Actualités du secteur

Virtualiser votre laboratoire de criminalistique dans le cloud Partie 4 : Sécuriser vos preuves dans AWS

Bonjour tout le monde ! Je suis Jamie McQuaid, consultant en criminalistique technique auprès de Magnet Forensics. Récemment, j’ai passé beaucoup de temps à imaginer – et à mettre en œuvre – des façons innovantes de mener des enquêtes dans le cloud et à utiliser la technologie cloud.

Dans la quatrième partie de cette série du blog consacré au cloud, je souhaite partager avec vous certains des moyens à prendre en considération pour sécuriser vos preuves dans AWS (dans la partie 5 de cette série, j’aborderai les mêmes techniques que celles que vous pouvez appliquer si vous utilisez Azure). Si vous hésitez à faire passer votre laboratoire sur le cloud parce que vous pensez qu’une fois que les données y sont, elles ne sont pas aussi sécurisées qu’ailleurs, je suis là pour apaiser certaines de ces craintes.

Mise en route

Que vous collectiez des preuves dans le cloud ou que vous utilisiez ce dernier pour stocker des preuves à analyser, certaines considérations et étapes devraient être prises en compte pour garantir que ces données sont sécurisées et uniquement accessibles aux personnes qui en ont besoin. En tant qu’examinateurs, nous suivons ce protocole pour les preuves que ce soit dans votre laboratoire physiquement, ailleurs dans votre organisation ou virtuellement dans le cloud.

Comment pouvons-nous sécuriser nos preuves afin d’évaluer et de confirmer leur intégrité, quelle que soit la façon dont elles sont stockées ? Il existe de nombreuses méthodes, mais la principale façon de sécuriser quelque chose est d’en limiter l’accès. Nous le faisons actuellement grâce à une gestion des preuves et des exigences de stockage appropriées et nous suivons cet accès avec une chaîne de traçabilité. À son niveau le plus élémentaire, une chaîne de traçabilité suit toutes les personnes ayant été en contact avec les preuves depuis le moment où celles-ci ont été saisies jusqu’au moment où elles sont présentées au tribunal (puis renvoyées à leur propriétaire ou détruites). Nous pouvons suivre les mêmes étapes si nos données sont stockées dans le cloud : nous en limitons l’accès et créons une piste de vérification de toutes les personnes qui y ont eu accès.

Limiter l’accès à l’aide des contrôles d’accès dans AWS

Tout comme vous le faites probablement dans votre laboratoire, vous devez limiter l’accès à vos preuves dans le cloud. Heureusement, la plupart des fournisseurs de services sur le cloud vous proposent des contrôles d’accès de sécurité très stricts à cet effet. Examinons comment nous pouvons sécuriser ces données dans différents états :

Preuves inactives – AWS S3

La façon la plus courante de stocker des données dans AWS passe par l’utilisation de Buckets ou de stockage d’objets S3. Il existe différentes façons de sécuriser et de contrôler l’accès à un Bucket S3 dans AWS, mais les deux façons principales impliquent les politiques IAM et les politiques de Bucket et celles-ci fonctionnent comme vous l’imaginez.

Les politiques IAM sont appliquées à un utilisateur, un groupe ou à un rôle tandis que les politiques de Bucket sont spécifiquement appliquées au Bucket de stockage lui-même. Les politiques IAM se présentent sous trois formes :

  1. Gérée par AWS – Créée et maintenue par AWS
  2. Gérée par le client – Créée de façon personnalisée et maintenue par vous
  3. En ligne – Appliquée spécifiquement aux individus et aux dossiers à usage unique

Il existe suffisamment de politiques gérées par AWS pour répondre à la plupart des demandes, mais si vous souhaitez adopter une approche un peu plus modulaire avec vos autorisations pour certaines circonstances, vous devrez créer une politique gérée par le client. Les politiques IAM dictent ce que l’utilisateur/le groupe/le rôle peut faire ou ce à quoi il a accès.

