Scout2 介紹

1. Scout2 是一款用于 AWS 環(huán)境的安全審計工具。有了 Scout2旁瘫，不必人工瀏覽所有網(wǎng)頁陵珍，就可以獲取到 AWS 環(huán)境的配置數(shù)據(jù)；它甚至還能生成一份攻擊面報告型豁。 Scout2 帶有預配置的規(guī)則僵蛛，并且很容易擴展以支持更多的服務和測試用例。因為 Scout2 僅通過 AWS 的 API 去獲取配置信息和發(fā)現(xiàn)安全隱患迎变，所以無需提交 AWS 安全漏洞和滲透測試申請表充尉。
2. 有時候我們不經(jīng)意間會將我們的某些端口或服務暴露給全世界，這樣做的危害是什么呢衣形？
   1.暴露的數(shù)據(jù)：簡單地讓 S3 桶對世界開放可能對客戶造成極大的破壞驼侠，因為他們的數(shù)據(jù)暴露在外并對公司的聲譽造成不可挽回的損害。
   2.暴露服務：安全組上的開放端口可能會使 MySQL 或 MongoDB 處于打開狀態(tài)并且數(shù)據(jù)處于打開狀態(tài)谆吴。
   3.帳戶泄露：AWS root或 IAM 用戶的泄露憑據(jù)可能導致帳戶完全失去控制權或大額帳單倒源。
3. Scout2 是 用Python編寫的，運行版本為 2.7句狼、3.3到3.6笋熬，需要AWS python庫boto3。 Scout2 根據(jù)GPL v2.0獲得許可腻菇，可免費獲得胳螟，并且擁有一組活躍的貢獻者。目前筹吐，Scout2 會收集有關以下關鍵AWS服務的信息糖耸，并在本地生成的HTML報告中顯示問題，并使用儀表板深入了解詳細信息：

• EC2
• IAM
• RDS
• S3
• CloudTrail
• CloudFormation
• CloudWatch
• Route53
• SES
• SQS
• VPC
• SNS
• Redshift
• Elasticache
• EMR

Scout2 安裝

安裝很簡單丘薛，通過pip安裝：

$ pip install awsscout2

或者通過git克隆源碼：

$ git clone https://github.com/nccgroup/Scout2
$ cd Scout2
$ pip install -r requirements.txt
$ python setup.py install

以通過鍵入 Scout2 -help 來查看幫助

image.png

安裝 Scout2 之后嘉竟，需要確保擁有一些AWS憑證（密鑰/令牌），這些憑據(jù)允許對 Scout2 將要檢查的 AWS 服務進行只讀訪問。 需要將此訪問策略授予將運行 Scout2 的用戶或角色周拐。 NCCGroup 提供了一個很好的默認策略铡俐，稱為 Scout2-Default IAM 策略。 此策略提供必要的默認訪問權限妥粟，可以將其剪切并粘貼到您的 AWS 賬戶中的策略中审丘。 另一種選擇是將名為 ReadOnlyAccess 的默認 AWS 托管策略分配給運行Scout2 的用戶或角色。 此策略提供了比運行 Scout2 所需的更多只讀訪問權限勾给，但它不要求為Scout2創(chuàng)建新策略滩报。

AWS 創(chuàng)建必要權限的用戶

1. 在賬號下創(chuàng)建一個名為 auditor 的用戶，并將訪問類型勾選為 編程訪問
   
   image.png
2. 為這個用戶創(chuàng)建一個 group播急，并賦予 SecurityAudit 的策略
   
   image.png

3. review 之后創(chuàng)建脓钾，并將 csv 文件下載下來

   
   
   image.png

使用 Scout2

1. 可以直接使用 csv 進行掃描

 Scout2 --csv-credentials credentials-2.csv

2. 也可以使用 option 選項：

• profile：使用特定AWS配置文件的憑據(jù)
• regions：評估特定區(qū)域而不是所有區(qū)域的默認區(qū)域
• mfa-serial：允許使用需要MFA的憑據(jù)
• no-browser：完成運行后跳過打開瀏覽器
• report-dir：生成Scout2 HTML報告的路徑
  例如：
  scout2 ––profile mytestprofile ––regions us-west-2 ––no-browser
  這將使用存儲在 “mytestprofile” 中的 AWS 憑據(jù)運行 Scout2，并僅針對 “us-west-2” 中的資源運行它桩警。 完成后可训，它不會在瀏覽器中打開報告。

3. 運行完之后如果沒有指定不打開包括可能會出現(xiàn)下面的圖示

   
   
   image.png

4. 可以看到生成的報告文件如下圖所示：

   
   
   image.png

5. 在瀏覽器中輸入 report.html 的文件路徑就可以很方便的查看捶枢。下圖顯示的是 Scout2 的儀表板握截，它總結了 Scout2 對其正在評估的服務的檢測情況。
   

   image.png
   
   儀表板根據(jù)評估狀況顯示不同的顏色烂叔，可以快速查看問題谨胞。 該報告采用顏色編碼，綠色=good蒜鸡，黃色=warning胯努，紅色=bad。 它顯示了為服務評估的資源數(shù)量逢防，應用的規(guī)則以及結果和檢查的完成情況叶沛。
   然后針對不同的種類，我們就可以再次點進去去查看具體的情況忘朝。

   Scout2 的輸出易于查看和遍歷灰署，因為每個頁面都使用顏色來突出顯示問題，而大多數(shù)頁面都是可以深入查看的儀表板辜伟。 在分析帳戶時氓侧，我們可以深入了解任何關鍵或警告問題脊另，可以提前了解問題并開始降低相關風險导狡。