Acelere investigações de segurança com o Kiro CLI

O problema real das investigações manuais

Quando um evento de segurança ocorre em um ambiente Amazon Web Services (AWS), a velocidade de resposta é determinante. O problema é que as equipes de segurança frequentemente perdem tempo valioso em processos manuais: precisam lembrar a sintaxe exata da Interface de Linha de Comando da AWS (AWS CLI), correlacionar manualmente alertas do Amazon GuardDuty com logs do AWS CloudTrail, documentar cada passo para fins de conformidade e ainda tomar decisões críticas enquanto a ameaça está ativa.

Para analistas sem domínio profundo de AWS, esse cenário é ainda mais desafiador e cria gargalos sérios nas operações de segurança. É exatamente esse problema que o Kiro busca resolver.

O que é o Kiro CLI

O Kiro é um assistente de codificação com inteligência artificial (IA) que ajuda usuários a escrever, entender e otimizar código por meio de integrações com Ambientes de Desenvolvimento Integrado (IDE) e linha de comando. Além das tarefas tradicionais de desenvolvimento, ele oferece expertise específica em AWS: orientação de arquitetura, boas práticas, recomendações de otimização de custos e navegação na documentação de serviços.

O Kiro CLI leva todas essas capacidades para o terminal, tornando-o uma ferramenta natural para fluxos de trabalho de operações de segurança. Com seus recursos integrados, ele pode auxiliar na investigação de uma descoberta do GuardDuty — propondo os comandos AWS CLI adequados, explicando o que cada um faz e aguardando a aprovação do analista antes de executar.

O framework de referência: AWS Security Incident Response Guide

A AWS publicou um post demonstrando como usar o Kiro CLI para conduzir investigações de segurança seguindo o Guia de Resposta a Incidentes de Segurança da AWS. Esse framework organiza a resposta em cinco fases:

• Preparação: ter as ferramentas e processos certos antes de um incidente ocorrer
• Detecção e análise: identificar eventos de segurança e entender seu escopo
• Contenção: limitar o impacto e evitar danos adicionais
• Erradicação e recuperação: remover ameaças e restaurar operações normais
• Atividade pós-incidente: aprender com o ocorrido para melhorar respostas futuras

Pré-requisitos para começar

Para usar o Kiro CLI em investigações de segurança, é necessário:

• Instalar o Kiro CLI (disponível para macOS, Linux e Windows)
• Ter acesso ao Kiro: via conta gratuita AWS Builder ID ou pela assinatura Kiro Pro da organização
• Ter a AWS CLI configurada conforme os métodos descritos em Configurando as definições da AWS CLI

O Kiro CLI utiliza o perfil padrão da AWS CLI (ou o perfil especificado pela variável de ambiente AWS_PROFILE) para interagir com os recursos AWS, sempre solicitando aprovação antes de executar qualquer ação.

A investigação na prática: do alerta à resolução

Descoberta: uma descoberta de alta severidade no GuardDuty

A investigação de exemplo começa com uma descoberta do GuardDuty que exige atenção imediata. Em vez de construir manualmente os comandos AWS CLI, o analista usa a interface em linguagem natural do Kiro CLI para solicitar a análise da descoberta, pedir que cada passo seja proposto com explicação e aguardar confirmação antes de prosseguir, além de documentar tudo em um arquivo findings.md estruturado para audiências técnicas e executivas.

Esse único prompt já estabelece todo o framework da investigação. Ao solicitar aprovação passo a passo, o analista mantém o controle enquanto se beneficia da orientação da IA. A exigência de documentação garante que uma trilha de auditoria seja construída em tempo real, para fins de conformidade.

Após a execução dos comandos aprovados, o Kiro CLI revelou informações críticas sobre a descoberta de exemplo:

• Tipo: CryptoCurrency:EC2/BitcoinTool.B!DNS
• Severidade: ALTA (8.0)
• Instância: i-05447e6dacd0a7e7e (m5.xlarge)
• Ameaça: 617 consultas DNS para pool.minergate.com
• Linha do tempo: atividade de mineração iniciada 9 minutos após o lançamento da instância

O fato de a atividade maliciosa ter começado apenas 9 minutos após o lançamento da instância sugere uma ação automatizada, não manual — um padrão importante que o Kiro CLI destaca automaticamente para ajudar as equipes a entenderem o comportamento da ameaça.

Análise de recursos e escopo

O Kiro CLI propôs investigar a configuração da instância Amazon Elastic Compute Cloud (Amazon EC2), os grupos de segurança e as permissões do AWS Identity and Access Management (IAM). Essa sugestão proativa demonstra que a ferramenta entende o fluxo de uma investigação de segurança — ela sabe que avaliar o impacto potencial exige examinar não apenas o que o invasor fez, mas o que ele poderia fazer a seguir.

