Angriffe auf und Absicherung von Amazon Web Services (AWS)

Diese Schulung beleuchtet:

• Unauthentisierte Informationssammlung, beispielsweise von eingesetzten AWS-Diensten und vorhandenen Benutzern – authentisierte Enumeration mit normalen Rechten

• Initiale Kompromittierung einer AWS-Identität durch beispielsweise Phishing, Anwendungsschwachstellen oder ungeschützte Zugangsdaten

• Privilegieneskalation von einer Identität mit wenig Rechten zu hohen Rechten

• Angriffspfade zwischen On-Premise-Umgebungen und der AWS-Cloud

• Möglichkeiten zur Absicherung der AWS-Umgebung, indem Sie Fehlkonfigurationen finden und beheben und Sicherheitsfunktionen aktivieren

• wie Sie Angriffe auf Ihre AWS-Umgebung erkennen können

Aus Zeit- und Effizienzgründen führen Sie in dieser Intensivschulung keine Hands-on-Übungen durch. Der Referent gibt Empfehlungen und stellt Unterlagen bereit, auf deren Grundlage Sie im Nachgang eigenständig üben können.

Zielgruppe

Diese Online-Schulung richtet sich an Administrierende, IT-Leiterinnen und -Leiter, IT-Sicherheitsverantwortliche sowie an Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Amazon Web Services (AWS) auseinandersetzen wollen.

Voraussetzungen

Für eine erfolgreiche Teilnahme an dieser Schulung sollten Sie über Grundkenntnisse in der Administration der Amazon Cloud verfügen – und Begriffe wie Abonnement, Identität sowie AWS-Dienste wie Lambda, Elastic Beanstalk oder CloudTrail grob einordnen können.

Inhalte

Indem Sie sich mit den Methoden der Angreifer vertraut machen und entsprechende Sicherheitsmaßnahmen implementieren, können Sie Ihre AWS-Dienste und Cloud-Identitäten besser absichern und potenzielle Angriffe frühzeitig erkennen und abwehren.

In diesem Workshop lernen Sie die wichtigsten Methoden wie unauthentifizierte Informationsbeschaffung, initiale Kompromittierung von AWS-Identitäten und Privilegieneskalation kennen und erfahren, wie wichtig es ist, die Angriffspfade zwischen lokalen Umgebungen und der AWS-Cloud zu kennen und zu verstehen.

Im nächsten Schritt begeben Sie sich auf die Suche nach Fehlkonfigurationen und lernen, wie Sie diese beheben und Sicherheitsfunktionen aktivieren können. Dazu gehören beispielsweise die Implementierung von Multi-Faktor-Authentifizierung, die Anwendung des Prinzips des geringsten Privilegs, die Durchsetzung von Richtlinien mit Service Control Policies und die Durchführung von Audits der eigenen AWS-Umgebung.

Schließlich lernen Sie, Angriffe auf Ihre AWS-Umgebung zu erkennen, CloudTrail, CloudWatch und GuardDuty zu konfigurieren und zu verwenden, um Sicherheitsprotokolle zu analysieren und auf Sicherheitsvorfälle zu reagieren.

Agenda

• 1. Grundlagen

  • Einführung in AWS

  • Vergleich zwischen verschiedenen Clouds

  • Modell der geteilten Verantwortung

  • Identität als neuer Perimeter und Sicherheitsprinzipale in AWS

  • Identity and Access Management (IAM), IAM Identity Center und der Security Token Service (STS)

  • Organisationen und Abonnements

  • Grundlagen von AWS-Diensten und -Architektur wie Virtual Private Cloud (VPC) Wichtige AWS-Infrastruktur- (IaaS) und Plattform-Dienste (PaaS) wie S3, EC2, EBS, Lambda, RDS und kombinierte Dienste wie Elastic Beanstalk

  • Zugriff auf AWS über das Portal, die Kommandozeile und die APIs selbst

  • Ziele und Denkweise von Angreifern bei Angriffen auf die Cloud und AWS

  • Verständnis der Angriffsvektoren in der Cloud

• 2. Wie Angreifer vorgehen: Angriffe durchführen

  • Unauthentisierte Informationssammlung und Benutzerenumeration

  • Initialen Zugriff erlangen durch Phishing, Passwortangriffe, ungesicherte Zugangsdaten, fehlkonfigurierte Dienste und Anwendungsschwachstellen

  • IAM-Zugangsdaten und andere Geheimnisse stehlen durch Abfrage von Metadaten-Endpunkten und aus Datenspeichern wie dem Secrets Manager, Key Management Service (KMS) oder Elastic Block Storage (EBS)

  • Typische Fehlkonfigurationen von AWS-Infrastruktur- und Plattform-Diensten: unter anderem S3, EC2, EFS, Lambda, Containerdienste und -registrierung, RDS, DynamoDB, SQS und SNS, Cognito

  • Authentisierte Informationssammlung mit einer AWS-Identität

  • Privilegieneskalation in AWS-Diensten und durch Überprivilegierung in IAM-Richtlinien

  • Laterale Bewegung zwischen Diensten, zwischen Kontroll- und Datenebene

  • Gefährdungen in CI/CD-Umgebungen und bei Infrastructure as Code (Iac)

  • Privilegierte Rollen in AWS

  • Übersprung zwischen AWS-Abonnements und von der Cloud nach On-Premise und von On-Premise in die Cloud

  • Umgehen von Sicherheitsmaßnahmen und Alarmmechanismen

  • Möglichkeiten zur Persistenz – wie Angreifer sich langfristig und unbemerkt festsetzen

  • Fallstudien und Beispiele bekannter Sicherheitsvorfälle

• 3. Angriffe verhindern

  • Initialen Zugriff erschweren

  • Good Practices bei IAM-Richtlinien

  • Identitäten schützen durch Mehr-Faktor-Authentisierung

  • Ebenenmodell und Least-Privilege-Prinzip für Cloud-Umgebungen

  • Richtlinien durchsetzen mit Service Control Policies (SCP)

  • Audits der eigenen AWS-Umgebung mit offensiven und defensiven Werkzeugen

  • Netzwerksicherheit (VPCs, Sicherheitsgruppen, Netzwerkkontrolllisten)

  • Grundlegende Architekturprinzipien und Good Practices

  • Überblick über die Sicherheitslandschaft in AWS

  • Einsatz von AWS-Sicherheitsdiensten wie Trusted Advisor, Access Advisor, Inspector und Security Hub, Config und Systems Manager

• 4. Angriffe erkennen

  • Konfigurieren und Nutzen von CloudTrail, CloudWatch und GuardDuty

  • Analyse von Logs für Sicherheitsüberwachung

  • Reaktion auf Sicherheitsvorfälle

• 5. Weiterführende Informationen

  • Hinweise zu empfehlenswerten Quellen für sowohl Angriffe auf als auch Verteidigung von Amazon Web Services (AWS)

Leistungen Ihres Workshoptickets

• Workshopunterlagen

• Teilnahmebescheinigung

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl (weniger als 50%) nicht möglich, werden die Teilnehmer spätestens 7 Tage vorher informiert.

Die Teilnehmerzahl ist auf max. 20 Personen begrenzt.