クラウドセキュリティとの付き合い方 / wakate.org 2022

Transcript

1. クラウドセキュリティとの 付き合い方♥ @第55回情報科学若手の会 2022-09-24

2. こんにちは 小笠原 清志 画像 2017年度 CyberAgent ジョイン System Security 推進

   Group @gassara-kys FortniteやSplatoon3の修行をしています @gassara5

3. 普段のお仕事 セキュリティインシデント対応 RISKENの開発/運用 脅威モデリング

4. お話する内容 • 本日お伝えしたいこと • 脅威シナリオ • ツールの活用 • まとめ

5. 本日お伝えしたいこと

6. 目的 パブリッククラウドの脅威シナリオの解像 度を上げる

7. 気づかないうちに脆弱性を作り込むことも、、、

8. 想像力 • セキュリティのプラクティス(Basic Design Pattern)を知っていて、そ こからどれだけ乖離しているか？という視点 • MITERのATT&CKフレームワークなどの攻撃手法やパターン、モチベー ションの有無などの攻撃者視点 •

   過去のセキュリティインシデント事例を知っていて、それらと類似し ているか？という視点

9. MITRE ATT&CK https://attack.mitre.org/matrices/enterprise/cloud/iaas/

10. MITRE ATT&CK https://attack.mitre.org/matrices/enterprise/cloud/iaas/ どうやって入っ てくるか

11. MITRE ATT&CK https://attack.mitre.org/matrices/enterprise/cloud/iaas/ 入った後なにさ れるか

12. MITRE ATT&CK https://attack.mitre.org/matrices/enterprise/cloud/iaas/ 最終的にどんな損 害があるか

13. 脅威シナリオ

14. cloud-accountの漏洩 脅威アクター 侵入 IAMキー入手 （経路不問） サービス停止 データ漏えい ・破壊 キー作成 CSP

15. cloud-accountの漏洩 • 世界的に最も多いインシデントのパターン • IAMに許可された権限次第ではかなりのインパクトがある • セキュリティのプラクティスとしては必要最小権限にするというのが あるが、実態は結構守られてないケースも？

16. cloud-accountの漏洩 • IAMの仕組みは汎用性が高い反面、複雑で認知負荷が高め • 例えばAWS IAMの認可の評価ロジックは以下 • 「えいや！」で強めの権限をつけがち(consider the human

    factor) https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

17. cloud-accountの漏洩（どう対処する？） • 漏洩する恐れのあるIAMキーに着目する • そもそもキーの発行自体を可能な限りなくす • IAMに管理者権限などがついてないかを見る • 管理権限がある場合にはMFAを有効にする ◦

    Uberのsecurity updateではそれすら突破されたという事例も • キーの保存場所は安全かを確認する（例えばpublicなソースコードリ ポジトリに存在しないか、など）

18. public-facing appへの攻撃 脅威アクター PublicFacing マイニング バックドア データ漏えい ・NW設定ミス ・脆弱性バージョン ・認証設定ミス

    ・SSRF攻撃 ・RCE 侵入 CSP

19. public-facing appへの攻撃 • これもよくあるパターン • クラウドの場合は例えばSSRF攻撃などでmeta-data APIを叩かれ認証 情報（IAM）を取得されることがある • 特にCICD環境の場合、対象コンポーネントに強い権限が紐付いてる

    ケースが多いので注意が必要

20. public-facing appへの攻撃（どう対処する？） • public-facingなコンポーネントに着目する • アプリケーションの前段に認証などを挟む ◦ AWSだとALB＋Cognitoとか ◦ GCPであればIAPとか

    • WAFは、、、

21. Meow Attack ①全データ削除 ②謎のメモを残す... index.html 脅威アクター

22. Meow Attack • 2020年頃に世界中で流行っていた攻撃 • データがすべて削除されるという脅威 • 保存されていたデータによってはインパクト大 • バックアップなどの設定がなく復元できない場合はビジネス継続不能

    になることも、、、？

23. Meow Attack（どう対処する？） • 重要なデータがどこに保存されているか特定する • バックアップやバージョニングを有効にして復元可能な状態にする • データストアのNW境界を確認する • パブリックアクセスを有効にしている場合は、特に「書き込み権限」

    まで許可していないか確認する（基本いらないハズ） ◦ バックアップも含めて削除される場合もある ◦ 本当にクリティカルなものはオブジェクトロックやDR

24. AbuseReport 開発業務 エンジニア 開発環境 Bank of America 踏み台 サービス 停止攻撃

    💢 脅威アクター CSP

25. AbuseReport • 例えば意図せず公開プロキシ状態になっているサーバがあり、他サー ビスに対するDDoS攻撃に加担してしまっているケース • それ自体も怖い話だが、もっと恐ろしいのがAWSからのAbuseReport https://aws.amazon.com/jp/premiumsupport/knowledge-center/aws-abuse-report/

26. AbuseReport（どう対処する？） • なんとしても24h以内に返信する • メールとかで来るので意外に気付きづらい（連休中とかの場合は特 に）

27. sub-domain takeover ユーザ オリジンコ ンテンツ 配信 your-bucket.s3-region.amazo naws.com your-bucket.s3-region.amazo naws.com

    takeover CSP

28. sub-domain takeover • 自分たちのドメインでマルウェア配布したり、フィッシングサイトへ リダイレクトするような事態に、、、 • ブラックリストに登録されてしまったら死

29. sub-domain takeover（どう対処する？） • takeoverリスクのあるサービスを認識する • そのドメインを手放す場合は、DNSのCNAMEレコードの削除もあわせ て行う

30. ツールの活用

31. ツールの利用 • サービスの規模が大きくなったり（人が増えたり）、扱うクラウド環 境が増えてくるとだんだん管理できなくなってきます • そうなってきたらセキュリティのマネージドサービスやOSSのツール を積極的に使っていくのが良いと思います

32. ツールの利用（AWS） • Amazon GuardDuty • AWS IAM AccessAnalyzer • trivy

    • cloudbase • wiz など、、、

33. ツールの利用（GCP） • Security Command Center • Asset API • forseti

    • wiz • gcpdiag など、、、

34. ツールの利用（宣伝） • RISKEN ◦ https://youtu.be/WelZGaWnLaM ◦ https://developers.cyberagent.co.jp/blog/archives/35053/

35. ツールの利用（メリット） • セキュリティのプラクティスをそこから学ぶことができる • 網羅的にセキュリティの状態を評価してくれる • 継続的にスキャンが可能（再現的） • 評価の一貫性

36. まとめ

37. まとめ • 脅威インテリジェンスをうまく活用する📖 • 人間の限界を感じたら有効なツールを積極的に採用する 🤖 • クラウド上の開発を楽しむ💪

38. ご視聴ありがとうございました