Les bonnes pratiques AWS CloudTrail, SIEM, et Lacework - Lacework

Les bonnes pratiques AWS CloudTrail, SIEM et Lacework

Stephanie Best - Product Marketing Director

15 mars 2021

La sécurité et le passage au Cloud

Un programme complet de cybersécurité repose sur la capacité d'opérationnaliser les données de journal, les alertes, les rapports et l'automatisation. Traditionnellement, cela impliquait de consigner les serveurs, les pare-feu, les répertoires, les dispositifs de prévention des intrusions et les outils connexes dans la plateforme de gestion des informations et des événements de sécurité (SIEM) de votre choix et d'engager une équipe dédiée pour gérer et examiner cette myriade de données. Notre migration vers le cloud complexifie le problème avec de nouveaux journaux, tels qu'AWS CloudTrail, qui reflètent la nature virtuelle, éphémère et hautement transactionnelle de cette nouvelle infrastructure.

Dans l'esprit de beaucoup, AWS est devenu presque synonyme de « cloud », la société continuant de gagner des parts de marché d'année en année. AWS propose une gamme d'offres de services apparemment infinie à ses clients. Celles-ci vont de serveurs virtuels (EC2) et de stockage (S3) relativement simples à des plateformes plus complexes telles que l'orchestration de containers Kubernetes (EKS) et un menu croissant de services offrant une gestion des bases de données gérés tels qu'Amazon RDS, Aurora et DynamoDB. Chacun de ces services produit des quantités de journaux CloudTrail pilotés par API. 

Pourquoi avez-vous besoin d'AWS CloudTrail ?

CloudTrail contient l'historique brut de l'activité de chacun de ces services AWS, qui peuvent résider dans un ou plusieurs comptes AWS. CloudTrail consigne chaque action API à partir de la console de gestion AWS et de certains services AWS, mais également à partir des outils de ligne de commande AWS et des kits de développement logiciel AWS. Chaque fois qu'un de ces services cloud fournit un accès, ajoute, supprime ou modifie, un événement CloudTrail correspondant est enregistré.

Quelles sont les défis auxquels vous êtes confronté AWS CloudTrail ? 

Il faut d'abord considérer la portée, le coût et l'échelle. CloudTrail fournit un guichet unique pour interroger ou agir sur des journaux vitaux pour la sécurité, la compliance ou la résolution de problèmes. AWS fournit sa maigre console CloudTrail pour les recherches ad hoc dans la fenêtre horaire par défaut de 90 jours. Par conséquent, de nombreuses boutiques IT ingèrent les journaux CloudTrail dans leur plateforme SIEM pour une analyse et une interrogation plus approfondies. Mais voilà le problème : ces journaux sont prolifiques et sont dupliqués, verbatim, dans votre environnement. Étant donné que les fournisseurs de SIEM accordent souvent des licences par événements par seconde ou par gigaoctets par jour, ces deux modèles constituent une proposition coûteuse qui continue d'augmenter au fil du temps.

Pour contextualiser : les dépenses de cybersécurité augmentent rapidement en réponse à la fréquence croissante des incidents et violations à grande échelle, motivés par des raisons financières, qui font la une de l'actualité à un rythme quasi quotidien. D'innombrables données ont été exfiltrées dans des entreprises et des organisations bien intentionnées, et la tendance s'accèlère. La récente attaque de la chaîne logistique de SolarWinds a montré à quel point même les plus prudents et les mieux préparés d'entre nous sont vulnérables. Les entités, y compris le gouvernement américain, risquent de passer des années à démêler les fils de cette attaque. Une analyse post-incident peut facilement référencer des milliards (trillions ?) de journaux datant de plusieurs mois ou années pour retrouver l'intrus, et une analyse de ce calibre n'est pas gratuite.

Pourquoi les coûts de AWS Cloudtrail augmentent-ils ?

A SIEM provides a centralized means for security teams to query an array of log data, not only from AWS CloudTrail but from other log sources, including cloud providers such as Google Cloud Platform (GCP) and Microsoft Azure. With an astronomically high volume, finding the logs for a given incident is akin to finding a needle in a needle stack, much less a haystack! To further complicate the matter, many logs amount to little more than white noise for security analysts. Some research puts the signal-to-noise ratio at roughly 1:25,000. Put another way, companies are challenged with paying for one usable log entry buried within tens of thousands of fillers. 

D'où vient la complexité d'AWS CloudTrail ?

