfoque Zero Trust, se debe establecer un procedimiento para identificar y corregir grupos de seguridad que tengan configuraciones excesivamente permisivas. Se aconseja reducir la cantidad mínima de puertos necesarios como práctica recomendada.
Recursos afectados:
Riesgo
Recomendación
Las claves KMS expuestas o los permisos de política amplios pueden dejar los datos desprotegidos.
Las claves KMS expuestas o los permisos de política amplios pueden dejar los datos desprotegidos.
Recursos afectados:
Riesgo
Recomendación
VPC Flow Logs brinda visibilidad del tráfico de red que atraviesa la VPC y se pueden usar para detectar tráfico anómalo o información durante los flujos de trabajo de seguridad.
Habilitar VPC Flow Logs en todas las VPC's.
Recursos afectados:
Riesgo
Recomendación
Si no se adjunta WAF ACL, aumenta el riesgo de ataques web.
Implemente una regla de WAF y adjuntala al balaceador.
Recursos afectados:
Riesgo
Recomendación
Aunque se activen todas las opciones de ACL disponibles en la consola de Amazon S3, las ACL por sí solas no permiten la descarga de objetos para todos los usuarios. Según la configuración seleccionada, algunos usuarios podrían realizar ciertas acciones específicas.
Puede habilitar la configuración de bloqueo de acceso público solo para puntos de acceso; buckets; y cuentas de AWS.
Recursos afectados:
Las credenciales en las plantillas de lanzamiento de los ASG pueden ser usadas por malware y actores malintencionados para acceder a otros servicios.
Riesgo
Utilice Secrets Manager para proporcionar de forma segura las credenciales.
Recomendación
Riesgo
Recomendación
Las políticas de IAM son los medios por los cuales se otorgan privilegios a los usuarios; grupos; o roles. Se recomienda y se considera un consejo de seguridad estándar otorgar el mínimo privilegio
Es más seguro comenzar con un conjunto mínimo de permisos y otorgar permisos adicionales según sea necesario; en lugar de comenzar con permisos que son demasiado indulgentes y luego tratar de ajustarlos más tarde.
Recursos afectados:
Riesgo
Recomendación
Sin los parches de seguridad más recientes, su sistema es vulnerable a ciberataques. Incluso el software mejor diseñado no puede prever todas las futuras amenazas de ciberseguridad. Una gestión deficiente de parches puede exponer los datos de la organización a malware y ransomware.
Considere usar SSM en todas las cuentas y servicios para monitorear los parches faltantes en los servidores.
Recursos afectados:
Riesgo
Recomendación
Si no esta implementado el cifrado en reposo esta exponiendo su información en reposo a robo de datos.
Asegúrese de que los depósitos de S3 tengan habilitado el cifrado en reposo.
Recursos afectados:
Solo puede eliminar instancias que no tengan habilitada la protección contra eliminación.
Riesgo
Habilite la protección contra eliminación mediante la Consola de administración de AWS para instancias de base de datos de producción.
Recomendación
Riesgo
Recomendación
Los usuarios con algunos permisos de IAM pueden elevar sus privilegios a derechos de administrador.
Otorgue permiso de uso por recurso y aplicando el principio de privilegio mínimo.
Recursos afectados:
Riesgo
Recomendación
Los usuarios pueden acceder a los recursos de AWS y una cuenta comprometida puede poner en riesgo la seguridad de la consola.
Se recomienda eliminar, rotar o desactivar todas las credenciales que no se hayan utilizado en 90 días o más.
Recursos afectados:
Posibles problemas de seguridad y vulnerabilidades comunes que afectan a sus aplicativos internos.
Riesgo
Asegúrese de que todas sus instancias Amazon EC2 estén incluidas en al menos un objetivo de evaluación de Inspector
Recomendación
Riesgo
Recomendación
Si los registros no están habilitados, no es posible monitorear el uso del servicio y el análisis de amenazas.
Habilitar el registro de ELB y crear el ciclo de vida de los registros.
Recursos afectados: