Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSのインシデントレスポンスはここまで進化した!Radware Cloud Native Protectorによるインシデント調査

cm-usuda-keisuke
August 27, 2021
Technology
1
2k

AWSのインシデントレスポンスはここまで進化した!Radware Cloud Native Protectorによるインシデント調査

Security-JAWS 【第22回】の登壇資料です。詳細な解説は以下。

イベントページはこちら
https://s-jaws.doorkeeper.jp/events/124677

cm-usuda-keisuke

August 27, 2021
Tweet

More Decks by cm-usuda-keisuke

See All by cm-usuda-keisuke
AWSセンセーション 私とみんなが作ったAWSセキュリティ
cmusudakeisuke
3
3.9k
新しい初心者向けのSecurity-JAWSをやるよ!って話
cmusudakeisuke
0
860
AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにしてみよう
cmusudakeisuke
2
8.4k
re:Invent2023のセキュリティまとめしてGuardDutyとQとコストの話します
cmusudakeisuke
0
1.1k
AWSセキュリティサービス最新アップデート
cmusudakeisuke
2
1.5k
GuardDutyの深淵を覗いて、君もGuardDutyマスターになろう!
cmusudakeisuke
0
2.6k
re:Inforce 2023のアップデートを得た現代のAWSセキュリティ運用方法(GuardDuty/Detective編)
cmusudakeisuke
0
1.4k
初級から上級までセキュアなAWS環境の作り方
cmusudakeisuke
7
9.3k
セキュリティ系まとめと地味だけど今すぐ設定すべきモニタリングアップデート
cmusudakeisuke
0
2k

Other Decks in Technology

See All in Technology
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
190
Delivering Millions of Messages within seconds @ Duolingo
pelelgrino
0
350
FrontDoorとWebAppsを組み合わせた際のリダイレクト処理の注意点
kenichirokimura
1
490
現代CSSフレームワークの内部実装とその仕組み
poteboy
8
3.6k
4年前、あるじゃん老害エンジニアLT合戦に登壇、米国西海岸コンピュータ歴史博物館体験記の続編
toshi_atsumi
0
220
Google Cloud の AI を支える裏側のインフラを垣間見る!
maroon1st
0
340
Vertex AI を中心に 生成AIのアップデートを共有します
kaz1437
0
290
Cracking the KubeCon CfP
inductor
2
220
長期運用プロジェクトでのMySQLからTiDB移行の検証
colopl
2
820
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
1
6.5k
チームでロジカルシンキングに改めて向き合っている話 〜学習環境と実践⽅法〜
sansantech
PRO
2
1.6k
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
230

Featured

See All Featured
Product Roadmaps are Hard
iamctodd
44
9.7k
GraphQLとの向き合い方2022年版
quramy
32
12k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
Happy Clients
brianwarren
92
6.4k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.9k
Building a Scalable Design System with Sketch
lauravandoore
456
32k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k
Stop Working from a Prison Cell
hatefulcrawdad
266
19k
Git: the NoSQL Database
bkeepers
PRO
422
63k
Mobile First: as difficult as doing things right
swwweet
216
8.6k
Creatively Recalculating Your Daily Design Routine
revolveconf
210
11k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3k

Transcript

  1. AWSのインシデントレスポンスは ここまで進化した︕ Radware Cloud Native Protectorによる インシデント調査 2021/08/27 ⾅⽥佳祐 1

  2. 2 まずはこいつを⾒てくれ

  3. 3 細かいことは置いといて すごく… わかりやすいです…

  4. RadwareとCNPについてちょっとだけ Radwareの人から紹介

  5. 5 About Radware ⾦融 世界Top 12為替取引所、8社 世界Top 20銀⾏、10社 リテール、オンラインビジネス 世界Top

    10リテール企業、5社 通信キャリア、SaaSプロバイダー 世界Top 10通信キャリア、10社 世界Top 10SaaSプロバイダー、5社 30-35% 25-30% 35-40% Service Provider Finance / Government Enterprise 顧客数: 12,500社以上 • 日本法人設立:2000年 (HQ=イスラエル:1997年) • 株式上場:1999年(NASDAQ) • 売上:2億5,200万ドル(2019年度) • 従業員数:約1,100名(2020年) • 拠点数:世界35ヵ所 • パートナー • サイバーセキュリティ+ADC DDoS Wave Leader ADC MQ Leader + WAF MQ Visionary