Os resultados da análise revelaram:

• Configuração da instância: AMI Amazon Linux 2023, Serviço de Metadados de Instância versão 2 (IMDSv2) obrigatório (boa postura de segurança), IP público com acesso irrestrito de saída e perfil de instância IAM anexado
• Grupo de segurança: sem regras de entrada, mas com acesso de saída irrestrito para 0.0.0.0/0, habilitando o tráfego de mineração
• Permissões IAM — descoberta crítica: a política AdministratorAccess estava anexada ao perfil de instância, concedendo acesso total à conta AWS a partir de uma instância comprometida — risco real de comprometimento completo da conta

Embora a atividade observada fosse mineração de criptomoeda, a política AdministratorAccess anexada significa que o invasor poderia ter exfiltrado dados, criado backdoors ou comprometido outros recursos. Isso reforça por que políticas IAM com privilégio mínimo são fundamentais.

O Kiro CLI também verificou atividades adicionais inesperadas e descobriu sete descobertas de segurança nessa única instância, indicando um ataque de múltiplos vetores.

Ações de contenção

O Kiro CLI propôs um plano de remediação sistemático alinhado à estratégia de contenção do Guia de Resposta a Incidentes de Segurança da AWS:

Isolamento da instância: o Kiro CLI gerou comandos para criar um grupo de segurança de isolamento sem regras de entrada ou saída e aplicá-lo à instância comprometida. Essa etapa interrompe novas conexões sem destruir evidências. No entanto, é importante entender que grupos de segurança são stateful e usam rastreamento de conexão. Quando as regras são alteradas, conexões existentes não são interrompidas imediatamente — elas continuam até expirar. Para interrupção imediata de todo o tráfego, incluindo conexões ativas, recomenda-se também implementar Listas de Controle de Acesso de Rede (NACLs), que são stateless e podem quebrar conexões existentes imediatamente quando as regras são aplicadas.

Esse cenário ilustra um princípio importante: embora ferramentas com IA como o Kiro CLI acelerem a resposta, é essencial manter um humano no ciclo que entenda essas nuances e valide as recomendações.

Revogação de privilégios: o Kiro CLI gerou comandos para anexar uma política de negação total à função IAM comprometida. O assistente explicou que, mesmo com a política AdministratorAccess ainda anexada, a política de negação tem precedência pela lógica de avaliação do IAM — negações explícitas sempre substituem permissões. Isso revogou imediatamente todos os acessos enquanto preservou a configuração original para análise forense.

Preservação de evidências

Antes de fazer alterações destrutivas, o Kiro CLI recomendou criar um snapshot forense do volume Amazon Elastic Block Store (Amazon EBS) da instância comprometida. Esse passo costuma ser negligenciado quando as equipes estão sob pressão para conter uma ameaça ativa, mas é crítico para análise pós-incidente e possíveis processos legais.

No exemplo, a decisão foi manter a instância em execução em seu estado isolado, em vez de pará-la imediatamente. Parar uma instância EC2 resulta na perda da memória volátil, que pode conter evidências forenses como processos em execução, conexões de rede, malware carregado e chaves de criptografia.

A captura de memória volátil requer ferramentas especializadas. Para instâncias Linux, o LiME (Extrator de Memória Linux) pode capturar a memória física, enquanto instâncias Windows podem usar ferramentas como o Winpmem. Os dumps de memória podem ser analisados usando o Volatility, um framework open source de forense de memória. A AWS disponibiliza orientações sobre automatização de builds de módulos de kernel forense para instâncias Amazon Linux EC2 para agilizar esse processo.

Análise do CloudTrail

Para entender o escopo completo do comprometimento, o Kiro CLI foi utilizado para analisar os logs do AWS CloudTrail. O assistente identificou as trilhas disponíveis e propôs consultas para encontrar chamadas de API feitas a partir da instância comprometida usando suas credenciais temporárias.

A análise do CloudTrail frequentemente é a parte mais demorada de uma investigação de incidente. O Kiro CLI automatiza esse processo, identificando imediatamente as fontes de log relevantes e propondo as consultas adequadas.

No exemplo, nenhuma chamada de API inesperada foi encontrada originada das credenciais da instância — nenhum usuário IAM criado, nenhum bucket S3 acessado, nenhum segredo roubado. O evento pareceu limitado à atividade de mineração de criptomoeda via consultas DNS, sem evidências de exfiltração de dados ou movimentação lateral. Isso demonstra o valor da análise completa do CloudTrail: mesmo quando os achados iniciais sugerem uma ameaça contida, confirmar a ausência de comprometimento mais amplo é essencial antes de encerrar uma investigação.

Construindo defesas proativas

Com a ameaça imediata contida, o Kiro CLI foi utilizado para fortalecer a fase de preparação, estabelecendo alertas automatizados para incidentes futuros. Usando linguagem natural, foi solicitada a criação de um sistema de notificação para descobertas de alta severidade ou superior.