Les politiques de Bucket s’appliquent aux Buckets eux-mêmes et dictent qui ou quoi y a accès. Elles sont utiles si vous souhaitez limiter davantage l’accès à un sous-ensemble précis de Buckets au sein d’un compte. Si vous souhaitez limiter l’accès au niveau de l’objet ou du fichier au sein d’un Bucket (p. ex., Alice a accès au Bucket A, mais pas au fichier1, au fichier2 ou au fichier3), vous devrez utiliser les ACL de Bucket. Alors que les politiques de Bucket contrôlent qui peut accéder au Bucket, les ACL contrôlent l’accès au niveau de l’objet. Les ACL de Bucket ne sont plus très utilisés mais, à mon avis, il s’agit toujours de la meilleure façon de contrôler l’accès aux objets individuels au sein d’un Bucket.

Instances EC2 et volumes EBS

Pour traiter ou analyser quoi que ce soit, vous devrez probablement déplacer les données d’un stockage objet vers un élément doté d’une capacité de calcul. Parmi les contrôles d’accès et les mesures de sécurité mentionnés précédemment, nombreux sont ceux qui sont toujours appliqués, mais il existe d’autres éléments à prendre en compte lorsque vous analysez vos données.

  • Limiter l’accès – Utilisez les politiques/rôles IAM mentionnés précédemment pour limiter l’accès à vos instances, ainsi que les éléments auxquels l’instance a accès.
  • Matériel dédié ou partagé – AWS vous permet d’exécuter vos instances sur du matériel dédié, mais cela a un coût. L’infrastructure partagée est toujours séparée ou analysée avant d’être utilisée par un autre utilisateur, mais si vous souhaitez un niveau supplémentaire de séparation, le matériel dédié pourrait être l’option qui vous convient.
  • Nettoyage et arrêt – Si vous avez besoin de préserver ou d’enregistrer les données de votre dossier, vous pouvez enregistrer le dossier dans S3 ou enregistrer l’intégralité du volume EBS en tant qu’aperçu avant de le terminer.

Chiffrement

Le chiffrement est probablement la première chose à laquelle vous pensez lorsque vous souhaitez sécuriser vos données où que ce soit et AWS offre de nombreuses options pour chiffrer vos données inactives pour S3 et EBS. Par défaut, aucun de ces deux systèmes n’est chiffré, mais vous pouvez activer le chiffrement lors de la création d’un Bucket ou d’un volume EBS. Vous pouvez également appliquer le chiffrement au stockage après qu’il ait été créé (pour EBS, c’est un peu plus compliqué puisque vous devez prendre un aperçu d’un volume, le chiffrer et utiliser le nouvel aperçu, mais cela est plutôt facile à faire).

La principale question relative au chiffrement AWS est de savoir si vous faites confiance à Amazon pour gérer le chiffrement à votre place ou si vous souhaitez tout gérer vous-même. Il est évidemment beaucoup plus facile de laisser AWS gérer vos clés, mais vous pouvez certainement importer vos propres clés gérées par le client (CMK) par le biais du service de gestion des clés (KMS) AWS. Cet article ne portera pas sur les différentes options de CMK (il y en a beaucoup) qui méritent leur propre article, mais en voici un résumé : Le chiffrement géré par AWS est efficace, mais lorsque vous ferez face à des informations très sensibles, vous devrez probablement songer à utiliser CMK pour le stockage de vos preuves.

Personnellement, j’utiliserai les clés gérées par AWS pour tout sauf pour les preuves et les données de dossier, mais CMK pourrait être requis pour toute sorte de certification du laboratoire. En revanche, vous devrez faire pivoter manuellement vos clés et, si vous perdez les clés, AWS ne sera probablement pas en mesure de vous aider.

Suivre l’accès avec des journaux d’audit

Une fois que nous avons sécurisé nos données et en avons limité l’accès, comment pouvons-nous savoir que personne d’autre n’y aura accès ? Si nous avons configuré correctement les contrôles d’accès vus précédemment, seules les personnes autorisées y ont accès, mais comment le prouver ? Les fournisseurs de services sur le cloud proposent des fonctionnalités d’enregistrement très robustes qui dépassent toute forme de chaînes de traçabilité et qui peuvent compléter un suivi actuel de traçabilité pour s’assurer que l’accès a été limité.