  6. 6 Radware Solution Map (abstraction) Cloud Internet WAF DoS/DDoS Protection

    Servers API Abuse Account Takeover Denial of Inventory Scraping … OWASP10 -SQL Injection -XSS -CSRF … DoS/DDoS -HTTP/S Flood -Low&Slow -DNS DoS -Syn Flood … In the Cloud Protection

  7. 7 CNP: Multilayer Cloud Native Security üCloud Native üエージェントレス üPosture管理

    ü継続監視と改善 üEasyな導入 üAdvanced Detection üAI相関分析

  8. 8 SERVICE FLOW Manual and automated response mechanisms for fast

    mitigation 1. METADATA AND LOGS Collection of configuration metadata, activity and network flow logs from the cloud environment Public exposure alerts and configuration hardening recommendations 4. CONFIGURATION WARNINGS 3. BREACH ALERTS Behavioral and Attack Surface analysis using cloud-based machine-learning algorithms RADWARE Upon detection of attacks as they evolve 2. AI ANALYSIS 5. RESPONSE

  9. 9 相関付けが重要 - Correlation 珍しいアクセス ネットワークスキャン 重要なリソースへのアクセス 情報流出 平均3−6ヶ月かけて実施 ハイリスクな攻撃はステップが複雑かつ各ステップの間に間隔がある

    単⼀のイベントを検知できたとしても、それらを相関付けして全体像を捉えることが必要 全体俯瞰の視点がないとただ1つのノイズが検知されて⾒過ごしてしまう

  10. 10 Airbnb – Success Story Environments Why we won Challenges

    • 25000 インスタンス • 少量のプロダクションアカウント & 数十の他アカウント • 数千のユーザがアクセス権を保持 • 月間3500テラバイトのFlowログ • 月間300テラバイトのCloudTrailログ • 秒間750万のログイベント • 膨大なログから生成されるアラート数 • AWS GuardDutyとの差別化 • Unknown Event • 誤検知率を抑える • 実際に不正アクションを検知 • Tor • ID/PWの不正利用 • 攻撃シナリオの実施と想定通りの検知 • 検知アルゴリズムのチューニング • Airbnb 検知&レスポンスチームとの密な連携 • 誤検知率が低かったこと Attack Scenarios • Networkサイド データ流出(外部IP/異Portへ & Unknown AWS IP/異Portへ) データ流出(AirbnbコーポレートPublic/Private IPへ) データ流出(低速度での) DBからのデータ移動 • Cloudサイド EC2 Role不正利用(外部IPから & AWS内部から) S3データ流出(EC2 Role不正利用) S3データ不正入手(マシン内で)

  11. 11 ⾃⼰紹介 ⾅⽥佳祐 クラスメソッド株式会社 ・AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター ・Security-JAWS運営 ・好きなサービス:

    Amazon Detective みんなのAWS (技術評論社)

  12. 12 アジェンダ 1. AWS上の脅威と対策 2. GuardDutyとDetectiveでインシデント調査 3. Radware CNPでインシデント調査 4.