O Kiro CLI entendeu o requisito e propôs uma solução completa envolvendo o Amazon Simple Notification Service (Amazon SNS) e o Amazon EventBridge:

• Criar um tópico SNS para alertas do GuardDuty
• Inscrever um endereço de e-mail no tópico
• Criar uma regra no EventBridge para disparar em descobertas de alta severidade (severidade maior ou igual a 7.0)
• Configurar o tópico SNS como destino do EventBridge
• Conceder permissões ao EventBridge para publicar no tópico SNS

Quando comandos falham por problemas de permissão, referências incorretas de Nome de Recurso da Amazon (ARN) ou políticas JSON malformadas, o Kiro CLI detecta automaticamente as falhas e propõe comandos corrigidos. Esse tratamento inteligente de erros permite que as equipes de segurança implementem automações com confiança, sem precisar de troubleshooting manual.

Criando workflows de investigação reutilizáveis com steering files

Com a ameaça contida e as defesas proativas estabelecidas, o Kiro CLI foi usado para criar um arquivo de direcionamento (steering file) reutilizável que codifica o workflow de investigação para incidentes futuros.

Steering files são arquivos Markdown armazenados em .kiro/steering/ que funcionam como memória persistente para o Kiro CLI, ajudando as equipes de segurança a capturar conhecimento institucional e padronizar procedimentos de resposta. Para compartilhá-los com toda a equipe, basta adicioná-los a um repositório Git ou publicá-los em sistemas de documentação como o Confluence.

O Kiro CLI gerou um steering file detalhado em .kiro/steering/guardduty-incident-response.md contendo:

• Fases de investigação alinhadas ao Guia de Resposta a Incidentes de Segurança da AWS
• Padrões de comandos AWS CLI para GuardDuty, Amazon EC2, IAM e CloudTrail
• Requisitos de documentação e pontos de aprovação
• Procedimentos de contenção, erradicação e preservação de evidências

Abaixo, o exemplo de steering file gerado pelo Kiro CLI:

---
inclusion: manual
---
# GuardDuty Incident Response Workflow

This steering file guides systematic investigation of GuardDuty findings following AWS Security Incident Response Guide best practices.

## Investigation Phases

### Detection and Analysis
1. Retrieve GuardDuty finding details using finding ID
2. Extract finding type, severity, affected resources, and threat indicators
3. Document timeline of events (instance launch, threat detection)

### Resource Analysis
4. Investigate EC2 instance configuration (AMI, IMDS version, network access)
5. Analyze security group rules (inbound/outbound access)
6. Review IAM permissions attached to instance profile
7. Check for additional findings on the same resource

### Containment
8. Create isolation security group with no inbound/outbound rules
9. Apply isolation security group to compromised instance
10. Create forensic snapshot before making destructive changes
11. Preserve volatile memory by keeping instance running if forensic analysis needed

### Eradication
12. Revoke excessive IAM permissions
13. Document all actions in findings.md with technical and executive summaries

### Analysis
14. Query CloudTrail for API calls from compromised instance credentials
15. Assess scope of compromise and potential lateral movement

## Documentation Requirements
- Finding summary with severity and type
- Investigation steps with timestamps
- Evidence collected (security groups, IAM policies, CloudTrail logs)
- Remediation actions taken
- Recommendations for prevention

## AWS CLI Command Patterns
- GuardDuty: `aws guardduty get-findings`
- EC2: `aws ec2 describe-instances`, `aws ec2 describe-security-groups`
- IAM: `aws iam get-instance-profile`, `aws iam list-attached-role-policies`
- CloudTrail: `aws cloudtrail lookup-events`

## Approval Gates
Always propose commands with explanations before execution and wait for approval.

Diferente de playbooks tradicionais de resposta a incidentes, que são documentos estáticos e rapidamente ficam desatualizados, os steering files do Kiro CLI são playbooks executáveis que guiam investigações assistidas por IA com consistência, permanecendo flexíveis o suficiente para se adaptar a cenários específicos. Atualizar o steering file faz parte do próprio workflow — ao final de cada sessão, basta pedir ao Kiro CLI que incorpore os ajustes feitos durante a investigação.

Conclusão

Incidentes de segurança exigem resposta rápida e precisa, mas os workflows tradicionais de investigação criam gargalos que aumentam o Tempo Médio de Resposta (MTTR). Seguindo o framework do Guia de Resposta a Incidentes de Segurança da AWS e utilizando as capacidades de IA do Kiro CLI, é possível transformar a resposta a incidentes de um processo reativo em operações proativas e bem documentadas.

O Kiro CLI acelera cada fase do ciclo de vida da resposta a incidentes — da detecção e análise inicial, passando pela contenção e erradicação, até a recuperação. A capacidade de steering files ajuda as equipes a incorporar o conhecimento adquirido em workflows reutilizáveis que beneficiam analistas de todos os níveis de experiência. Quando comandos falham ou configurações estão incorretas, o Kiro CLI identifica o problema e o corrige, reduzindo o tempo gasto em troubleshooting.

Fonte

Accelerate security investigations with Kiro CLI (https://aws.amazon.com/blogs/security/accelerate-security-investigations-with-kiro-cli/)