Want to make creations as awesome as this one?

More creations to inspire you

Transcript

Auditoria de seguridad

Promotora

Paulina Martinez

12 de julio del 2024

COMPLIANCE

15 %

Verificar si existen credenciales con más de 90 días de antigüedad.

MFA esta habilitado en todos los usuarios.

Asegúrese de que ninguna política de IAM administrada por el cliente permita acciones que puedan conducir a una escalada de privilegios.

Verificar si existen políticas de IAM que permitan privilegios administrativos completos. "*:*"

Verificar si existen políticas de IAM personalizadas que permitan asunción de roles permisivos. (e.g. sts:AssumeRole on *)

Verificar que la cuenta tenga una política de credenciales exigente.

Verificar que el usuario root no cuente con Access Keys.

MFA está habilitado en el usuario root

AWS Identity and Access Management

Verificar si existen access keys con más de 90 días de antigüedad.

Verificar que los usuarios de grupos con política AdministratorAccess tengan MFA habilitado.

Habilitar GuardDuty

Verificar si hay incidentes de alto riesgo en Guardduty.

AMAZON GUARDDUTY

Comprobar si el cifrado predeterminado de EBS está activado.

Comprobar si los snapshot están encriptados

Verificar si hay volúmenes EBS sin cifrar.

Comprobar si hay grupos de seguridad que no se estén siendo utilizados.

Comprobar si existen credenciales o tokens en el UserData de EC2.

Verificar si existen grupos de seguridad con puertos criticos expuestos al mundo.

Verificar si existen políticas de respaldos automaticos.

Habilitar la protección contra eliminación en EC2.

Verificar si existen AMI configuradas como publicas.

Verificar si existen SNAPSHOTS configuradas como publicas.

Amazon Elastic Compute Cloud (Amazon EC2)

Revisar si hay EIP que no estan siendo utilizadas.

X

Recursos afectados:

Habilitar la protección contra eliminación en CloudFormation.

AWS CloudFormation

Comprobar si existen credenciales dentro de los outputs de Cloudformation.

AWS Application Auto Scaling(ASG)

Validar si las VPCs principales tienen Flog los habilitado.

INSPECTOR

Realiza al menos un análisis de inspector a tus aplicativos.

Asegúrese de que todas las instancias EC2 estén administradas por el servicio AWS Systems Manager (SSM).

Comprobar si las instancias EC2 administradas por Systems Manager cumplen con los requisitos de aplicación de parches.

AWS SYSTEMS MANAGER (SSM)

Comprobar si existen credenciales dentro del código del lambda.

Comprobar si existen credenciales dentro de las variables de entorno de lambda.

Comprobar si las funciones de Lambda tienen una política basada en recursos establecida como pública.

Compruebe si las funciones de Lambda tienen políticas que permiten el acceso a cualquier cuenta de AWS.

AWS Lambda

Aplicar cifrado de almacenamiento en RDS.

Comprobar si existen instancias de RDS configurados con acceso publico.

Amazon Relational Database Service (Amazon RDS)

Habilitar las copias de seguridad en RDS.

Comprobar si hay snapshots de instancias y clusters configurados con acceso público.

Habilitar la protección contra eliminación en RDS.

Revisar si existen buckets de S3 expuestos al mundo.

Verifique si los depósitos S3 tienen políticas que permiten el acceso de escritura.

Amazon Simple Storage Service (Amazon S3)

Aplicar cifrado en reposo en Buckets de S3.

Comprobar si hay llaves KMS expuestas.

Habilitar la rotación para llaves KMS. (CMK)

AWS Key Management Service (AWS KMS)

Amazon Virtual Private Cloud (Amazon VPC)

Validar si las VPCs principales tienen Flog los habilitado.

Compruebe si Application Load Balancer descarta paquetes no válidos para evitar el contrabando de solicitudes HTTP basadas en encabezados.

Comprobar si Application Load Balancer tiene una ACL de WAF adjunta

Validar si los balanceadores tienen el monitoreo habilitado.

Habilitar la protección contra eliminación en ELB.

Elastic Load Balancing

AWS Certificate Manager (ACM)

Para cada clave maestra de cliente de KMS (CMK); asegúrese de que Rotar esta clave cada año esté habilitado.

Si tiene alguna duda o comentario, no dude en ponerse en contacto con el equipo de Customer Success. Estaremos encantados de asistirle y resolver cualquier inquietud que pueda tener.

Riesgo

Recomendación

Si la copia de seguridad no está habilitada; los datos son vulnerables. El error humano o los malos actores podrían borrar o modificar los datos.

Habilite la copia de seguridad automatizada para los datos de producción. Defina un período de retención y pruebe periódicamente la restauración de la copia de seguridad.

