Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSアカウントのセキュリティインシデント調査どうする? Amazon Detectiveを利用した調査の勘所

AWSアカウントのセキュリティインシデント調査どうする? Amazon Detectiveを利用した調査の勘所

A857277d74d4719f7f7751dca5ed553e?s=128

cm-usuda-keisuke

June 25, 2021
Tweet

Transcript

  1. AWSアカウントの セキュリティインシデント調査どうする? Amazon Detectiveを利⽤した調査の勘所 2021/06/25 ⾅⽥佳祐 1

  2. 2 ⾃⼰紹介 ⾅⽥佳祐 クラスメソッド株式会社 ・AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター ・Security-JAWS運営 ・好きなサービス:

    Amazon Detective みんなのAWS (技術評論社)
  3. 3 アジェンダ 1. AWSのセキュリティとは 2. Amazon Detectiveで解決する問題 3. Amazon Detectiveの勘所

  4. 4 1. AWSのセキュリティとは

  5. 5 突然ですが質問です SEC 6: コンピューティングリソースを どのように保護していますか?

  6. 6 質問続き SEC 7: どのようにデータを分類していますか?

  7. 7 これらの質問は︖ すべてWell-Architectedフレームワーク セキュリティ の柱の質問 セキュリティの柱は7つの設計原則と6つのベストプラ クティスがあり質問は10個あります それぞれの質問を⾃分の組織に当てはめて考えます

  8. 8 SEC6のベストプラクティス SEC 6: コンピューティングリソースをどのように保護 していますか? • 脆弱性管理を実⾏する • 攻撃領域を削減する

    • マネージドサービスを活⽤する • コンピューティング保護を⾃動化する • ユーザーが遠距離でアクションを実⾏できるように する • ソフトウェアの整合性を検証する
  9. 9 SEC7のベストプラクティス SEC 7: どのようにデータを分類していますか? • ワークロード内のデータを特定する • データ保護コントロールを定義する •

    識別及び分類を⾃動化する • データライフサイクル管理を定義する
  10. 10 AWSセキュリティの進め⽅ いろんなアプローチがあります Well-Architectedフレームワークの質問を使ってチー ムで議論を始めてみるのはいかがですか︖ 幅広い内容について検討できます 最近はPDFよりHTMLで⾒るといい 質問は個別リンクで詳細を確認できる https://wa.aws.amazon.com/wat.pillar.security.ja.html

  11. 11 本題の質問1 SEC 4: セキュリティイベントを どのように検出し、調査していますか︖

  12. 12 本題の質問2 SEC 10: インシデントの 予測、対応、復旧はどのように⾏いますか?

  13. 13 SEC4のベストプラクティス SEC 4: セキュリティイベントをどのように検出し、調 査していますか︖ • サービスとアプリケーションのログ記録を設定する • ログ、結果、メトリクスを⼀元的に分析する

    • イベントへの応答を⾃動化する • 実⽤的なセキュリティイベントを実装する
  14. 14 SEC10のベストプラクティス SEC 10: インシデントの予測、対応、復旧はどのように⾏い ますか? • 重要な⼈員と外部リソースを特定する • インシデント管理計画を作成する

    • フォレンジック機能を備える • 封じ込め機能を⾃動化する • アクセスを事前にプロビジョニングする • ツールを事前にデプロイする • ゲームデーを実施する
  15. 15 インシデント対応の⼼構え • 「AWSの」とか「IAMの」セキュリティだけ考えれ ばいいわけではない • ワークロード全体・ビジネス全体・会社全体でWell- Architectedの考え⽅を活⽤する • インシデントの⼀部はAmazon

    GuardDutyで検知 できる
  16. 16 GuardDtuyによるAWS上の脅威検知 • GuardDutyで検知するAWS上のインシデント • EC2でコインマイニング • IAMアクセスキーの不正利⽤ • ブルートフォース

    • 怪しいIPからの通信 • S3バケットが公開される • などなど
  17. 17 GuardDutyをトリガーとするインシデント対応フロー 1. GuardDutyによるインシデント検知 2. CloudTrail / VPC Flow Logs

