Diseño e Implementacion de un Escaner de Malware Serverless

Abstract

[ES] En la actual era marcada por la digitalización y auge tecnológico de las últimas décadas, aparecen nuevos retos como el consecuente crecimiento de las ciberamenazas, haciendo de la ciberseguridad algo necesario para todo tipo de empresas y organizaciones. En este marco, el proyecto trata de abarcar el estudio, diseño e implementación de una estrategia para adoptar un escáner de malware en el contexto de solución cloud desplegada en plataforma cloud Amazon Web Services. El proyecto está enfocado a solventar la carencia de un escáner de malware nativo en el servicio Amazon S3 (Simple Storage Service). Dicha estrategia tendrá un enfoque de análisis dirigido por eventos, desencadenado por la subida de un fichero por parte del usuario a la aplicación. Este nuevo fichero pasará de forma temporal primeramente por un bucket de cuarentena de S3, antes de pasar al bucket real de producción, hasta que se verifique que es seguro mientras se lleva a cabo el análisis en busca de malware. En caso de que el análisis detecte que el fichero está infectado, se le enviaría una notificación al administrador o administradores con rol de ¿security champion¿ de la cuenta, con el propósito de alertar sobre el posible ataque el cual podría escalar a otras tácticas. Al detectar el malware en el fichero, este permanece en el bucket de cuarentena, donde podría ser analizado por el equipo de seguridad. Pasado un tiempo, dicho malware sería eliminado de forma automática. Finalmente, en caso de que el fichero sea seguro pasaría a un bucket de producción, donde podría ser utilizado por la aplicación. Para implementar dicha estrategia se va a seguir un enfoque donde la propuesta de valor sea un fácil despliegue y mantenimiento aprovechando la filosofía infraestructura como código, un coste reducido usando herramientas de código abierto y los propios servicios de Amazon Web Services, y una escalabilidad que permita su uso tanto en soluciones pequeñas como en soluciones más grandes.

[EN] In the current era marked by digitalization and the technological boom of the last decades, new challenges appear as the consequent growth of cyber threats, making cybersecurity something necessary for all types of companies and organizations. Within this framework, the project aims to cover the study, design and implementation of a strategy to adopt a malware scanner in the context of a cloud solution deployed on Amazon Web Services cloud platform. The project is focused on solving the lack of a native malware scanner in the Amazon S3 service (Simple Storage Service). This strategy will have an event-driven scanning approach, triggered by the upload of a file by the user to the application. This new file will temporarily pass first through an S3 quarantine bucket, before being moved to the actual production bucket, until it is verified as safe while scanning for malware.The scan detects that the file is infected, a notification would be sent to the administrator(s) in the "security champion" role for the account, for the purpose of alerting them to the potential attack which could escalate to other tactics. When malware is detected in the file, it remains in the quarantine bucket, where it could be analyzed by the security team. After some time, the malware would be automatically removed. Finally, if the file is safe, it would be moved to a production bucket, where it could be used by the application. To implement this strategy, we will follow an approach where the value proposition is easy deployment and maintenance taking advantage of the infrastructure-as-code philosophy, a reduced cost using open-source tools and Amazon Web Services own services, and scalability that allows its use both in small solutions and in larger solutions.