CloudTrail dans AWS

Dans AWS, CloudTrail enregistre tous les accès à vos données par le biais de la console, CLI ou SDK. L’enregistrement, la sauvegarde et l’analyse de journaux CloudTrail peuvent être des compétences très utiles pour n’importe quelle activité sur le cloud, mais particulièrement importantes pour démontrer l’intégrité de vos preuves. Exemples de meilleures pratiques :

  • Centraliser les enregistrements – Copier ces journaux vers un autre compte auquel seules quelques personnes ont accès
  • Vérifications de l’intégrité – Lorsque vous copiez des journaux, vous pouvez activer les vérifications de l’intégrité pour ces derniers pour vous assurer qu’ils n’ont pas été falsifiés
  • Notifications automatiques – Configurer des notifications qui apparaissent à chaque fois que les journaux ou les preuves sont ouverts par un autre utilisateur ou utilisés d’une façon qui va à l’encontre de l’objectif que vous avez défini.

CloudTrail enregistre les éléments suivants :

  • Identité de l’appelant API
  • Heure de l’appel API
  • IP source
  • Paramètres de la requête
  • Réponse
  • Métadonnées supplémentaires

CloudTrail est un excellent outil pour surveiller l’accès à vos ressources AWS. Cependant, il existe un secteur qu’il ne couvre généralement pas : les connexions ou l’accès direct à vos instances EC2. Si vous avez laissé vos instances ouvertes au public par le SSH ou le RDP, vous devez vous assurer que vous avez aussi activé une forme d’enregistrement des accès pour ces dernières. En effet, cela serait considéré comme un accès extérieur et ne serait pas détecté par CloudTrail (la solution idéale serait d’éviter tout accès public direct à vos instances). Dans le cas présent, les journaux des événements pour Windows ou des artéfacts similaires peuvent aider à déterminer l’accès à une instance donnée si celle-ci a été accidentellement exposée.

Globalement, l’utilisation du cloud pour améliorer nos capacités d’enquête est une victoire importante pour les équipes qui n’ont peut-être pas le budget nécessaire pour un laboratoire complet ou avec une puissance de calcul et de stockage limitée. Même si vous avez un laboratoire correct, l’amélioration des capacités de votre laboratoire offrira certainement de nombreux avantages. Si vous prenez le temps de comprendre comment l’utiliser et de sécuriser vos preuves comme vous le feriez dans votre laboratoire physique, cela peut représenter un ajout très utile à votre boîte à outils. Sécuriser les données commence par les contrôles d’accès et la vérification nous permet de garantir que la confidentialité et l’intégrité sont préservées tout au long du processus d’enquête.

Consultant en criminalistique technique auprès de Magnet Forensics, Jamie McQuaid a plus de dix ans d’expérience dans le secteur des enquêtes d’entreprise. Il aide à conseiller Magnet et ses clients sur les meilleures pratiques en matière de sécurité du cloud et trouve des façons innovantes de mener des enquêtes dans le cloud et d’utiliser la technologie cloud.

Suivez Jamie McQuaid sur Twitter (@reccetech) pour découvrir ses derniers projets et le contacter !

Lecture complémentaire

Clause de non-responsabilité relative aux conseils techniques

Chez Magnet Forensics, nous collaborons avec la communauté DFIR par le biais de nos blogs et livres blancs. Cependant, une bonne gestion des problèmes technologiques implique souvent différentes variables qui requièrent une évaluation indépendante et des stratégies conçues pour chaque cas particulier. Puisque Magnet Forensics ne peut avoir une vision complète de toutes les variables impliquées dans une situation donnée, ce blog/livre blanc est fourni à titre informatif seulement et ne devrait pas être consulté comme un conseil professionnel recommandant certaines techniques ou technologies propres à votre situation. Nous rejetons toute responsabilité pour toute omission, erreur ou inexactitude contenue dans ce blog/livre blanc ou pour toute mesure prise en conséquence.

Holo, transparent letter M

Abonnez-vous dès aujourd’hui pour recevoir directement les actualités de Magnet Forensics concernant les dernières mises à jour de produits, les tendances du secteur et les nouveautés de l’entreprise.

Commencez dès aujourd’hui à moderniser vos enquêtes numériques.

Haut