Incidentes: Análisis y respuesta de Lambda

incidentes

Análisis forense y respuesta a incidentes de AWS Lambda

Si cree que su función AWS Lambda ha sido pirateada, lo primero que debe hacer es investigar el origen de los incidentes. Hay algunas formas diferentes de hacer esto, pero lo más importante es actuar rápidamente para minimizar el daño.

Puede descargar archivos PDF sobre cómo responder a un incidente en AWS, ECS y Kubernetes.


1. Verifique los registros de actividad de la función AWS Lambda.

AWS Lambda mantiene un registro de toda la actividad en la plataforma, por lo que este es un buen lugar para comenzar su investigación. Busque cualquier actividad inusual o sospechosa, como funciones de Lambda que se invocan con más frecuencia de lo habitual o desde ubicaciones inusuales.

2. Verifique el código de la función en busca de signos de manipulación.

Si cree que el código de la función puede haber sido manipulado, eche un vistazo al código en sí para ver si hay signos de cambios. Busque cualquier cosa que no se vea bien, como un código nuevo que no reconozca o cambios en el código existente que no tengan sentido.

3. Compruebe si hay signos de acceso no autorizado a los recursos de la función.

Si la función utiliza cualquier otro recurso de AWS (como un depósito de Amazon S3), busque signos de acceso no autorizado. Busque cualquier cosa que no se vea bien, como archivos nuevos que no reconozca o cambios en archivos existentes que no tengan sentido.

4. Restaure la función desde una buena copia de seguridad conocida.

Si tiene una copia de seguridad del código y la configuración de la función, puede restaurarla a su estado anterior. Esto sobrescribirá cualquier cambio realizado por el hacker, así que asegúrese de tener una copia de seguridad antes de continuar.

5. Deshabilite la función hasta que se complete la investigación.

Si no está seguro de lo que está pasando, es mejor desactivar la función hasta que pueda resolverlo. Esto evitará que el hacker cause más daños y le dará tiempo para investigar el problema sin tener que preocuparse por el mal uso de la función.

Si cree que su función AWS Lambda ha sido pirateada, no entre en pánico. Respira hondo y sigue los pasos anteriores para comenzar tu investigación. Con un poco de suerte, podrá descubrir qué sucedió y solucionar el problema rápidamente.


¿Qué fuentes de datos están disponibles para investigar incidentes de seguridad en AWS Lambda?

Para investigar incidentes de seguridad en AWS Lambda, se pueden utilizar algunas fuentes de datos diferentes. La fuente de datos más importante son los registros de AWS CloudTrail. Estos registros contienen información sobre todas las llamadas a la API que se han realizado en su cuenta de AWS, incluidas las llamadas realizadas a Lambda.

Además, AWS Lambda mantiene sus propios registros de todas las invocaciones de funciones. Estos registros pueden ser útiles para investigar posibles problemas de seguridad, ya que pueden proporcionar información sobre qué funciones se invocaron y cuándo. Finalmente, Amazon S3 también mantiene registros de todos los accesos a objetos almacenados en depósitos.

Estos registros pueden ser útiles para investigar posibles filtraciones de datos, ya que pueden proporcionar información sobre quién accedió a qué objetos y cuándo.

Hay varias fuentes de datos que puede utilizar para investigar incidentes de seguridad en AWS Lambda:

  • Archivos del contenedor en el que se ejecuta la función Lambda (deberá obtener esto a través de un Agente empaquetado en su función Lambda, llamado biblioteca)
  • Registros de vigilancia en la nube
  • Diferentes versiones de la propia función Lambda
  • Variables de entorno

Para obtener más detalles sobre la seguridad de AWS Lambda en general, consulte esta charla de los propios AWS:


Si le interesa, puede echar un vistazo a algunos de los otros artículos que he escrito recientemente sobre Laravel:

Recent Post