Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
AWSアカウントの セキュリティインシデント調査どうする? Amazon Detectiveを利⽤した調査の勘所 2021/06/25 ⾅⽥佳祐 1
Slide 2
Slide 2 text
2 ⾃⼰紹介 ⾅⽥佳祐 クラスメソッド株式会社 ・AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター ・Security-JAWS運営 ・好きなサービス: Amazon Detective みんなのAWS (技術評論社)
Slide 3
Slide 3 text
3 アジェンダ 1. AWSのセキュリティとは 2. Amazon Detectiveで解決する問題 3. Amazon Detectiveの勘所
Slide 4
Slide 4 text
4 1. AWSのセキュリティとは
Slide 5
Slide 5 text
5 突然ですが質問です SEC 6: コンピューティングリソースを どのように保護していますか?
Slide 6
Slide 6 text
6 質問続き SEC 7: どのようにデータを分類していますか?
Slide 7
Slide 7 text
7 これらの質問は︖ すべてWell-Architectedフレームワーク セキュリティ の柱の質問 セキュリティの柱は7つの設計原則と6つのベストプラ クティスがあり質問は10個あります それぞれの質問を⾃分の組織に当てはめて考えます
Slide 8
Slide 8 text
8 SEC6のベストプラクティス SEC 6: コンピューティングリソースをどのように保護 していますか? • 脆弱性管理を実⾏する • 攻撃領域を削減する • マネージドサービスを活⽤する • コンピューティング保護を⾃動化する • ユーザーが遠距離でアクションを実⾏できるように する • ソフトウェアの整合性を検証する
Slide 9
Slide 9 text
9 SEC7のベストプラクティス SEC 7: どのようにデータを分類していますか? • ワークロード内のデータを特定する • データ保護コントロールを定義する • 識別及び分類を⾃動化する • データライフサイクル管理を定義する
Slide 10
Slide 10 text
10 AWSセキュリティの進め⽅ いろんなアプローチがあります Well-Architectedフレームワークの質問を使ってチー ムで議論を始めてみるのはいかがですか︖ 幅広い内容について検討できます 最近はPDFよりHTMLで⾒るといい 質問は個別リンクで詳細を確認できる https://wa.aws.amazon.com/wat.pillar.security.ja.html
Slide 11
Slide 11 text
11 本題の質問1 SEC 4: セキュリティイベントを どのように検出し、調査していますか︖
Slide 12
Slide 12 text
12 本題の質問2 SEC 10: インシデントの 予測、対応、復旧はどのように⾏いますか?
Slide 13
Slide 13 text
13 SEC4のベストプラクティス SEC 4: セキュリティイベントをどのように検出し、調 査していますか︖ • サービスとアプリケーションのログ記録を設定する • ログ、結果、メトリクスを⼀元的に分析する • イベントへの応答を⾃動化する • 実⽤的なセキュリティイベントを実装する
Slide 14
Slide 14 text
14 SEC10のベストプラクティス SEC 10: インシデントの予測、対応、復旧はどのように⾏い ますか? • 重要な⼈員と外部リソースを特定する • インシデント管理計画を作成する • フォレンジック機能を備える • 封じ込め機能を⾃動化する • アクセスを事前にプロビジョニングする • ツールを事前にデプロイする • ゲームデーを実施する
Slide 15
Slide 15 text
15 インシデント対応の⼼構え • 「AWSの」とか「IAMの」セキュリティだけ考えれ ばいいわけではない • ワークロード全体・ビジネス全体・会社全体でWell- Architectedの考え⽅を活⽤する • インシデントの⼀部はAmazon GuardDutyで検知 できる
Slide 16
Slide 16 text
16 GuardDtuyによるAWS上の脅威検知 • GuardDutyで検知するAWS上のインシデント • EC2でコインマイニング • IAMアクセスキーの不正利⽤ • ブルートフォース • 怪しいIPからの通信 • S3バケットが公開される • などなど
Slide 17
Slide 17 text
17 GuardDutyをトリガーとするインシデント対応フロー 1. GuardDutyによるインシデント検知 2. CloudTrail / VPC Flow Logs / Athenaなどによ るログ調査 3. インシデントの優先度判断 4. 影響範囲の確認 5. インシデント対応
Slide 18
Slide 18 text
18 GuardDutyをトリガーとするインシデント対応フロー 1. GuardDutyによるイベント検知 2. CloudTrail / VPC Flow Logs / Athenaなどによ るログ調査 ← ここ 3. インシデントの優先度判断 4. 影響範囲の確認 5. インシデント対応 Amazon Detectiveで簡単に調査できる