    / Athenaなどによ るログ調査 3. インシデントの優先度判断 4. 影響範囲の確認 5. インシデント対応
  18. 18 GuardDutyをトリガーとするインシデント対応フロー 1. GuardDutyによるイベント検知 2. CloudTrail / VPC Flow Logs

    / Athenaなどによ るログ調査 ← ここ 3. インシデントの優先度判断 4. 影響範囲の確認 5. インシデント対応 Amazon Detectiveで簡単に調査できる
  19. 19 2. Amazon Detectiveで解決する問題

  20. 20 Amazon Detectiveとは これが…

  21. 21 Amazon Detectiveとは こうじゃ︕

  22. 22 Amazon Detectiveとは • インシデント対応フローの「調査」の役割 • 従来はCloudTrailやVPCフローログなど各種ログを ⾃分で集めて、Athenaやエクセルなどで⾃分で分析 する必要があった •

    VPC Flow Logs / CloudTrail / GuardDuty Findingsを⾃動で取り込む • 各エンティティ間を⾃動で関連付け • わかりやすいグラフやマップで視覚化
  23. 23 つまり 調査がめっちゃ捗る︕

  24. 24 3. Amazon Detectiveの勘所

  25. 25 勘所の説明 • 全般的なDetectiveの使い⽅ • コインマイニング • S3データアクセス

  26. 26 合わせて読みたい(⾒たい) 動画でわかり易く説 明してある 画⾯がやや古い(そん なに気にする必要は ない) https://dev.classmethod.jp/articles/amazon-detective-investigation-demo/

  27. 27 Detectiveの使い⽅ GuardDutyのFindingsから開く

  28. 28 Detectiveの使い⽅ インシデントの関連エンティティをたどる

  29. 29 Detectiveの使い⽅ API実⾏履歴や通信記録を確認

  30. 30 Detectiveの使い⽅ Geoロケーションの可視化

  31. 31 コインマイニングの対応 • GuardDuty Findings 「CryptoCurrency:EC2/BitcoinTool.B」など • データソース: VPCフローログ /

    DNSログ • 100%マイニングされていると思っていい • なぜマイニングされるのか︖ • IAMが乗っ取られている • EC2が乗っ取られている • どちらかで調査する先や対応が変わる
  32. 32 コインマイニングの対応 EC2をいつ誰が作ったか確認 ユーザーに⾒覚えがあるか ユーザー所有者に実態確認

  33. 33 コインマイニングの対応 • ユーザーがいつ作られたか • 誰が作ったか • 攻撃者が作ったなら更にその元をたどる • どこからクレデンシャルが漏洩したのかたどる

    • IAMユーザーのアクセスキーか • EC2などのIAMロールの⼀時クレデンシャルか • 漏洩したクレデンシャルの削除・無効化する
  34. 34 コインマイニングの対応 クレデンシャルから作成者と作成⽇が確認

  35. 35 コインマイニングの対応 ユーザーの他の作業を確認(影響範囲)

  36. 36 コインマイニングの対応 • 既存EC2ならAMIバックアップ + Security Group による隔離 • 動いているコンピューティングリソースが直接料⾦

    に繋がるので最低限の保全と調査が終わり次第殆ど は消す • すべてのリージョンで確認する
  37. 37 S3データアクセス • GuardDuty Findings 「PenTest:S3/KaliLinux」など • データソース: S3データアクセス •

    S3のデータに対して怪しいアクセスが来ている • 公開しているバケットなのか︖ • 公開しているデータなのか︖
  38. 38 S3データアクセス • Detectiveで調査する⽅法は︖ • ない • サポートされている検索結果タイプ • https://docs.aws.amazon.com/ja_jp/detective/lates

    t/userguide/supported-finding-types.html • GuardDutyで検知まではしてくれる • S3データアクセスはCloudTrailで追加で取得する必 要がある
  39. 39 準備が⼤切 • 有効化するもの • CloudTrail • GuardDuty • Detective

    • 他にもいろいろ • 重要データを保管するS3があるなら • CloudTrailデータイベント • S3にログを保管するなら • 別AWSアカウントに集約 • S3オブジェクトロック / SCP
  40. 40 まとめ

  41. 41 まとめ • Well-Architectedフレームワークを活⽤する • Detectiveはいいぞ︕ • 準備をしっかり

  42. 42