AWSのインシデントレスポンスはここまで進化した！Radware Cloud Native Protectorによるインシデント調査

Transcript

1. AWSのインシデントレスポンスは ここまで進化した︕ Radware Cloud Native Protectorによる インシデント調査 2021/08/27 ⾅⽥佳祐 1

2. 2 まずはこいつを⾒てくれ

3. 3 細かいことは置いといて すごく… わかりやすいです…

4. RadwareとCNPについてちょっとだけ Radwareの人から紹介

5. 5 About Radware ⾦融 世界Top 12為替取引所、8社 世界Top 20銀⾏、10社 リテール、オンラインビジネス 世界Top

   10リテール企業、5社 通信キャリア、SaaSプロバイダー 世界Top 10通信キャリア、10社 世界Top 10SaaSプロバイダー、5社 30-35% 25-30% 35-40% Service Provider Finance / Government Enterprise 顧客数: 12,500社以上 • 日本法人設立：2000年 （HQ＝イスラエル：1997年） • 株式上場：1999年（NASDAQ） • 売上：2億5,200万ドル（2019年度） • 従業員数：約1,100名（2020年） • 拠点数：世界35ヵ所 • パートナー • サイバーセキュリティ+ADC DDoS Wave Leader ADC MQ Leader + WAF MQ Visionary

6. 6 Radware Solution Map (abstraction) Cloud Internet WAF DoS/DDoS Protection

   Servers API Abuse Account Takeover Denial of Inventory Scraping … OWASP10 -SQL Injection -XSS -CSRF … DoS/DDoS -HTTP/S Flood -Low&Slow -DNS DoS -Syn Flood … In the Cloud Protection

7. 7 CNP: Multilayer Cloud Native Security üCloud Native üエージェントレス üPosture管理

   ü継続監視と改善 üEasyな導入 üAdvanced Detection üAI相関分析

8. 8 SERVICE FLOW Manual and automated response mechanisms for fast

   mitigation 1. METADATA AND LOGS Collection of configuration metadata, activity and network flow logs from the cloud environment Public exposure alerts and configuration hardening recommendations 4. CONFIGURATION WARNINGS 3. BREACH ALERTS Behavioral and Attack Surface analysis using cloud-based machine-learning algorithms RADWARE Upon detection of attacks as they evolve 2. AI ANALYSIS 5. RESPONSE

9. 9 相関付けが重要 - Correlation 珍しいアクセス ネットワークスキャン 重要なリソースへのアクセス 情報流出 平均3−6ヶ月かけて実施 ハイリスクな攻撃はステップが複雑かつ各ステップの間に間隔がある

   単⼀のイベントを検知できたとしても、それらを相関付けして全体像を捉えることが必要 全体俯瞰の視点がないとただ1つのノイズが検知されて⾒過ごしてしまう

10. 10 Airbnb – Success Story Environments Why we won Challenges

    • 25000 インスタンス • 少量のプロダクションアカウント & 数十の他アカウント • 数千のユーザがアクセス権を保持 • 月間3500テラバイトのFlowログ • 月間300テラバイトのCloudTrailログ • 秒間750万のログイベント • 膨大なログから生成されるアラート数 • AWS GuardDutyとの差別化 • Unknown Event • 誤検知率を抑える • 実際に不正アクションを検知 • Tor • ID/PWの不正利用 • 攻撃シナリオの実施と想定通りの検知 • 検知アルゴリズムのチューニング • Airbnb 検知&レスポンスチームとの密な連携 • 誤検知率が低かったこと Attack Scenarios • Networkサイド データ流出（外部IP/異Portへ & Unknown AWS IP/異Portへ） データ流出（AirbnbコーポレートPublic/Private IPへ） データ流出（低速度での） DBからのデータ移動 • Cloudサイド EC2 Role不正利用（外部IPから & AWS内部から） S3データ流出（EC2 Role不正利用） S3データ不正入手（マシン内で）

11. 11 ⾃⼰紹介 ⾅⽥佳祐 クラスメソッド株式会社 ・AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター ・Security-JAWS運営 ・好きなサービス:

    Amazon Detective みんなのAWS (技術評論社)

12. 12 アジェンダ 1. AWS上の脅威と対策 2. GuardDutyとDetectiveでインシデント調査 3. Radware CNPでインシデント調査 4.

