Prowler: AWS CIS Benchmark Tool es un repositorio de herramienta de evaluación de mejores prácticas de seguridad, auditoría, fortalecimiento y análisis forense de AWS y sigue los lineamientos del CIS Amazon Web Services Foundations Benchmark y verificaciones adicionales.

Zeus es una poderosa herramienta para las mejores prácticas de endurecimiento AWS(Amazon Web Services), EC2, S3, CloudTrail, CloudWatch y KMS. Comprueba la configuración de seguridad de acuerdo con los perfiles que el usuario crea y los cambia a la configuración recomendada según el origen de CIS AWS Benchmark a petición del usuario. Zeus tiene cuatro áreas de influencia: Gestión de identidad y acceso, Logging, Redes y Supervisión.







Gestión de identidad y acceso:

• Permite evitar el uso de la cuenta "root".
• Permite habilitar que la autenticación de múltiples factores (MFA) esté habilitada para todos los usuarios de IAM que tengan una contraseña de consola.
• Comprueba que las credenciales no utilizadas durante 90 días o más estén deshabilitadas.
• Comprueba que las claves de acceso se roten cada 90 días o menos.
• Comprueba que la política de contraseñas de IAM requiera una longitud mínima de 14 o superior y este formado por: una letra mayúscula, una letra minúscula, un símbolo y un numero.
• Comprueba que no exista ninguna clave de acceso a la cuenta root.
• Comprueba que MFA esté habilitado para la cuenta "root".
• Comprueba que las preguntas de seguridad estén registradas en la cuenta de AWS.
• Comprueba que las políticas de IAM estén asociadas solo a grupos o roles.
• Asegurar que la información de contacto de seguridad esté registrada.
• Comprueba que los roles de instancias de IAM se utilicen para acceder a los recursos de AWS a partir de instancias.

Logging.

• Comprueba que CloudTrail esté habilitado en todas las regiones.
• Comprueba que la validación del archivo de registro de CloudTrail esté habilitado.
• Comprueba que  el iniciar sesión en CloudTrail no sea públicamente accesible.
• Comprueba que CloudTrail esté integrado con los registros de CloudWatch.
• Comprueba que la configuración de AWS esté habilitada en todas las regiones.
• Comprueba que el registro de acceso a S3 esté habilitado en el segmento CloudTrail S3.
• Comprueba que los registros de CloudTrail estén encriptados usando KMS CMK.
• Asegurar que la rotación para los CMK creados por el cliente esté habilitada.

Redes.

• Comprueba que ningún grupo de seguridad permita el ingreso de la 0.0.0.0/0 al puerto 22.
• Comprueba que ningún grupo de seguridad permita el ingreso de 0.0.0.0/0 al puerto 3389
• Comprueba que el registro de flujo de VPC (Amazon Virtual Private Cloud) esté habilitado en todas las VPC.
• Comprueba que el grupo de seguridad predeterminado de cada VPC restrinja todo el tráfico.

Supervisión.

• Comprueba que exista un filtro métrico de registro y una alarma para llamadas API no autorizadas.
• Comprueba que exista un filtro de métrica de registro y alarma para Management Consolesign-in sin MFA.
• Comprueba que exista un filtro métrico de registro y una alarma para el uso de la cuenta "root".
• Comprueba que exista un filtro métrico de registro y una alarma para los cambios de políticas de IAM.
• Comprueba que exista un filtro métrico de registro y una alarma para los cambios de configuración de CloudTrail.
• Comprueba que exista un filtro de métrica de registro y una alarma para las fallas de autenticación de AWS Management Console.
• Comprueba que exista un filtro de métrica de registro y alarma para deshabilitar o eliminar programados los CMK creados por el cliente.
• Comprueba que exista un filtro métrico de registro y una alarma para los cambios en la política de depósito S3.
• Comprueba que exista un filtro métrico de registro y una alarma para los cambios de configuración de configuración de AWS.
• Comprueba que exista un filtro de métrica de registro y una alarma para los cambios del grupo de seguridad.
• Comprueba que exista un filtro métrico de registro y una alarma para los cambios en las listas de control de NetworkAccess (NACL).
• Comprueba que exista un filtro de métrica de registro y una alarma para los cambios en las puertas de enlace de la red.
• Comprueba que exista un filtro métrico de registro y una alarma para los cambios en la tabla de enrutamiento.
• Comprueba que exista un filtro métrico de registro y una alarma para los cambios de VPC.