Les équipes de sécurité chevronnées planifient à l'avance des cas d'utilisation dans leur SIEM afin de générer des rapports et des alertes lorsque des critères de journaux spécifiques sont remplis. Mais même les plus grosses équipes ne peuvent pas prévoir toutes les éventualités. La réalité est qu'un SIEM typique est souvent moins proactif que réactif une fois que le mal est fait dans votre organisation et sa réputation ternie. Qui plus est, les systèmes d'information modernes peuvent être incroyablement complexes. C'est de plus en plus le cas avec les nouvelles piles technologiques telles que les architectures de microservices orchestrées par Kubernetes. Le maillage de systèmes et de journaux disparates qui en résulte donne une image complexe et quelque peu incomplète, où il est très facile de manquer une corrélation entre des événements ou du trafic. Constituer une équipe suffisante pour gérer, surveiller et agir à cette échelle peut être prohibitif, d'où la fréquence des équipes en sous-effectif et surchargées de travail. 

7 bonnes pratiques pour AWS CloudTrail

Les professionnels de la sécurité devraient adopter quelques bonnes pratiques lorsqu'ils travaillent avec AWS CloudTrail :

  1. Activer CloudTrail. Partout. Cela inclut les régions AWS où vous n'êtes peut-être pas présent, car un adversaire pourrait créer des instances, des services ou des comptes entiers sans que vous vous en rendiez compte. 
  2. Pour contrer la limite par défaut de 90 jours de CloudTrail, connectez-vous de manière centralisée à un AWS S3 bucket dédié et strictement contrôlé. Envisagez de créer un compte AWS distinct uniquement à cette fin. 
  3. Activez l'intégrité des fichiers journaux CloudTrail pour garantir l'intégrité de vos journaux. 
  4. Augmentez les journaux des S3 buckets avec AWS Key Management Service (KMS) pour réduire la complexité des tâches telles que la rotation des clés pour vos données au repos.
  5. Portez une attention particulière aux paramètres sur le S3 bucket où vous stockez vos journaux CloudTrail afin d'inclure la séparation des tâches pour la gestion du bucket. 
  6. Activez Supprimer MFA sur le bucket pour exiger une authentification supplémentaire pour la suppression des fichiers journaux. 
  7. Envisagez de coupler AWS CloudTrail avec AWS CloudWatch pour les données métriques ; un pic inhabituel dans l'utilisation du CPU peut être le signe d'une attaque active.

C'est là que Lacework entre en jeu.

La plateforme de cloud security de Lacework ingère facilement les journaux des systèmes multicloud et conteneurisés les plus complexes, avec peu de configuration initiale ou de maintenance continue. Un machine learning performant lui permet d'identifier des connexions et interdépendances comme aucun humain ne peut le faire, du moins pas dans la limite d'un budget réaliste. Cela permet un signalement réellement proactif des activités anormales dans votre environnement, avec peu de faux positifs.

Les boutiques IT peuvent voir les coûts de licence SIEM réduits de 75 % ou plus en exportant un canal Lacework au lieu d'ingérer tous les journaux AWS CloudTrail, en gros, sans devoir craindre une perte de fidélité ou d'intégrité des données. Lacework fournit une interface unifiée hautement graphique pour vous permettre d'approfondir rapidement et facilement vos recherches (sur l'historique ou ponctuelles) et d'afficher les données dont vous avez besoin de manière pertinente.  

Encore une chose...

Lacework utilizes the same platform to produce compliance reports for PCI-DSS, CIS, HIPAA, ISO 27000, NIST and SOC 2 by AWS Account, Recommendation Severity, or Status. File integrity monitoring allows for quick searches of files and metadata such as path, hash value, owner, command line, and modified times. Vulnerability management offers visibility from the host down to the container and repository level. You can quickly gauge which hosts or containers are vulnerable and how many you have running. Then focus your efforts by generating reports of fixable vulnerabilities with instructions for remediation. 

À retenir

  • Ne devenez pas célèbre pour une fuite de données. 
  • Les journaux AWS CloudTrail devraient faire partie intégrante de votre programme de sécurité global.
  • Les architectures de services modernes peuvent être incroyablement complexes et difficiles à corréler avec la véritable pléthore de sources d'événements distinctes.
  • Votre SIEM reste essentiel à votre architecture de sécurité multicouche, mais vous pouvez réduire les coûts de licence et de personnel.

Laissez Lacework gérer le volume et l'analyse de vos journaux CloudTrail et réaffectez votre budget et votre personnel SIEM pour résoudre les problèmes ailleurs.

 

Pour voir comment réduire vos coûts SIEM de plus de 75 % en pré-traitant vos journaux AWS CloudTrail, rejoignez-nous le 1er avril 2021 à 10h00 PT | 13h00 ET pour notre prochain webinaire

Webinaire : 7 considérations clés pour envoyer vos journaux AWS CloudTrail à un SIEM