Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSのインシデントレスポンスはここまで進化した!Radware Cloud Nativ...

AWSのインシデントレスポンスはここまで進化した!Radware Cloud Native Protectorによるインシデント調査

Security-JAWS 【第22回】の登壇資料です。詳細な解説は以下。

イベントページはこちら
https://s-jaws.doorkeeper.jp/events/124677

cm-usuda-keisuke

August 27, 2021
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. 5 About Radware ⾦融 世界Top 12為替取引所、8社 世界Top 20銀⾏、10社 リテール、オンラインビジネス 世界Top

    10リテール企業、5社 通信キャリア、SaaSプロバイダー 世界Top 10通信キャリア、10社 世界Top 10SaaSプロバイダー、5社 30-35% 25-30% 35-40% Service Provider Finance / Government Enterprise 顧客数: 12,500社以上 • 日本法人設立:2000年 (HQ=イスラエル:1997年) • 株式上場:1999年(NASDAQ) • 売上:2億5,200万ドル(2019年度) • 従業員数:約1,100名(2020年) • 拠点数:世界35ヵ所 • パートナー • サイバーセキュリティ+ADC DDoS Wave Leader ADC MQ Leader + WAF MQ Visionary
  2. 6 Radware Solution Map (abstraction) Cloud Internet WAF DoS/DDoS Protection

    Servers API Abuse Account Takeover Denial of Inventory Scraping … OWASP10 -SQL Injection -XSS -CSRF … DoS/DDoS -HTTP/S Flood -Low&Slow -DNS DoS -Syn Flood … In the Cloud Protection
  3. 7 CNP: Multilayer Cloud Native Security üCloud Native üエージェントレス üPosture管理

    ü継続監視と改善 üEasyな導入 üAdvanced Detection üAI相関分析
  4. 8 SERVICE FLOW Manual and automated response mechanisms for fast

    mitigation 1. METADATA AND LOGS Collection of configuration metadata, activity and network flow logs from the cloud environment Public exposure alerts and configuration hardening recommendations 4. CONFIGURATION WARNINGS 3. BREACH ALERTS Behavioral and Attack Surface analysis using cloud-based machine-learning algorithms RADWARE Upon detection of attacks as they evolve 2. AI ANALYSIS 5. RESPONSE
  5. 9 相関付けが重要 - Correlation 珍しいアクセス ネットワークスキャン 重要なリソースへのアクセス 情報流出 平均3−6ヶ月かけて実施 ハイリスクな攻撃はステップが複雑かつ各ステップの間に間隔がある

    単⼀のイベントを検知できたとしても、それらを相関付けして全体像を捉えることが必要 全体俯瞰の視点がないとただ1つのノイズが検知されて⾒過ごしてしまう
  6. 10 Airbnb – Success Story Environments Why we won Challenges

    • 25000 インスタンス • 少量のプロダクションアカウント & 数十の他アカウント • 数千のユーザがアクセス権を保持 • 月間3500テラバイトのFlowログ • 月間300テラバイトのCloudTrailログ • 秒間750万のログイベント • 膨大なログから生成されるアラート数 • AWS GuardDutyとの差別化 • Unknown Event • 誤検知率を抑える • 実際に不正アクションを検知 • Tor • ID/PWの不正利用 • 攻撃シナリオの実施と想定通りの検知 • 検知アルゴリズムのチューニング • Airbnb 検知&レスポンスチームとの密な連携 • 誤検知率が低かったこと Attack Scenarios • Networkサイド データ流出(外部IP/異Portへ & Unknown AWS IP/異Portへ) データ流出(AirbnbコーポレートPublic/Private IPへ) データ流出(低速度での) DBからのデータ移動 • Cloudサイド EC2 Role不正利用(外部IPから & AWS内部から) S3データ流出(EC2 Role不正利用) S3データ不正入手(マシン内で)
  7. 16 AWS上で発⽣するインシデント • IAMアクセスキーの漏洩 • EC2を⼤量に⽴ててコインマイニング Ø アクセスキーをGitなどに保存しない Ø IAMベストプラクティスに従う

    • S3設定不備による不正アクセス • 情報漏えい • 改ざん Ø パブリックアクセスブロックを使う Ø 重要データ管理のアカウントを分離・監視強化する
  8. 17 設定管理と対応 • 危ない使い⽅はさせない(ガードレール) • SCP / Permission Boundaryによる禁⽌ •

    Security Hub / Config Rulesによる検知 • Config Rulesによる⾃動修復 • 利⽤ポリシー設計と教育の徹底 • 権限移譲の前に最低限の知識が必要 • 「IAM Userは使わない」「公開⽤S3は作らない」など 決めて徹底する • IAMやS3の扱いに特に注意 • 抑制し過ぎは意味がないので注意
  9. 18 インシデントが発⽣したら • 発⽣したことを検知 • GuardDutyによる脅威検知 • ログと設定を調査 • CloudTrail

    / VPC Flow Logs / Config / アプリログなど • CloudWatch Logs / Athenaでログ調査 • Detectiveならエンティティ間の関連性がめっちゃわかる • 復旧・対策 • IAMクレデンシャル削除・EC2削除・ポリシー変更など • ガードレール整備・モニタリング・教育とか
  10. 20 AWSレイヤーを守るサービス • Amazon GuardDuty • AWSレイヤー・アプリレイヤー含めた脅威検知 • EC2が乗っ取られてコインマイニング •

    IAMが乗っ取られて不正操作 • Amazon Detective • GuardDutyで検知したイベントの調査 • エンティティを関連付けて辿れる • ログをわかりやすく可視化
  11. 24 GuardDuty + Detectiveで調査が捗る • ログ分析やアラート仕掛けなくてもいい感じに脅威 を検知してくれる • 関連情報洗い出してくれる •

    エンティティ間をリンクしてくれて辿りやすい • 影響範囲がわかりやすい • でも原因まで辿るのは⼀発ではない
  12. 33 合わせて読みたい AWS上のインシデントをわかりやす いフロー図にして可視化できる Radware Cloud Native Protectorを使って攻撃された痕跡 を調査してみた https://dev.classmethod.jp/articles/getting-

    start-radware-cloud-native-protector/ AWSでコインマイニングされた原 因をRadware CNPのフロー図で わかりやすく調査してみた https://dev.classmethod.jp/articles/investig ate-coin-mining-with-radware-cnp/
  13. 36