Slide 1

Slide 1 text

AWSを攻撃したらこうなるので ちゃんと対策しようねって話 2021/11/11 うすだけいすけ

Slide 2

Slide 2 text

2 ⾃⼰紹介 ⾅⽥佳祐 ・クラスメソッド株式会社 AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター ・Security-JAWS運営 ・好きなサービス: Amazon Detective みんなのAWS (技術評論社)

Slide 3

Slide 3 text

3 セッションテーマ 脅威を理解し 適切に対策してもらう

Slide 4

Slide 4 text

4 AWSの環境を攻撃されたらどうなるの︖

Slide 5

Slide 5 text

5 資⾦や情報がサヨウナラ 💸 < さようなら 📄 < サヨウナラ

Slide 6

Slide 6 text

6 攻撃の⼀例

Slide 7

Slide 7 text

7 合わせて読みたい 休⽇まる1⽇ 使って実際にイ ンシデントが起 きた環境を調査 するイベントを やりました https://dev.classmethod .jp/articles/review- security-camp-and- tigersecjaws-02/

Slide 8

Slide 8 text

8 攻撃の⼀例 こうなって…

Slide 9

Slide 9 text

9 攻撃の⼀例 こうなるんじゃ

Slide 10

Slide 10 text

10 AWSのセキュリティ対策には AWSの脅威を知る必要がある

Slide 11

Slide 11 text

11 AWSの脅威 • 誤った情報の公開・アクセス許可 • AWSはローカルPCの環境や社内の検証環境ではない • 簡単に外部に公開して迅速に展開できる基盤 • 権限不備で情報漏えいが起きたり • 不正な攻撃者がアカウントを乗っ取ることも • 資⾦の浪費 • 従量課⾦で安く使い始められるけど、適切に管理しない と請求がすごいことに

Slide 12

Slide 12 text

12 実際のインシデントの事例 実際にアクセス キーが漏洩した ときに何が起き たか記録したブ ログ https://dev.class method.jp/articl es/accesskey- leak/

Slide 13

Slide 13 text

13 実際のインシデントの事例 GitHubに乗ってから10分で悪⽤された No 時間 状況 1 00:00 お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジ トリにPush 2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる 3 00:30 AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏 洩した旨、および、対応⽅法をご連絡(電話、メール) 4 01:00 当該キー経由で作成されたリソースを全て削除 5 XX:XX IAMユーザーのアクセスキーをローテーション 5 XX:XX IAMユーザーのパスワードをローテーション

Slide 14

Slide 14 text

14 対策

Slide 15

Slide 15 text

15 合わせて読みたい セキュリティ対策 はだいたいここに 全部ある https://dev.classmethod.jp /articles/aws-security-all- in-one-2021/

Slide 16

Slide 16 text

16 IAM

Slide 17

Slide 17 text

17 合わせて読みたい すべての開発者はgit- secretsを導⼊する 意図せずアクセス キーをGitにコミット することを防⽌でき る https://dev.classmethod.jp/artic les/startup-git-secrets/

Slide 18

Slide 18 text

18 Permissions Boundaryとは • IAMエンティティに追加で付 与できる • 元々のポリシー(アイデンティ ティベースポリシー)に加えて Permissions Boundaryで も許可されている権限しか実 ⾏できない • 作成するIAMにBoundaryを つけることを強要できる

Slide 19

Slide 19 text

19 セキュリティチェック

Slide 20

Slide 20 text

20 セキュリティチェック⽅法 • Security Hubはセキュリティチェック運⽤の理想形 • 直感的なスコア表⽰ • 無効化・例外の設定管理 • AWSが最新のベストプラクティスを適⽤ • 「AWS の基本的なセキュリティのベストプラクティスコント ロール(AWS Foundational Security Best Practices)」の ルールが優秀 • 現状30リソースタイプ・121種類のチェック • 更新頻度が⾼い(リリースから約1年半で13回更新) • ⾃動修復ソリューション • マルチアカウントの集約

Slide 21

Slide 21 text

21 直感的なスコア表⽰ 達成度が わかりや すい

Slide 22

Slide 22 text

22 無効化・例外の設定管理 ルール・リソース単位のステータス管理

Slide 23

Slide 23 text

23 対応リソースタイプ • ACM • Apigateway • AutoScaling • CloudFront • CloudTrail • CodeBuild • Config • DMS • DynamoDB • EC2 • ECS • EFS • ElasticBeanstalk • ELB • ELBv2 • EMR • ES • GuardDuty • IAM • KMS • Lambda • RDS • Redshift • S3 • SageMaker • SecretsManager • SNS • SQS • SSM • WAF