Recursos afectados:

Riesgo

Recomendación

Desde una perspectiva de seguridad, si no usa Systems Manager (SSM) para administrar su flota de instancias EC2, tendrá que parchear manualmente cada instancia. Esto puede llevar a que falten parches en algunas instancias, exponiendo vulnerabilidades del sistema que los atacantes podrían explotar.

Systems Manager facilita la gestión de recursos en AWS, reduce el tiempo para detectar y solucionar problemas, y permite operar y administrar instancias de manera segura a escala. Para supervisar y gestionar instancias EC2 con AWS Systems Manager, deben configurarse como instancias administradas.

Recursos afectados:

Riesgo

Recomendación

Si no se restringe, podría ocurrir un acceso no deseado.

Utilice el principio de privilegios mínimos al otorgar permisos.

Recursos afectados:

Riesgo

Recomendación

Las credenciales dentro de las variables de entorno de lambda pueden ser utilizados por malware y malos actores para obtener acceso lateral a otros servicios.

Utilice Secrets Manager para proporcionar de forma segura las credenciales.

Recursos afectados:

Riesgo

Recomendación

La reutilización de credenciales y las credenciales débiles podrían poner en riesgo la seguridad de la consola.

Se recomienda implementar una política de credenciales exigente.

Recursos afectados:

Es importante evitar que los servicios de acceso público expongan datos sensibles a personas malintencionadas. Se aconseja mantener privados los snapshots de RDS para prevenir filtraciones o uso indebido de información confidencial, garantizando así la seguridad de los datos.

Riesgo

Configure sus snapshots como privados.

Recomendación

Riesgo

Recomendación

Se le cobra por hora por cada dirección IP elástica que no esté asociada a una instancia EC2.

Si no necesita una dirección IP elástica; puede detener los cargos liberando la dirección IP.

Recursos afectados:

Riesgo

Recomendación

Tener una definición y un alcance claros para los grupos de seguridad crea un mejor entorno de administración.

Eliminar los grupos de seguridad que no estan siendo utilizados.

Recursos afectados:

Riesgo

Recomendación

Si no se abordan los hallazgos críticos, las amenazas pueden propagarse en sus aplicativos.

Revise y corrija los hallazgos críticos de GuardDuty lo más rápido posible.

Recursos afectados:

Para cada clave maestra de cliente de KMS (CMK); asegúrese de que Rotar esta clave cada año esté habilitado.

Riesgo

Recomendación

Supervise la caducidad del certificado y tome medidas automatizadas para renovar; reemplazar o quitar.

Riesgo

Recomendación

AWS GuardDuty detecta comportamientos maliciosos o no autorizados en sus registros de AWS, como llamadas API sospechosas o instancias EC2 comprometidas, para proteger contra posibles compromisos de seguridad.

Habilite Guardduty en todas las regiones para proteger su entorno e infraestructura de AWS (cuentas y recursos de AWS, credenciales de IAM, sistemas operativos invitados, aplicaciones, etc.) contra amenazas de seguridad.

Recursos afectados:

Riesgo

Recomendación

ALB puede ser el objetivo de los actores que envían encabezados HTTP incorrectos

Asegúrese de que Application Load Balancer esté configurado para encabezados HTTP con campos de encabezado que no son válidos y que el balanceador de carga elimine (verdadero)

Recursos afectados:

Riesgo

Recomendación

Si no está habilitado, la información sensible en reposo no está protegida.

Puede configurar su cuenta de AWS para aplicar el cifrado de los nuevos volúmenes de EBS y las copias de instantáneas que cree.

Recursos afectados:

Riesgo

Recomendación

Sin protección de terminación habilitada; una instancia critica puede eliminarse accidentalmente.

Asegúrese de que la protección de terminación esté habilitada.

Recursos afectados:

Riesgo

Recomendación

Si la protección contra eliminación no está habilitada; el recurso no está protegido contra la eliminación.

Habilitar el atributo de protección contra eliminación; esto no está habilitado por defecto.

Recursos afectados:

Riesgo

Recomendación

Los usuarios no previstos pueden colocar objetos en un depósito determinado.

Asegúrese de que se implemente la política de depósitos adecuada con el principio de privilegios mínimos aplicado.

Recursos afectados:

Si no está habilitado, la información sensible en reposo no está protegida.

Riesgo

Habilitar el cifrado en sus instancias de RDS.

Recomendación

Riesgo

Recomendación

Las credenciales dentro del código del lambda pueden ser utilizados por malware y malos actores para obtener acceso lateral a otros servicios.

Utilice Secrets Manager para proporcionar de forma segura las credenciales.

