Security in Amazon Web Services (AWS) is meer dan alleen de containers of virtuele machines monitoren.

Nerium streeft ernaar om aanvallers zo vroeg mogelijk te detecteren in de verschillende fasen van een aanval (cyber kill chain). Daarom is het belangrijk om op meerdere lagen van de digitale omgeving monitoring en detectie uit te voeren, wat dus ook de AWS-cloud security op identities en security groups omvat. AWS biedt hiervoor veel mogelijkheden via logging, zoals beschikbaar in bijvoorbeeld CloudTrail of VPC Flow Logs. Een aanvaller zal hoogstwaarschijnlijk ook de AWS cloud laag 'aanraken' met een aanval, niet alleen de virtuele containers of virtuele machines, hierdoor liggen er kansen om een aanvaller ook daar te detecteren.

Dankzij deze aanpak kunnen specifieke risico's of scenario's die uniek zijn voor een organisatie effectief worden gemonitord. Het vaststellen van normaal gedrag biedt de mogelijkheid om afwijkingen te detecteren. Bijvoorbeeld, als een beheerder gewoonlijk inlogt vanaf zijn eigen werkplek, is het verdacht wanneer dezelfde beheerder zich vanaf een andere werkplek aanmeldt, zelfs als dit een interne werkplek is.

Door een snellere detectie van een aanvaller kan de impact van een incident geminimaliseerd worden.

Contact

AWS security, dat doen we door 24/7 monitoring.

Dit zijn een aantal voorbeelden ter illustratie, we willen om overduidelijke redenen niet alles op onze website plaatsen.

Root login

De beheerder logt altijd in met zijn root account vanaf een of twee systemen.

Nerium monitort of het account inlogt vanaf een onbekend systeem in CloudTrail.

Security Groups wijzigen

Geen enkele server of container is rechtstreeks verbonden met het internet.

Nerium bewaakt wijzigingen in Security groups om persistence te detecteren, zoals wanneer aanvallers EC2-instanties verbinden met het internet om achterdeurtoegang te verkrijgen.

Cryptomining

Een aanvaller creëert een virtuele machine met bepaalde hardware requirements om crypto te minen.

Nerium monitort in de CloudTrail logs op de creatie van EC2’s met specifieke hardware requirements.

Hoe pakt Nerium dit aan?

1. Het vergaren van de logging

CloudTrail, VPC flow en andere logging wordt verzameld in een aparte omgeving.

2. Het bepalen van normaal gedrag

Nerium samen met de organisatie bepaalt wat normaal is en dus ook wat abnormaal is, waarop gemonitord kan worden.

3. Maken van (maatwerk) detecties

Nerium beschikt over meer dan 50 geavanceerde detecties voor AWS en creëert op basis van de vorige stap ook maatwerk detecties

4. 24/7 ingrijpen wanneer nodig

Bij een actieve aanval kunnen we de aanvaller stoppen voordat de data gestolen of versleuteld is. Dit doen we door vooraf gedocumenteerde incident response processen voor AWS.

De AWS omgeving van je organisatie beschermen tegen cyber aanvallen? Of wil je meer weten?

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form.

F.A.Q

Ik zoek een incident response guide voor mijn AWS omgeving. Kan Nerium hierbij helpen?

Ja, Nerium kan helpen bij het opstellen van een Incident Response Guide voor je AWS-omgeving. Dit omvat het identificeren van mogelijke incidenten, het opzetten van een response plan, en het bieden van training om effectief te reageren op noodgevallen om de impact te minimaliseren.

Kunnen jullie ons bijstaan als incident response partner voor eventuele cyber aanvallen in onze AWS-omgeving?

Ja, we kunnen jullie bijstaan als incident response partner voor eventuele cyberaanvallen in jullie AWS-omgeving. We zijn goed uitgerust om snel en effectief te reageren om de impact van dergelijke aanvallen te minimaliseren en jullie systemen weer operationeel te krijgen. Voor meer informatie zie onze Incident Response Retainer.

Naast AWS cloud security, hoe wordt de virtuele laag gemonitord waarop de virtuele machines draaien?

Dit doen we door middel van een endpoint detectie en respons tool, die in de meeste gevallen ook kwetsbaarheden en misconfiguraties kan herkennen. Hiervoor wordt Crowdstrike Falcon Cloud gebruikt.