Slide 24

Slide 24 text

24 ⾃動修復ソリューション マルチアカ ウント連携 した修復の 仕組みを展 開できる

Slide 25

Slide 25 text

25 合わせて読みたい Security Hubの解 説とどんな⾵に運⽤ したらいいかをまと めています https://dev.classmethod. jp/articles/aws-security- operation-with- securityhub-2021/

Slide 26

Slide 26 text

26 合わせて読みたい Security Hubの 検出結果を1つの リージョンに集約 できるようになり ました 【アップデート】AWS Security Hub が検出 結果のリージョン集約 に対応しました https://dev.classmethod.jp/ articles/securityhub-region- aggregation-update/

Slide 27

Slide 27 text

27 脅威検知 インシデントレスポンス

Slide 28

Slide 28 text

28 Amazon GuardDutyとは • 脅威検知サービス • CloudTrail / VPC Flow Logs / DNS Logsをバッ クグラウンドで⾃動収集(利⽤者の⼿間なし) • ポチッと有効化するだけ • IAM / EC2 / S3に関するインシデントを検知 • 脅威インテリジェンスと連携 • 機械学習による異常識別

Slide 29

Slide 29 text

29 GuardDutyの検知内容(ほんの⼀部) • IAMタイプ • 不正ログイン • 漏洩したクレデンシャル利⽤ • CloudTrail無効化 • EC2タイプ • コインマイニング • C&Cサーバー接続 • SSHブルートフォース(受信 or 送信) • S3タイプ • バケット公開 • Torアクセス

Slide 30

Slide 30 text

30 対応⽅法 GuardDutyのユー ザーガイドに検知 結果毎の対応⽅法 がわかりやすく記 載されている https://docs.aws.amazon.co m/ja_jp/guardduty/latest/u g/guardduty_finding-types- active.html

Slide 31

Slide 31 text

31 初動対応計画 • 検知結果毎ざっくり3種類準備しておく • IAMタイプ • 認証情報を無効化する • EC2タイプ • EC2を隔離、保全、調査する • 調査は得意な会社に依頼できる準備でもいい • S3タイプ • アクセス権限を絞る

Slide 32

Slide 32 text

32 IAMタイプの初動対応例 • IAM Userならアクセスキーを無効化・削除 • IAM Roleならセッションの無効化をポチ • CloudTrailで何をされたか調査

Slide 33

Slide 33 text

33 EC2タイプの初動対応例 Security Groupを 変更して隔離 (in/out無し) AMIバックアップ取 得 サーバーやストレー ジ調査(できれば、 プロに任せたほうが いい)

Slide 34

Slide 34 text

34 合わせて読みたい セキュリティ会社の 実際のEC2調査の例 https://ierae.co.jp/bl og/awsec2-hdd- analytics/

Slide 35

Slide 35 text

35 S3タイプの初動対応例 パブリックアクセスブロックする

Slide 36

Slide 36 text

36 合わせて読みたい GuardDutyの解説と どんな⾵に運⽤した らいいかをまとめて います https://dev.classmethod.jp/articl es/aws-security-operation-with- guardduty-2021/

Slide 37

Slide 37 text

37 Amazon Detectiveとは • インシデント調査のサービス • VPC Flow Logs / CloudTrail / GuardDuty Findingsを⾃動で取り込む • わかりやすいグラフやマップで視覚化

Slide 38

Slide 38 text

38 つまりこれが…

Slide 39

Slide 39 text

39 こうじゃ︕

Slide 40

Slide 40 text

40 Detectiveのいいところ 内部のグラフDBで関連付けしてくれる

Slide 41

Slide 41 text

41 リソースの関連情報 リソースに関連す る情報を収集して リンクしてくれる 作成したユーザー や関連するイベン トを辿れる

Slide 42

Slide 42 text

42 API実⾏履歴 関連するAPIを 集計してくれる 絞り込みもでき る API実⾏者単位 やIP単位で確 認できる

Slide 43

Slide 43 text

43 直感的なマッピング どこから操作されているか GeoIPでマッピングしてくれ る

Slide 44

Slide 44 text

44 合わせて読みたい 実際の画⾯とともにガッ ツリデモしているブログ 動きを⾒ながらより対応 イメージを⾼めよう https://dev.classmethod.jp/articles/a mazon-detective-investigation-demo/

Slide 45

Slide 45 text

45 おまけ

Slide 46

Slide 46 text

46 合わせて読みたい AWS WAFがCAPTCHA できるようになりました 「わたしはロボットではあり ません」的なパズル (CAPTCHA)をAWS WAF で設定できるようになりまし た https://dev.classmethod.jp/articl es/aws-waf-captcha-support/

Slide 47

Slide 47 text

47 まとめ

Slide 48

Slide 48 text

48 まとめ • 脅威を理解し適切に対策していく • 防御だけでは⾜りない • 検知してからの対応も準備しておく

Slide 49

Slide 49 text

49