Recursos afectados:

Riesgo

Recomendación

Las claves KMS expuestas o los permisos de política amplios pueden dejar los datos desprotegidos.

Las claves KMS expuestas o los permisos de política amplios pueden dejar los datos desprotegidos.

Recursos afectados:

Recomendación

Riesgo

El acceso no autorizado a las cuentas de usuario puede verse comprometida si no se cuenta con una política de credenciales exigente.

Habilitar MFA todos los usuarios.

Recursos afectados:

Riesgo

Recomendación

La cuenta root en AWS tiene los máximos privilegios. MFA añade seguridad extra, requiriendo nombre de usuario, contraseña y un código de autenticación al iniciar sesión en sitios de AWS.

Para mejorar la seguridad, usa MFA virtual para cuentas root con un dispositivo móvil dedicado, no personal, como una tableta o teléfono gestionado. Esto minimiza el riesgo de perder acceso a MFA debido a pérdidas, intercambios de dispositivos, o cambios en la situación laboral de los usuarios.

Recursos afectados:

Riesgo

Recomendación

Si la copia de seguridad no está habilitada; los datos son vulnerables. El error humano o los malos actores podrían borrar o modificar los datos.

Habilite la copia de seguridad automatizada para los datos de producción. Defina un período de retención y pruebe periódicamente la restauración de la copia de seguridad.

Recursos afectados:

Riesgo

Recomendación

Sin protección de terminación habilitada; una pila crítica de CloudFormation puede eliminarse accidentalmente.

Asegúrese de que la protección de terminación esté habilitada para las pilas.

Recursos afectados:

Riesgo

Recomendación

El acceso a la función Lambda a cualquier cuenta de AWS puede generar problemas de seguridad

Asegúrese de que la política de la función Lambda no permita el acceso a ninguna cuenta

Recursos afectados:

Riesgo

Recomendación

Las credenciales en las salidas de CloudFormation pueden ser utilizados por malware y malos actores para obtener acceso lateral a otros servicios.

Utilice Secrets Manager para proporcionar de forma segura las credenciales.

Recursos afectados:

Riesgo

Recomendación

Las claves de acceso se utilizan para firmar las solicitudes programáticas a los recursos de AWS, la exposición de estas puede poner en riesgo la seguridad de la consola.

Se recomienda eliminar, rotar o desactivar todas las Access keys que no se hayan utilizado en 90 días o más.

Recursos afectados:

Riesgo

Recomendación

El cifrado de datos en reposo evita la visibilidad de los datos en caso de acceso no autorizado o robo.

Cifre todos los volúmenes de EBS y habilite el cifrado de forma predeterminada.

Recursos afectados:

Riesgo

Recomendación

Cuando comparte un snapshot; está dando acceso a otros a los datos del snapshot. Comparta snapshot solo con las personas con las que desea compartir todos sus datos.

Asegúrese de que el snapshot debe compartirse.

Recursos afectados:

Riesgo

Recomendación

Una AMI compartida es creada por un desarrollador y disponible para otros desarrolladores. Si incluye información del entorno, podría representar un riesgo de seguridad. Usar una AMI compartida implica riesgos propios. Amazon no asegura la integridad o seguridad de las AMI compartidas en Amazon EC2.

Enumere todas las AMI compartidas y tome una acción sobre ellas.

Recursos afectados:

Riesgo

Recomendación

Los servicios de acceso público podrían exponer datos sensibles a los malos actores.

Otorgue permiso de uso por recurso y aplicando el principio de privilegio mínimo.

Recursos afectados:

Riesgo

Recomendación

Las claves KMS expuestas o los permisos de política amplios pueden dejar los datos desprotegidos.

Las claves KMS expuestas o los permisos de política amplios pueden dejar los datos desprotegidos.

Recursos afectados:

Riesgo

Recomendación

La reutilización de credenciales y las credenciales débiles podrían poner en riesgo la seguridad de la consola.

Se recomienda implementar una política de credenciales exigente.

Recursos afectados:

Las bases de datos de acceso público podrían exponer datos sensibles a los malos actores.

Riesgo

Con una regla de AWS Config, verifique periódicamente las instancias públicas de RDS y verifique que haya una razón comercial para ello.

Recomendación

Riesgo

Recomendación

El cifrado de datos en reposo evita la visibilidad de los datos en caso de acceso no autorizado o robo.

Cifre el snapshot de EBS y habilite el cifrado de forma predeterminada.

Recursos afectados:

Riesgo

Recomendación

Si un usuario privilegiado de IAM con permisos de administrador es usado por alguien sin experiencia, puede causar problemas de seguridad, fugas de datos, pérdida de datos o cargos inesperados en AWS.

Asegúrese de que su cuenta de AWS no tenga grupos de IAM con permisos de administrador para seguir las mejores prácticas de seguridad.

