Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSを攻撃したらこうなるのでちゃんと対策しようねって話

cm-usuda-keisuke
November 11, 2021
Technology
0
3k

 AWSを攻撃したらこうなるのでちゃんと対策しようねって話

詳細ブログ
https://dev.classmethod.jp/articles/attack-aws-in-security-jaws-23/
Security-JAWS【第23回】 [AWS Security Roadshow Japan 2021] 特別拡大版で登壇した資料です
https://s-jaws.doorkeeper.jp/events/127684

cm-usuda-keisuke

November 11, 2021
Tweet

More Decks by cm-usuda-keisuke

See All by cm-usuda-keisuke
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
150
ツンデレなGuardDutyをプロデュースして世界一のアイドルにする話
cmusudakeisuke
0
510
GuardDutyを可視化して、君もGuardDutyマスターになろう!
cmusudakeisuke
1
1.1k
AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた
cmusudakeisuke
1
16k
10分で完全に理解するGuardDutyのS3マルウェア保護
cmusudakeisuke
0
2.4k
AWSセンセーション 私とみんなが作ったAWSセキュリティ
cmusudakeisuke
3
4.6k
新しい初心者向けのSecurity-JAWSをやるよ!って話
cmusudakeisuke
0
1.2k
AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにしてみよう
cmusudakeisuke
2
9.8k
re:Invent2023のセキュリティまとめしてGuardDutyとQとコストの話します
cmusudakeisuke
0
1.4k

Other Decks in Technology

See All in Technology
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
660
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
180
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
340
Introduction to Works of ML Engineer in LY Corporation
lycorp_recruit_jp
0
160
組織成長を加速させるオンボーディングの取り組み
sudoakiy
3
320
電話を切らさない技術 電話自動応答サービスを支える フロントエンド
barometrica
2
840
Taming you application's environments
salaboy
0
210
複雑なState管理からの脱却
sansantech
PRO
1
180
LINEヤフーにおけるPrerender技術の導入とその効果
narirou
2
990
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
820
Android 15 でウィジェットピッカーのプレビュー画像をGlanceで魅せたい/nikkei-tech-talk-27-1
nikkei_engineer_recruiting
0
100
A Tour of Anti-patterns for Functional Programming
guvalif
0
1.1k

Featured

See All Featured
Side Projects
sachag
452
42k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Statistics for Hackers
jakevdp
796
220k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Thoughts on Productivity
jonyablonski
67
4.3k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
Code Review Best Practice
trishagee
64
17k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Testing 201, or: Great Expectations
jmmastey
38
7.1k
Navigating Team Friction
lara
183
14k

Transcript

  1. AWSを攻撃したらこうなるので ちゃんと対策しようねって話 2021/11/11 うすだけいすけ

  2. 2 ⾃⼰紹介 ⾅⽥佳祐 ・クラスメソッド株式会社 AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター ・Security-JAWS運営 ・好きなサービス:

    Amazon Detective みんなのAWS (技術評論社)

  3. 3 セッションテーマ 脅威を理解し 適切に対策してもらう

  4. 4 AWSの環境を攻撃されたらどうなるの︖

  5. 5 資⾦や情報がサヨウナラ 💸 < さようなら 📄 < サヨウナラ

  6. 6 攻撃の⼀例

  7. 7 合わせて読みたい 休⽇まる1⽇ 使って実際にイ ンシデントが起 きた環境を調査 するイベントを やりました https://dev.classmethod .jp/articles/review-

    security-camp-and- tigersecjaws-02/

  8. 8 攻撃の⼀例 こうなって…

  9. 9 攻撃の⼀例 こうなるんじゃ

  10. 10 AWSのセキュリティ対策には AWSの脅威を知る必要がある

  11. 11 AWSの脅威 • 誤った情報の公開・アクセス許可 • AWSはローカルPCの環境や社内の検証環境ではない • 簡単に外部に公開して迅速に展開できる基盤 • 権限不備で情報漏えいが起きたり

    • 不正な攻撃者がアカウントを乗っ取ることも • 資⾦の浪費 • 従量課⾦で安く使い始められるけど、適切に管理しない と請求がすごいことに

  12. 12 実際のインシデントの事例 実際にアクセス キーが漏洩した ときに何が起き たか記録したブ ログ https://dev.class method.jp/articl es/accesskey-

    leak/

  13. 13 実際のインシデントの事例 GitHubに乗ってから10分で悪⽤された No 時間 状況 1 00:00 お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジ トリにPush

    2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる 3 00:30 AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏 洩した旨、および、対応⽅法をご連絡(電話、メール) 4 01:00 当該キー経由で作成されたリソースを全て削除 5 XX:XX IAMユーザーのアクセスキーをローテーション 5 XX:XX IAMユーザーのパスワードをローテーション

  14. 14 対策

  15. 15 合わせて読みたい セキュリティ対策 はだいたいここに 全部ある https://dev.classmethod.jp /articles/aws-security-all- in-one-2021/

  16. 16 IAM

  17. 17 合わせて読みたい すべての開発者はgit- secretsを導⼊する 意図せずアクセス キーをGitにコミット することを防⽌でき る https://dev.classmethod.jp/artic les/startup-git-secrets/

  18. 18 Permissions Boundaryとは • IAMエンティティに追加で付 与できる • 元々のポリシー(アイデンティ ティベースポリシー)に加えて Permissions

    Boundaryで も許可されている権限しか実 ⾏できない • 作成するIAMにBoundaryを つけることを強要できる

  19. 19 セキュリティチェック

  20. 20 セキュリティチェック⽅法 • Security Hubはセキュリティチェック運⽤の理想形 • 直感的なスコア表⽰ • 無効化・例外の設定管理 •

    AWSが最新のベストプラクティスを適⽤ • 「AWS の基本的なセキュリティのベストプラクティスコント ロール(AWS Foundational Security Best Practices)」の ルールが優秀 • 現状30リソースタイプ・121種類のチェック • 更新頻度が⾼い(リリースから約1年半で13回更新) • ⾃動修復ソリューション • マルチアカウントの集約

  21. 21 直感的なスコア表⽰ 達成度が わかりや すい

  22. 22 無効化・例外の設定管理 ルール・リソース単位のステータス管理

  23. 23 対応リソースタイプ • ACM • Apigateway • AutoScaling • CloudFront

    • CloudTrail • CodeBuild • Config • DMS • DynamoDB • EC2 • ECS • EFS • ElasticBeanstalk • ELB • ELBv2 • EMR • ES • GuardDuty • IAM • KMS • Lambda • RDS • Redshift • S3 • SageMaker • SecretsManager • SNS • SQS • SSM • WAF

  24. 24 ⾃動修復ソリューション マルチアカ ウント連携 した修復の 仕組みを展 開できる

  25. 25 合わせて読みたい Security Hubの解 説とどんな⾵に運⽤ したらいいかをまと めています https://dev.classmethod. jp/articles/aws-security- operation-with-

    securityhub-2021/

  26. 26 合わせて読みたい Security Hubの 検出結果を1つの リージョンに集約 できるようになり ました 【アップデート】AWS Security

    Hub が検出 結果のリージョン集約 に対応しました https://dev.classmethod.jp/ articles/securityhub-region- aggregation-update/

  27. 27 脅威検知 インシデントレスポンス

  28. 28 Amazon GuardDutyとは • 脅威検知サービス • CloudTrail / VPC Flow

    Logs / DNS Logsをバッ クグラウンドで⾃動収集(利⽤者の⼿間なし) • ポチッと有効化するだけ • IAM / EC2 / S3に関するインシデントを検知 • 脅威インテリジェンスと連携 • 機械学習による異常識別

  29. 29 GuardDutyの検知内容(ほんの⼀部) • IAMタイプ • 不正ログイン • 漏洩したクレデンシャル利⽤ • CloudTrail無効化

    • EC2タイプ • コインマイニング • C&Cサーバー接続 • SSHブルートフォース(受信 or 送信) • S3タイプ • バケット公開 • Torアクセス

  30. 30 対応⽅法 GuardDutyのユー ザーガイドに検知 結果毎の対応⽅法 がわかりやすく記 載されている https://docs.aws.amazon.co m/ja_jp/guardduty/latest/u g/guardduty_finding-types-

    active.html

  31. 31 初動対応計画 • 検知結果毎ざっくり3種類準備しておく • IAMタイプ • 認証情報を無効化する • EC2タイプ

    • EC2を隔離、保全、調査する • 調査は得意な会社に依頼できる準備でもいい • S3タイプ • アクセス権限を絞る

  32. 32 IAMタイプの初動対応例 • IAM Userならアクセスキーを無効化・削除 • IAM Roleならセッションの無効化をポチ • CloudTrailで何をされたか調査

  33. 33 EC2タイプの初動対応例 Security Groupを 変更して隔離 (in/out無し) AMIバックアップ取 得 サーバーやストレー ジ調査(できれば、

    プロに任せたほうが いい)

  34. 34 合わせて読みたい セキュリティ会社の 実際のEC2調査の例 https://ierae.co.jp/bl og/awsec2-hdd- analytics/

  35. 35 S3タイプの初動対応例 パブリックアクセスブロックする

  36. 36 合わせて読みたい GuardDutyの解説と どんな⾵に運⽤した らいいかをまとめて います https://dev.classmethod.jp/articl es/aws-security-operation-with- guardduty-2021/

  37. 37 Amazon Detectiveとは • インシデント調査のサービス • VPC Flow Logs /

    CloudTrail / GuardDuty Findingsを⾃動で取り込む • わかりやすいグラフやマップで視覚化

  38. 38 つまりこれが…

  39. 39 こうじゃ︕

  40. 40 Detectiveのいいところ 内部のグラフDBで関連付けしてくれる

  41. 41 リソースの関連情報 リソースに関連す る情報を収集して リンクしてくれる 作成したユーザー や関連するイベン トを辿れる

  42. 42 API実⾏履歴 関連するAPIを 集計してくれる 絞り込みもでき る API実⾏者単位 やIP単位で確 認できる

  43. 43 直感的なマッピング どこから操作されているか GeoIPでマッピングしてくれ る

  44. 44 合わせて読みたい 実際の画⾯とともにガッ ツリデモしているブログ 動きを⾒ながらより対応 イメージを⾼めよう https://dev.classmethod.jp/articles/a mazon-detective-investigation-demo/

  45. 45 おまけ

  46. 46 合わせて読みたい AWS WAFがCAPTCHA できるようになりました 「わたしはロボットではあり ません」的なパズル (CAPTCHA)をAWS WAF で設定できるようになりまし

    た https://dev.classmethod.jp/articl es/aws-waf-captcha-support/

  47. 47 まとめ

  48. 48 まとめ • 脅威を理解し適切に対策していく • 防御だけでは⾜りない • 検知してからの対応も準備しておく

  49. 49