Slide 19
Slide 19 text
19 2. Amazon Detectiveで解決する問題
Slide 20
Slide 20 text
20 Amazon Detectiveとは これが…
Slide 21
Slide 21 text
21 Amazon Detectiveとは こうじゃ︕
Slide 22
Slide 22 text
22 Amazon Detectiveとは • インシデント対応フローの「調査」の役割 • 従来はCloudTrailやVPCフローログなど各種ログを ⾃分で集めて、Athenaやエクセルなどで⾃分で分析 する必要があった • VPC Flow Logs / CloudTrail / GuardDuty Findingsを⾃動で取り込む • 各エンティティ間を⾃動で関連付け • わかりやすいグラフやマップで視覚化
Slide 23
Slide 23 text
23 つまり 調査がめっちゃ捗る︕
Slide 24
Slide 24 text
24 3. Amazon Detectiveの勘所
Slide 25
Slide 25 text
25 勘所の説明 • 全般的なDetectiveの使い⽅ • コインマイニング • S3データアクセス
Slide 26
Slide 26 text
26 合わせて読みたい(⾒たい) 動画でわかり易く説 明してある 画⾯がやや古い(そん なに気にする必要は ない) https://dev.classmethod.jp/articles/amazon-detective-investigation-demo/
Slide 27
Slide 27 text
27 Detectiveの使い⽅ GuardDutyのFindingsから開く
Slide 28
Slide 28 text
28 Detectiveの使い⽅ インシデントの関連エンティティをたどる
Slide 29
Slide 29 text
29 Detectiveの使い⽅ API実⾏履歴や通信記録を確認
Slide 30
Slide 30 text
30 Detectiveの使い⽅ Geoロケーションの可視化
Slide 31
Slide 31 text
31 コインマイニングの対応 • GuardDuty Findings 「CryptoCurrency:EC2/BitcoinTool.B」など • データソース: VPCフローログ / DNSログ • 100%マイニングされていると思っていい • なぜマイニングされるのか︖ • IAMが乗っ取られている • EC2が乗っ取られている • どちらかで調査する先や対応が変わる
Slide 32
Slide 32 text
32 コインマイニングの対応 EC2をいつ誰が作ったか確認 ユーザーに⾒覚えがあるか ユーザー所有者に実態確認
Slide 33
Slide 33 text
33 コインマイニングの対応 • ユーザーがいつ作られたか • 誰が作ったか • 攻撃者が作ったなら更にその元をたどる • どこからクレデンシャルが漏洩したのかたどる • IAMユーザーのアクセスキーか • EC2などのIAMロールの⼀時クレデンシャルか • 漏洩したクレデンシャルの削除・無効化する
Slide 34
Slide 34 text
34 コインマイニングの対応 クレデンシャルから作成者と作成⽇が確認
Slide 35
Slide 35 text
35 コインマイニングの対応 ユーザーの他の作業を確認(影響範囲)
Slide 36
Slide 36 text
36 コインマイニングの対応 • 既存EC2ならAMIバックアップ + Security Group による隔離 • 動いているコンピューティングリソースが直接料⾦ に繋がるので最低限の保全と調査が終わり次第殆ど は消す • すべてのリージョンで確認する
Slide 37
Slide 37 text
37 S3データアクセス • GuardDuty Findings 「PenTest:S3/KaliLinux」など • データソース: S3データアクセス • S3のデータに対して怪しいアクセスが来ている • 公開しているバケットなのか︖ • 公開しているデータなのか︖
Slide 38
Slide 38 text
38 S3データアクセス • Detectiveで調査する⽅法は︖ • ない • サポートされている検索結果タイプ • https://docs.aws.amazon.com/ja_jp/detective/lates t/userguide/supported-finding-types.html • GuardDutyで検知まではしてくれる • S3データアクセスはCloudTrailで追加で取得する必 要がある
Slide 39
Slide 39 text
39 準備が⼤切 • 有効化するもの • CloudTrail • GuardDuty • Detective • 他にもいろいろ • 重要データを保管するS3があるなら • CloudTrailデータイベント • S3にログを保管するなら • 別AWSアカウントに集約 • S3オブジェクトロック / SCP
Slide 40
Slide 40 text
40 まとめ
Slide 41
Slide 41 text
41 まとめ • Well-Architectedフレームワークを活⽤する • Detectiveはいいぞ︕ • 準備をしっかり
Slide 42
Slide 42 text
42