Upgrade to Pro — share decks privately, control downloads, hide ads and more …

APN AWS Top Engineersが語るAWSの最新セキュリティ

APN AWS Top Engineersが語るAWSの最新セキュリティ

2022/10/17に実施した「APN AWS Top Engineersが語るAWSの最新セキュリティ対策」ウェビナーにおける登壇資料です。
解説はこちら: https://dev.classmethod.jp/articles/221017-trendmicro-security-webinar-top-engineers/

cm-usuda-keisuke

November 26, 2022
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021

    APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: GuardDuty / Detective Security Hub みんなのAWS (技術評論社)
  2. 9 Amazon GuardDutyとは • 脅威検知サービス • CloudTrail / VPC Flow

    Logs / DNS Logs等を バックグラウンドで⾃動収集(利⽤者の⼿間なし) • ポチッと有効化するだけ • IAM / EC2 / S3に関するインシデントを検知 • 脅威インテリジェンスと連携 • 機械学習による異常識別
  3. 10 GuardDutyの検知内容(ほんの⼀部) • IAMタイプ • 不正ログイン • 漏洩したクレデンシャル利⽤ • CloudTrail無効化

    • EC2タイプ • コインマイニング • C&Cサーバー接続 • SSHブルートフォース(受信 or 送信) • S3タイプ • バケット公開 • Torアクセス
  4. 13 初動対応計画 • 検知結果毎ざっくり3種類準備しておく • IAMタイプ • 認証情報を無効化する • EC2タイプ

    • EC2を隔離、保全、調査する • 調査は得意な会社に依頼できる準備でもいい • S3タイプ • アクセス権限を絞る
  5. 20 Malware Protection概要 • EC2やコンテナに感染したマルウェアなどを検知す るMalware Protection機能がGuardDutyに実装 • 機能名はMalware Protectionだけど、動作として

    は検知 • マルウェアの動きを直接⽌めない • EBSのスナップショットを取得しこれをスキャンす るため、動作している実環境に影響ない
  6. 25 Cloud One Workload Security概要 • 略してC1WS • EC2にエージェント を導⼊してOS上保護

    • 昔からDeep SecurityとしてAWS 環境上でも利⽤ • クラウド上に管理マ ネージャー(ユーザー が構築しなくていい)
  7. 27 Workload Securityの保護機能 • 侵⼊防御(IDS/IPS) • 不正プログラム対策(マルウェア対策) • 変更監視 •

    セキュリティログ監視 • アプリケーションコントロール • などなど 様々な保護機能で多層防御 AWSやAWSの機能でカバーできない範囲を保護
  8. 28 Workload SecurityのAWS連携 • ⻑い実績があり親和性が⾼い • アーキテクチャの親和性 • ホストに導⼊するためシステムのスケールに合わせてセ キュリティ機能がスケールする(サーバーの⼿前でセキュ

    リティを機能させるとボトルネックとなる) • 機能の親和性 • AutoScalingで増減するEC2を⾃動認識して管理 • 増減に合わせたライセンス体系
  9. 31 Webアプリケーションが侵害される例 https://success.trendmicro.com/dcx/s/solution/000283514 から引⽤、⼀部改変 インターネットからWebア プリケーションの脆弱性を 利⽤しWeb Shell設置 Web Shellからサーバー内部

    や周辺の調査、権限昇格 バックドアを仕込む バックドア経由でさらなる 永続化や⽔平展開 Adminの認証情報や 重要情報の収集 C&Cサーバーへ情報の送信
  10. 32 GuardDutyによる検知 GuardDutyで30分以内に検知 インターネットからWebア プリケーションの脆弱性を 利⽤しWeb Shell設置 Web Shellからサーバー内部 や周辺の調査、権限昇格

    バックドアを仕込む バックドア経由でさらなる 永続化や⽔平展開 Adminの認証情報や 重要情報の収集 C&Cサーバーへ情報の送信
  11. 33 GuardDutyによる検知 • C&Cへの通信が開始されてだいたい30分以内には検 知できる • DNSとVPC Flow Logsから、脅威情報と照らし合 わせて特定する

    • ただしブロックはできない • Malware Protectionも利⽤すると、検知後にマル ウェアを特定できる • OS情報など何もない状態からAWS環境全体で検知 が働くのは素晴らしい
  12. 34 C1WSでのブロック 脆弱性を突く攻撃をブロック インターネットからWebア プリケーションの脆弱性を 利⽤しWeb Shell設置 Web Shellからサーバー内部 や周辺の調査、権限昇格

    バックドアを仕込む バックドア経由でさらなる 永続化や⽔平展開 Adminの認証情報や 重要情報の収集 C&Cサーバーへ情報の送信
  13. 36 C1WSでの多層防御 ファイル書き込み検知 インターネットからWebア プリケーションの脆弱性を 利⽤しWeb Shell設置 Web Shellからサーバー内部 や周辺の調査、権限昇格

    バックドアを仕込む バックドア経由でさらなる 永続化や⽔平展開 Adminの認証情報や 重要情報の収集 C&Cサーバーへ情報の送信 不正なアプリケーション動作の検知やブロック
  14. 40 リスクの判断⽅法(⼀例) • 外部から遠ければリスクが下がるため、コストと照 らし合わせてC1WSを導⼊しないことはある • コストもセキュリティで守るべきものの1つ • でもなにもないと気づけない •

    GuardDutyはカバレッジが広く持てるから必ず利⽤ する 機微な情報を扱う︖ (機密性) システム重要度は ⾼い︖(可⽤性) インターネットから 近い︖(攻撃難易度)
  15. 46