    まとめ

13. 13 1. AWS上の脅威と対策

14. 14 合わせて読みたい 全般的なセキュリティ対策の細かい話はこちら https://dev.classmethod.jp/articles/enhanced-aws-security-in-cloud-shift/

15. 15 ざっくり⼤事なこと • 守るものを明確にする • 事前の準備をしっかり • インシデントが起きたあとの体制も準備

16. 16 AWS上で発⽣するインシデント • IAMアクセスキーの漏洩 • EC2を⼤量に⽴ててコインマイニング Ø アクセスキーをGitなどに保存しない Ø IAMベストプラクティスに従う

    • S3設定不備による不正アクセス • 情報漏えい • 改ざん Ø パブリックアクセスブロックを使う Ø 重要データ管理のアカウントを分離・監視強化する

17. 17 設定管理と対応 • 危ない使い⽅はさせない(ガードレール) • SCP / Permission Boundaryによる禁⽌ •

    Security Hub / Config Rulesによる検知 • Config Rulesによる⾃動修復 • 利⽤ポリシー設計と教育の徹底 • 権限移譲の前に最低限の知識が必要 • 「IAM Userは使わない」「公開⽤S3は作らない」など 決めて徹底する • IAMやS3の扱いに特に注意 • 抑制し過ぎは意味がないので注意

18. 18 インシデントが発⽣したら • 発⽣したことを検知 • GuardDutyによる脅威検知 • ログと設定を調査 • CloudTrail

    / VPC Flow Logs / Config / アプリログなど • CloudWatch Logs / Athenaでログ調査 • Detectiveならエンティティ間の関連性がめっちゃわかる • 復旧・対策 • IAMクレデンシャル削除・EC2削除・ポリシー変更など • ガードレール整備・モニタリング・教育とか

19. 19 2. GuardDutyとDetectiveで インシデント調査

20. 20 AWSレイヤーを守るサービス • Amazon GuardDuty • AWSレイヤー・アプリレイヤー含めた脅威検知 • EC2が乗っ取られてコインマイニング •

    IAMが乗っ取られて不正操作 • Amazon Detective • GuardDutyで検知したイベントの調査 • エンティティを関連付けて辿れる • ログをわかりやすく可視化

21. 21 デモ

22. 22 GuardDutyによる検知 •対象 •時間 •リソースの 状態 •などなど •これをベー スにログを ⾒ていく

23. 23 Detectiveによる調査 •作成者 •位置情報 •実⾏した API •などなど •原因と影響 範囲を確認

24. 24 GuardDuty + Detectiveで調査が捗る • ログ分析やアラート仕掛けなくてもいい感じに脅威 を検知してくれる • 関連情報洗い出してくれる •

    エンティティ間をリンクしてくれて辿りやすい • 影響範囲がわかりやすい • でも原因まで辿るのは⼀発ではない

25. 25 合わせて読みたい 「ついに来た︕Amazon Detectiveでセキュリティインシデントの調査がちょー捗 るからまずやってみよう」という内容で動画投稿しました #devio2020 https://dev.classmethod.jp/articles/amazon-detective-investigation-demo/

26. 26 3. Radware CNPでインシデント調査

27. 27 とにかく調査が捗る • わかりやすいフロー図を作ってくれる • ⼀発でインシデントの元がわかる • 派⽣した⼀連の流れがわかる • 勝つる

28. 28 デモ

29. 29 派⽣した元を辿る 何からインシデントが始まったかわかる

30. 30 関連するイベントを時系列に いつ何が起きたかひと⽬で分かる

31. 31 権限昇格も辿れる アタッチされたポリシーもわかる

32. 32 調査フェーズもまとめてくれる 攻撃の予兆も拾ってくれる

33. 33 合わせて読みたい AWS上のインシデントをわかりやす いフロー図にして可視化できる Radware Cloud Native Protectorを使って攻撃された痕跡 を調査してみた https://dev.classmethod.jp/articles/getting-

    start-radware-cloud-native-protector/ AWSでコインマイニングされた原 因をRadware CNPのフロー図で わかりやすく調査してみた https://dev.classmethod.jp/articles/investig ate-coin-mining-with-radware-cnp/

34. 34 4. まとめ

35. 35 まとめ • 事前事後の対策をしっかり • GuardDutyとDetectiveを有効化 • 調査をもっと捗らせたいならRadware Cloud Native

    Protector検討しよう

36. 36