Prowler: AWS CIS Benchmark Tool

Defensivas (Fortificación, Auditoría de seguridad, Inventario)

• Scout2: https://github.com/nccgroup/Scout2 - Herramienta de auditoría de seguridad para entornos AWS (Python)
• Prowler: https://github.com/toniblyx/prowler - CIS benchmarks y comprobaciones adicionales para las mejores prácticas de seguridad en AWS (Shell Script)
• Scans: https://github.com/cloudsploit/scans - Escáner de seguridad de AWS (NodeJS)
• CloudMapper: https://github.com/duo-labs/cloudmapper - ayuda a analizar los entornos AWS (Python)
• CloudTracker: https://github.com/duo-labs/cloudtracker - ayuda a encontrar usuarios y roles IAM con demasiados privilegios comparando los logs de CloudTrail con las políticas IAM (Python)
• AWS Security Benchmarks: https://github.com/awslabs/aws-security-benchmark - scripts y plantillas para el framework de AWS CIS Foundation (Python)
• AWS Public IPs: https://github.com/arkadiyt/aws_public_ips - Obtiene todas las direcciones IP públicas relacionadas con una cuenta AWS. Funciona con IPv4/IPv6, redes Classic/VPC y todos los servicios AWS (Ruby)
• PMapper: https://github.com/nccgroup/PMapper - Evaluación automática y avanzada de AWS IAM (Python)
• AWS-Inventory: https://github.com/nccgroup/aws-inventory - Hace un inventario de recursos en todas las regiones (Python)
• Resource Counter: https://github.com/disruptops/resource-counter - Contabilidad el número de recursos por categoría.
• ICE: https://github.com/Teevity/ice - Ice provides insights from a usage and cost perspective, with high detail dashboards.
• SkyArk: https://github.com/cyberark/SkyArk - SkyArk provides advanced discovery and security assessment for the most privileged entities in the tested AWS.
•  
• Zeus: https://github.com/DenizParlak/Zeus - Herramienta para las mejores prácticas de endurecimiento AWS(Amazon Web Services), EC2, S3, CloudTrail, CloudWatch y KMS.

Ofensivas

• weirdALL: https://github.com/carnal0wnage/weirdAAL - Librería de ataque AWS
• Pacu: https://github.com/RhinoSecurityLabs/pacu - toolkit de penetration testing para AWS
• Cred Scanner: https://github.com/disruptops/cred_scanner
• AWS PWN: https://github.com/dagrz/aws_pwn
• Cloudfrunt: https://github.com/MindPointGroup/cloudfrunt
• Cloudjack: https://github.com/prevade/cloudjack
• Nimbostratus: https://github.com/andresriancho/nimbostratus

Auditoría de seguridad contínua

• Security Monkey: https://github.com/Netflix/security_monkey
• Krampus (as Security Monkey complement) https://github.com/sendgrid/krampus
• Cloud Inquisitor: https://github.com/RiotGames/cloud-inquisitor
• CloudCustodian: https://github.com/capitalone/cloud-custodian
• Disable keys after X days: https://github.com/te-papa/aws-key-disabler
• Repokid Least Privilege: https://github.com/Netflix/repokid
• Wazuh CloudTrail module: https://documentation.wazuh.com/current/amazon/index.html
• Hammer: https://github.com/dowjones/hammer
• Streamalert: https://github.com/airbnb/streamalert

DFIR

• AWS IR: https://github.com/ThreatResponse/aws_ir - Herramienta Forense y de Respuesta ante Incidentes específica de AWS
• Margaritashotgun: https://github.com/ThreatResponse/margaritashotgun - herramienta de adquisión de memoria para Linux
• LiMEaide: https://kd8bny.github.io/LiMEaide/ - herramienta de adquisión de memoria para Linux
• Diffy: https://github.com/Netflix-Skunkworks/diffy - Herramienta de triage utilizada durante incidentes de seguridad centrados en la nube

Seguridad en el desarrollo

• CFN NAG: https://github.com/stelligent/cfn_nag - CloudFormation security test (Ruby)
• Git-secrets: https://github.com/awslabs/git-secrets
• Repositorio de Reglas de Ejemplo para AWS: https://github.com/awslabs/aws-config-rules

Auditoría de S3 Buckets

• https://github.com/Parasimpaticki/sandcastle
• https://github.com/smiegles/mass3
• https://github.com/koenrh/s3enum
• https://github.com/tomdev/teh_s3_bucketeers/
• https://github.com/eth0izzle/bucket-stream
• https://github.com/gwen001/s3-buckets-finder
• https://github.com/aaparmeggiani/s3find
• https://github.com/bbb31/slurp
• https://github.com/random-robbie/slurp
• https://github.com/kromtech/s3-inspector
• https://github.com/petermbenjamin/s3-fuzzer
• https://github.com/jordanpotti/AWSBucketDump
• https://github.com/bear/s3scan
• https://github.com/sa7mon/S3Scanner
• https://github.com/magisterquis/s3finder
• https://github.com/abhn/S3Scan
• https://breachinsider.com/honey-buckets/
• https://www.buckhacker.com
• https://buckets.grayhatwarfare.com/

AWS Security Hub

• https://aws.amazon.com/es/about-aws/whats-new/2018/11/introducing-aws-security-hub/

Fuentes:
https://www.gurudelainformatica.es/2018/05/auditoria-de-seguridad-y-hardening-de.html
https://blog.segu-info.com.ar/2018/07/recopilatorio-de-herramientas-para.html
https://blog.segu-info.com.ar/2018/11/prowler-lista-de-herramientas-de.html