Cloud Rogues: descubra instâncias desprotegidas do Amazon EC2

A SentinelOne lançou há poucas semanas o Cloud Rogues, novo recurso da plataforma de proteção de carga de trabalho na nuvem em tempo real (CWPP), Singularity Cloud Workloud Security. O Cloud Rogues monitora em tempo real máquinas virtuais (VMs) em todas as contas da AWS, em todas as regiões em que está habilitado.

Para isso, ele automatiza um inventário completo de VMs desprotegidas e também identifica máquinas virtuais recém-criadas, fornecendo aos profissionais de segurança informações que auxiliam na implementação de ações, como o agente SentinelOne CWS em máquinas virtuais em execução ou para atualizar imagens das máquinas para que futuras VMs sejam protegidas no momento em que forem criadas.

Atualmente, o Cloud Rogues oferece suporte ao Amazon EC2 e serviços Amazon ECS e Amazon EKS, que são apoiados pelo Amazon EC2, mas o suporte para outros CSPs deve chegar em breve, já que o Singularity Cloud Workloud Security, da Sentinel One, fornece proteção em tempo real para cargas de trabalho executadas em servidores, máquinas virtuais, contêineres e Kubernetes, e para nuvens AWS, Azure, Google Cloud, privadas entre outros.

Entendendo o Cloud Rogues

O primeiro passo para utilizar o Cloud Rogues é conceder ao SentinelOne acesso somente leitura às contas na nuvem AWS. Esse processo pode ser feito em uma única conta ou para toda uma organização da AWS. Com isso, rapidamente, a plataforma identifica todas as VMs Linux e Windows nas contas especificadas da AWS que foram integradas pelo usuário. Veja um passo a passo para integrar uma conta AWS ao Cloud Rogues:

1. No console de gerenciamento do SentinelOne, acesse Configurações> Integrações> Contas da AWS> clique em adicionar conta

cloud rogues

2. Escolha a conta AWS e clique em avançar

3. Selecione CWS (Cloud Workload Security) e clique em avançar

4. No pop-up AWS Standalone Account Protection, clique no link que aparece ao lado de Criar a Pilha de Conexão para abrir o console do AWS CloudFormation. Clique em Criar uma pilha (consulte a documentação da AWS para obter mais detalhes), dê um nome para essa pilha e um nome de função exclusivos.

5. Assim que a pilha de conexão for concluída, copie o valor do Role ARN, retorne ao console do SentinelOne e cole o valor onde indicado no pop-up AWS Standalone Account Protection. Clique em Conectar à conta.

O SentinelOne e a conta da AWS estão conectados. A próximas etapas dizem respeito à implantação.

6. No pop-up AWS Standalone Account Protection, clique em SentinelOneDeploy Stack. Isso abre o console AWS. Selecione um CloudTrail para monitorar alterações e clique em enviar.

7. De volta ao console do SentinelOne, clique em Concluir.

O Cloud Rogues está ativo e descobrindo automaticamente instâncias (VMs) desprotegidas do Amazon EC2 na conta AWS cadastrada. Se a organização conta com dezenas ou centenas de contas da AWS, a integração por meio do AWS Organizations é a mais indicada.

É claro, para começar a usar e entender como o Cloud Rogues opera, começar com uma única conta AWS é ideal para testar as funcionalidades.

Descobrindo VMs desprotegidas

Todas as máquinas virtuais não protegidas por um agente SentinelOne são listadas no console de gerenciamento da plataforma em Sentinel> Cloud Rogues. Informações como a ID da conta na nuvem, ID da instância, tags, rede e sistema operacional são mostrados no inventário, que pode ser exportado em um arquivo CSV ou JSON. As VMs também são listadas assim que forem criadas.

Com essas informações, os profissionais de segurança podem tomar decisões de gerenciamento de riscos baseadas em dados, podendo optar pela implantação de um agente SentinelOne CWPP (Singularity Cloud Workload Security for Servers/VMs) diretamente na máquina virtual em execução. Ou, ainda, atualizar o Amazon Machine Imagem (AMI), a partir da instância do EC2 gerada, para incluir o agente CWPP para que todas as futuras instâncias do EC2 sejam protegidas desde o momento de sua criação.

Por outro lado, é possível que a equipe de segurança cibernética opte por não fazer nada e procure apenas documentar que uma VM na nuvem não conta com proteção de tempo de execução ou visibilidade de carga de trabalho forense.

Ao aproveitar o recurso Cloud Rogues, as equipes de segurança na nuvem passam a ter acesso às informações necessárias para direcionar as decisões relacionadas ao gerenciamento de riscos, já que o Cloud Rogues oferece visibilidade contínua das máquinas virtuais desprotegidas em todo o espaço da nuvem.

Disponibilidade para todos os usuários do SentinelOne

Qualquer cliente SentinelOne, mesmo os que não assinaram o Singularity Cloud Workload Security, podem utilizar o Cloud Rogues. O recurso não tem agente, usando APIs da AWS para identificar instâncias do Amazon EC2 na conta de interesse. Com isso, os usuários conseguem compreender a extensão da infraestrutura de suas contas AWS desprotegidas. Isso irá auxiliá-los a construir um caso de negócios para adquirir o Singularity Cloud Workload Security.

Além disso, a solução CWPP em tempo real da SentinelOne entrega muito mais que visibilidade otimizada, ela permite máxima integridade e disponibilidade da carga de trabalho, análise forense para uso durante a triagem e resposta a incidentes entre outros benefícios.

Qual o próximo passo?

Garantir a segurança na nuvem começa com a visualização da superfície de ataque. Ao identificar automaticamente instâncias desprotegidas no Amazon EC3, a equipe de segurança se torna mais capaz de gerenciar essa superfície de ataque, reduzir riscos e melhorar a tomada de decisões.

Os próximos passos podem incluir a implantação de uma agente CWPP na instância desprotegida identificada, atualizar a imagem da máquina para incluir um agente ou relatar uma exceção.

Com o Singularity Cloud Workload Security, as empresas garantem proteção em tempo real da carga de trabalho na nuvem e maior visibilidade forense de toda a telemetria da carga de trabalho.

Saiba como simplificar a detecção e reposta em tempo de execução de VMs na nuvem, contêineres e clusters Kubernetes, garantindo máxima visibilidade, segurança e agilidade. Entre em contato com os especialistas em segurança cibernética da Evolutia, solicite uma demonstração e saiba como a plataforma fortalece cada extremidade da sua rede com proteção autônoma em tempo real.

A transformação começa agora.

Política de Privacidade

Onde estamos

Rua Pais Leme, 215, sala 418, Pinheiros – São Paulo
CEP: 05424-150

© Evolutia – Todos os direitos reservados.

Desenvolvido pela Intelligenzia