    まとめ

  13. 13 1. AWS上の脅威と対策

  14. 14 合わせて読みたい 全般的なセキュリティ対策の細かい話はこちら https://dev.classmethod.jp/articles/enhanced-aws-security-in-cloud-shift/

  15. 15 ざっくり⼤事なこと • 守るものを明確にする • 事前の準備をしっかり • インシデントが起きたあとの体制も準備

  16. 16 AWS上で発⽣するインシデント • IAMアクセスキーの漏洩 • EC2を⼤量に⽴ててコインマイニング Ø アクセスキーをGitなどに保存しない Ø IAMベストプラクティスに従う

    • S3設定不備による不正アクセス • 情報漏えい • 改ざん Ø パブリックアクセスブロックを使う Ø 重要データ管理のアカウントを分離・監視強化する

  17. 17 設定管理と対応 • 危ない使い⽅はさせない(ガードレール) • SCP / Permission Boundaryによる禁⽌ •

    Security Hub / Config Rulesによる検知 • Config Rulesによる⾃動修復 • 利⽤ポリシー設計と教育の徹底 • 権限移譲の前に最低限の知識が必要 • 「IAM Userは使わない」「公開⽤S3は作らない」など 決めて徹底する • IAMやS3の扱いに特に注意 • 抑制し過ぎは意味がないので注意

  18. 18 インシデントが発⽣したら • 発⽣したことを検知 • GuardDutyによる脅威検知 • ログと設定を調査 • CloudTrail

    / VPC Flow Logs / Config / アプリログなど • CloudWatch Logs / Athenaでログ調査 • Detectiveならエンティティ間の関連性がめっちゃわかる • 復旧・対策 • IAMクレデンシャル削除・EC2削除・ポリシー変更など • ガードレール整備・モニタリング・教育とか

  19. 19 2. GuardDutyとDetectiveで インシデント調査

  20. 20 AWSレイヤーを守るサービス • Amazon GuardDuty • AWSレイヤー・アプリレイヤー含めた脅威検知 • EC2が乗っ取られてコインマイニング •

    IAMが乗っ取られて不正操作 • Amazon Detective • GuardDutyで検知したイベントの調査 • エンティティを関連付けて辿れる • ログをわかりやすく可視化

  21. 21 デモ

  22. 22 GuardDutyによる検知 •対象 •時間 •リソースの 状態 •などなど •これをベー スにログを ⾒ていく

  23. 23 Detectiveによる調査 •作成者 •位置情報 •実⾏した API •などなど •原因と影響 範囲を確認

  24. 24 GuardDuty + Detectiveで調査が捗る • ログ分析やアラート仕掛けなくてもいい感じに脅威 を検知してくれる • 関連情報洗い出してくれる •

    エンティティ間をリンクしてくれて辿りやすい • 影響範囲がわかりやすい • でも原因まで辿るのは⼀発ではない

  25. 25 合わせて読みたい 「ついに来た︕Amazon Detectiveでセキュリティインシデントの調査がちょー捗 るからまずやってみよう」という内容で動画投稿しました #devio2020 https://dev.classmethod.jp/articles/amazon-detective-investigation-demo/

  26. 26 3. Radware CNPでインシデント調査

  27. 27 とにかく調査が捗る • わかりやすいフロー図を作ってくれる • ⼀発でインシデントの元がわかる • 派⽣した⼀連の流れがわかる • 勝つる

  28. 28 デモ

  29. 29 派⽣した元を辿る 何からインシデントが始まったかわかる

  30. 30 関連するイベントを時系列に いつ何が起きたかひと⽬で分かる

  31. 31 権限昇格も辿れる アタッチされたポリシーもわかる

  32. 32 調査フェーズもまとめてくれる 攻撃の予兆も拾ってくれる

  33. 33 合わせて読みたい AWS上のインシデントをわかりやす いフロー図にして可視化できる Radware Cloud Native Protectorを使って攻撃された痕跡 を調査してみた https://dev.classmethod.jp/articles/getting-

    start-radware-cloud-native-protector/ AWSでコインマイニングされた原 因をRadware CNPのフロー図で わかりやすく調査してみた https://dev.classmethod.jp/articles/investig ate-coin-mining-with-radware-cnp/

  34. 34 4. まとめ

  35. 35 まとめ • 事前事後の対策をしっかり • GuardDutyとDetectiveを有効化 • 調査をもっと捗らせたいならRadware Cloud Native

    Protector検討しよう

  36. 36