Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策

Transcript

1. クラウドにおけるマルウェアや コンテンツ改ざんへの対策 @4su_para 2024/11/18 1 AWS Security JAWS Security-JAWS [第35回]勉強会

2. 自己紹介：佐田 淳史（さだ あつし） 2024/11/18 2 AWS Security JAWS • はじめて

   Security JAWSでしゃべります • 2022年半ばごろからエンジニアインターンとしてキャ リアスタート • 事業会社のSecurity Engineer（24卒） • クラウドが好きで幅広く触りたく、ユーザーに行く道を 選択しました • PSIRTとしてweb/platform診断の内製に向けた活 動やAWSの各種サービスのアラート調査などに従事 • 個人で「Cloud Security」「Threat Research」 を軸に発信していきたいと考えています • 趣味：雑多な読書, 旅 • seccamp / SecHack365 修了生

3. 2024/11/18 3 AWS Security JAWS IPA10大脅威

4. 1位：ランサムウェアによる被害 2024/11/18 4 AWS Security JAWS ◦近年は堂々の1位になっている ◦クラウドならではの対策の発信は需要が高い領域なのでは？ 脅威を発見し予防していくことが大事になる

5. Threat Hunting（脅威ハンティング） 2024/11/18 5 AWS Security JAWS ◦既存のセキュリティ対策を回避する現在・過去の脅威を能動 的・再帰的に調査し、その情報を利用してサイバーレジリエン スを向上させるプロアクティブなアプローチ

   ◦未知の脅威を能動的に発見して回避方法と検知方法のギャップ を埋めていくことが目的 さらにサイバーレジリエンスについて理解を深める必要がある https://www.secureworks.com/centers/what-is-threat-hunting

6. FISCと金融庁のサイバーレジリエンス 2024/11/18 6 AWS Security JAWS ◦リスクゼロを追求することは必ずしも合理的ではないというスタンス ◦リスク属性に応じて行う 出展：FISC（「金融機関等」コンピューターシステムの安全対策基準・解説書 第12版）,

   金融庁: 金融分野に おけるサイバーセキュリティ強化に向けた取り組み方針, Building Cyber Resilience in an Age of Accelerating Change, https://www.youtube.com/watch?v=QRxTqgfxkfI&t=2147s

7. ログにおけるThreat Huntingのポジショニング 2024/11/18 7 AWS Security JAWS https://speakerdeck.com/4su_para/toaruyuzaqi-ye- niokerurisukubesudekao-erusekiyuriteiye-wu-noohua-si

8. ランサムウェアの流れ 2024/11/18 8 AWS Security JAWS ◦マルウェアの配布と感染 ◦C2（Command & Control）

   ◦発見とラテラルムーブメント ◦データの抽出・改ざん ◦データの暗号化 ◦恐喝 ◦解決？（金銭の支払いなど） https://www.chainalysis.com/blog/ransomware-2024/ Black Hat USA の講演より引用

9. 2024/11/18 9 AWS Security JAWS AWSにおけるランサムウェア対策

10. AWSはe-bookを提供しているものの・・・ https://aws.amazon.com/jp/blogs/security/updated-ebook-protecting-your-aws- environment-from-ransomware/ 2024/11/18 10 AWS Security JAWS ◦具体的な設定方法までには 触れていない

    ◦どの項目を何のためにやっ ておくべきかが分かりにくい ◦アンチマルウェア製品や改 ざん検知ツールに頼らない AWSによる方法論は？ 具体的にどういう取り組みをしておくとベースラインが確保で きそうか、数点述べます

11. 2024/11/18 11 AWS Security JAWS account isolation

12. 基本的には侵害された場合、影響はアカウント内 2024/11/18 12 AWS Security JAWS ◦ADがない環境であることを考え ると侵害された場合の影響はアカ ウント内に閉じることになる ◦そう考えるとアカウントを分け

    ることで必然的にネットワークや システムのアクセス権限が分離さ れる ◦ネットワークのIsolation pVPCのセキュリティグループや ネットワークACLを用いて環境を 分離する

13. 2024/11/18 13 AWS Security JAWS WORM storage

14. Write Once Read Many? 2024/11/18 14 AWS Security JAWS 1度書き込んだデータを消去・変更できない追記型の記憶方式

    WORM を有効化し たファイルサーバー

15. AWSのサービスだとどれに該当するか 2024/11/18 15 AWS Security JAWS ◦S3: Object lock ◦AWS

    Backup : vault lock

16. S3 Object Lock: Configuration 2024/11/18 16 AWS Security JAWS ◦柔軟な構成

    pバケットレベルでの有効化 p個々のObject versionにカスタム保持を適応する ◦保持を管理する2つの方法 p保存期間 ⁍ COMPLIANCE: 設定された保持期間中にバックアップを 削除することはできない。コンプライアンス要件を満たすた めに使用される。 ⁍ GOVERNANCE: 特定のIAMユーザーやロールに対して削 除を許可することができる。管理者が必要に応じてバック アップを削除できる柔軟性がある。 p法定期間 ◦柔軟オプションのデフォルト保持設定 pバケットレベル p明示的に異なる設定を指定しない限り、バケットに配置 されたオブジェクトが適用される

17. terraformによる実現 2024/11/18 17 AWS Security JAWS ◦コンソールからの設定はネットにたくさんあるので・・・ ◦変更後, plan/applyで適用

18. AWS Backupの対象 2024/11/18 18 AWS Security JAWS ◦EC2::Volume ◦ElastiCache::CacheClus ter

    ◦DynamoDB::Table ◦RDS::DBCluster ◦S3::Bucket ◦EFS::FileSystem

19. AWS Backup : vault lock 2024/11/18 19 AWS Security JAWS

    ◦保持ポリシーの設定 pVault Lockを使用すると、バックアッ プボールト内のバックアップに対して保持 ポリシーを設定できる。指定された期間中 にバックアップを削除できなくなる。 ◦ロックモード pVault Lockにも2つのロックモード ⁍ COMPLIANCE ⁍ GOVERNANCE ◦設定の変更不可

20. そこにBackupを書き込む 2024/11/18 20 AWS Security JAWS ◦Backupに対して必要な権限を持つIAMを設定して〜

21. 2024/11/18 21 AWS Security JAWS ECSにおけるReadOnly マウント

22. readonlyRootFilesystem: true 2024/11/18 22 AWS Security JAWS ◦ファイルシステムをRead Onlyで マウント

    pコンテンツの改ざんのリスクを低減さ せる ◦副作用を回避する形で有効化する p書き込み可能なボリュームをマウント することで回避 pSSM Agentを起動させることができ るようにすることで・・・ pECS execを動かせる状態にしておく

23. 2024/11/18 23 AWS Security JAWS まとめ

24. とりわけ気を遣う項目 2024/11/18 24 AWS Security JAWS ◦本番環境へのシェルアクセス制限 ◦SCPsへのDeleteObject pOrganization内のアカウントに 対してOK/NGの制御

    ◦コンテナを定期的に新規のインス タンスにローテートする p復旧のため pいつでも使い捨てにしておけるよう に pリスク発生の蓋然性の観点 ◦保護のための不十分なバックアッ プ pプラットフォーム診断などでは指摘 事項になるため p攻撃者の思考として本番のデータの みならず、バックアップも含めて暗 号化を試みるため ◦稼働時間が長すぎるインスタンス 本日は深くお話ししなかった内容 まとめ おわり