Recursos afectados:

Riesgo

La cuenta root en AWS tiene los máximos privilegios. Las claves de acceso permiten acceso programático a la cuenta. Es recomendable eliminar todas las claves de acceso de la cuenta root para reducir posibles compromisos de seguridad. Esto fomenta el uso de roles con menos privilegios para gestionar mejor la seguridad y el acceso en AWS.

Recomendación

Elimine las access keys del usuario root.

Recursos afectados:

Riesgo

Recomendación

Tener grupos de seguridad abiertos permite que cualquier usuario o malware con acceso vpc busque puertos conocidos y sensibles y obtenga acceso a la instancia.

Para adoptar el enfoque Zero Trust, se debe establecer un procedimiento para identificar y corregir grupos de seguridad que tengan configuraciones excesivamente permisivas. Se aconseja reducir la cantidad mínima de puertos necesarios como práctica recomendada.

Recursos afectados:

Riesgo

Recomendación

Las claves KMS expuestas o los permisos de política amplios pueden dejar los datos desprotegidos.

Las claves KMS expuestas o los permisos de política amplios pueden dejar los datos desprotegidos.

Recursos afectados:

Riesgo

Recomendación

VPC Flow Logs brinda visibilidad del tráfico de red que atraviesa la VPC y se pueden usar para detectar tráfico anómalo o información durante los flujos de trabajo de seguridad.

Habilitar VPC Flow Logs en todas las VPC's.

Recursos afectados:

Riesgo

Recomendación

Si no se adjunta WAF ACL, aumenta el riesgo de ataques web.

Implemente una regla de WAF y adjuntala al balaceador.

Recursos afectados:

Riesgo

Recomendación

Aunque se activen todas las opciones de ACL disponibles en la consola de Amazon S3, las ACL por sí solas no permiten la descarga de objetos para todos los usuarios. Según la configuración seleccionada, algunos usuarios podrían realizar ciertas acciones específicas.

Puede habilitar la configuración de bloqueo de acceso público solo para puntos de acceso; buckets; y cuentas de AWS.

Recursos afectados:

Las credenciales en las plantillas de lanzamiento de los ASG pueden ser usadas por malware y actores malintencionados para acceder a otros servicios.

Riesgo

Utilice Secrets Manager para proporcionar de forma segura las credenciales.

Recomendación

Riesgo

Recomendación

Las políticas de IAM son los medios por los cuales se otorgan privilegios a los usuarios; grupos; o roles. Se recomienda y se considera un consejo de seguridad estándar otorgar el mínimo privilegio

Es más seguro comenzar con un conjunto mínimo de permisos y otorgar permisos adicionales según sea necesario; en lugar de comenzar con permisos que son demasiado indulgentes y luego tratar de ajustarlos más tarde.

Recursos afectados:

Riesgo

Recomendación

Sin los parches de seguridad más recientes, su sistema es vulnerable a ciberataques. Incluso el software mejor diseñado no puede prever todas las futuras amenazas de ciberseguridad. Una gestión deficiente de parches puede exponer los datos de la organización a malware y ransomware.

Considere usar SSM en todas las cuentas y servicios para monitorear los parches faltantes en los servidores.

Recursos afectados:

Riesgo

Recomendación

Si no esta implementado el cifrado en reposo esta exponiendo su información en reposo a robo de datos.

Asegúrese de que los depósitos de S3 tengan habilitado el cifrado en reposo.

Recursos afectados:

Solo puede eliminar instancias que no tengan habilitada la protección contra eliminación.

Riesgo

Habilite la protección contra eliminación mediante la Consola de administración de AWS para instancias de base de datos de producción.

Recomendación

Riesgo

Recomendación

Los usuarios con algunos permisos de IAM pueden elevar sus privilegios a derechos de administrador.

Otorgue permiso de uso por recurso y aplicando el principio de privilegio mínimo.

Recursos afectados:

Riesgo

Recomendación

Los usuarios pueden acceder a los recursos de AWS y una cuenta comprometida puede poner en riesgo la seguridad de la consola.

Se recomienda eliminar, rotar o desactivar todas las credenciales que no se hayan utilizado en 90 días o más.

Recursos afectados:

Posibles problemas de seguridad y vulnerabilidades comunes que afectan a sus aplicativos internos.

Riesgo

Asegúrese de que todas sus instancias Amazon EC2 estén incluidas en al menos un objetivo de evaluación de Inspector

Recomendación

Riesgo

Recomendación

Si los registros no están habilitados, no es posible monitorear el uso del servicio y el análisis de amenazas.

Habilitar el registro de ELB y crear el ciclo de vida de los registros.

Recursos afectados: