Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security HubとGuardDutyで予防的統制と発見的統制を運用する

Security HubとGuardDutyで予防的統制と発見的統制を運用する

以下ブログ用資料です。
https://dev.classmethod.jp/articles/22020128_jawsug_nagoya_security_control/

以下イベントでの登壇資料です。
JAWS-UG 名古屋 あけましておめでとう! セキュリティで始める2022年!!
https://jawsug-nagoya.doorkeeper.jp/events/132210

cm-usuda-keisuke

January 28, 2022
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. 12 簡単に始める • 予防的統制 -> AWS Security Hub • 危ない設定を⾒つけてくれる︕

    • 発⾒的統制 -> Amazon GuardDuty • 事故が起きたり、怪しい動きがあったら知らせてくれ る︕
  2. 15 実際のインシデントの事例 GitHubに乗ってから10分で悪⽤された No 時間 状況 1 00:00 お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジ トリにPush

    2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる 3 00:30 AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏 洩した旨、および、対応⽅法をご連絡(電話、メール) 4 01:00 当該キー経由で作成されたリソースを全て削除 5 XX:XX IAMユーザーのアクセスキーをローテーション 5 XX:XX IAMユーザーのパスワードをローテーション
  3. 19 AWS Security Hubとは • 2つの役割 • AWS上やサードパーティからセキュリティのイベントを 集約 •

    AWS上の危ない設定をチェックして危険がないか知らせ てくれる • 特にセキュリティチェックが強⼒
  4. 21 セキュリティチェック⽅法 • Security Hubはセキュリティチェック運⽤の理想形 • 直感的なスコア表⽰ • 無効化・例外の設定管理 •

    AWSが最新のベストプラクティスを適⽤ • 「AWS の基本的なセキュリティのベストプラクティスコント ロール(AWS Foundational Security Best Practices)」の ルールが優秀 • 現状30リソースタイプ・121種類のチェック • 更新頻度が⾼い(リリースから約1年半で13回更新) • ⾃動修復ソリューション • マルチアカウントの集約
  5. 23 対応リソースタイプ • ACM • APIGateway • AutoScaling • CloudFront

    • CloudTrail • CodeBuild • Config • DMS • DynamoDB • EC2 • ECS • EFS • ElasticBeanstalk • ELB • ELBv2 • EMR • ES • GuardDuty • IAM • KMS • Lambda • RDS • Redshift • S3 • SageMaker • SecretsManager • SNS • SQS • SSM • WAF
  6. 24 Security Hubの運⽤ポイント • 全AWSアカウント全リージョンで有効化 • 東京リージョンに集約 • 「AWSの基本的なセキュリティのベストプラクティス」 を適⽤する

    • ⾒つかる問題を解決する • 新しい問題が出たら通知する • みんなが⾒える場所に通知してみんなで直す • スコアが⾒えるのでみんなで達成しやすい
  7. 28 Amazon GuardDutyとは • 脅威検知サービス • CloudTrail / VPC Flow

    Logs / DNS Logsをバッ クグラウンドで⾃動収集(利⽤者の⼿間なし) • ポチッと有効化するだけ • IAM / EC2 / S3に関するインシデントを検知 • 脅威インテリジェンスと連携 • 機械学習による異常識別
  8. 29 GuardDutyの検知内容(ほんの⼀部) • IAMタイプ • 不正ログイン • 漏洩したクレデンシャル利⽤ • CloudTrail無効化

    • EC2タイプ • コインマイニング • C&Cサーバー接続 • SSHブルートフォース(受信 or 送信) • S3タイプ • バケット公開 • Torアクセス
  9. 31 初動対応計画 • 検知結果毎ざっくり3種類準備しておく • IAMタイプ • 認証情報を無効化する • EC2タイプ

    • EC2を隔離、保全、調査する • 調査は得意な会社に依頼できる準備でもいい • S3タイプ • アクセス権限を絞る
  10. 43