AWSのインシデントレスポンスはここまで進化した！Radware Cloud Native Protectorによるインシデント調査

Slide 1

Slide 1 text

AWSのインシデントレスポンスはここまで進化した︕ Radware Cloud Native Protectorによるインシデント調査 2021/08/27 ⾅⽥佳祐 1

Slide 2

Slide 2 text

2 まずはこいつを⾒てくれ

Slide 3

Slide 3 text

3 細かいことは置いといてすごく… わかりやすいです…

Slide 4

Slide 4 text

RadwareとCNPについてちょっとだけ Radwareの人から紹介

Slide 5

Slide 5 text

5 About Radware ⾦融世界Top 12為替取引所、8社世界Top 20銀⾏、10社リテール、オンラインビジネス世界Top 10リテール企業、5社通信キャリア、SaaSプロバイダー世界Top 10通信キャリア、10社世界Top 10SaaSプロバイダー、5社 30-35% 25-30% 35-40% Service Provider Finance / Government Enterprise 顧客数: 12,500社以上 • 日本法人設立：2000年（HQ＝イスラエル：1997年） • 株式上場：1999年（NASDAQ） • 売上：2億5,200万ドル（2019年度） • 従業員数：約1,100名（2020年） • 拠点数：世界35ヵ所 • パートナー • サイバーセキュリティ+ADC DDoS Wave Leader ADC MQ Leader + WAF MQ Visionary

Slide 6

Slide 6 text

6 Radware Solution Map (abstraction) Cloud Internet WAF DoS/DDoS Protection Servers API Abuse Account Takeover Denial of Inventory Scraping … OWASP10 -SQL Injection -XSS -CSRF … DoS/DDoS -HTTP/S Flood -Low&Slow -DNS DoS -Syn Flood … In the Cloud Protection

Slide 7

Slide 7 text

7 CNP: Multilayer Cloud Native Security üCloud Native üエージェントレス üPosture管理 ü継続監視と改善 üEasyな導入 üAdvanced Detection üAI相関分析

Slide 8

Slide 8 text

8 SERVICE FLOW Manual and automated response mechanisms for fast mitigation 1. METADATA AND LOGS Collection of configuration metadata, activity and network flow logs from the cloud environment Public exposure alerts and configuration hardening recommendations 4. CONFIGURATION WARNINGS 3. BREACH ALERTS Behavioral and Attack Surface analysis using cloud-based machine-learning algorithms RADWARE Upon detection of attacks as they evolve 2. AI ANALYSIS 5. RESPONSE

Slide 9

Slide 9 text

9 相関付けが重要 - Correlation 珍しいアクセスネットワークスキャン重要なリソースへのアクセス情報流出平均3−6ヶ月かけて実施ハイリスクな攻撃はステップが複雑かつ各ステップの間に間隔がある単⼀のイベントを検知できたとしても、それらを相関付けして全体像を捉えることが必要全体俯瞰の視点がないとただ1つのノイズが検知されて⾒過ごしてしまう

Slide 10

Slide 10 text

10 Airbnb – Success Story Environments Why we won Challenges • 25000 インスタンス • 少量のプロダクションアカウント & 数十の他アカウント • 数千のユーザがアクセス権を保持 • 月間3500テラバイトのFlowログ • 月間300テラバイトのCloudTrailログ • 秒間750万のログイベント • 膨大なログから生成されるアラート数 • AWS GuardDutyとの差別化 • Unknown Event • 誤検知率を抑える • 実際に不正アクションを検知 • Tor • ID/PWの不正利用 • 攻撃シナリオの実施と想定通りの検知 • 検知アルゴリズムのチューニング • Airbnb 検知&レスポンスチームとの密な連携 • 誤検知率が低かったこと Attack Scenarios • Networkサイドデータ流出（外部IP/異Portへ & Unknown AWS IP/異Portへ）データ流出（AirbnbコーポレートPublic/Private IPへ）データ流出（低速度での） DBからのデータ移動 • Cloudサイド EC2 Role不正利用（外部IPから & AWS内部から） S3データ流出（EC2 Role不正利用） S3データ不正入手（マシン内で）

Slide 11

Slide 11 text

11 ⾃⼰紹介⾅⽥佳祐クラスメソッド株式会社・AWS事業本部シニアソリューションアーキテクトセキュリティチームリーダー AWS公認インストラクター・Security-JAWS運営・好きなサービス: Amazon Detective みんなのAWS (技術評論社)

Slide 12

Slide 12 text

12 アジェンダ 1. AWS上の脅威と対策 2. GuardDutyとDetectiveでインシデント調査 3. Radware CNPでインシデント調査 4. まとめ

Slide 13

Slide 13 text

13 1. AWS上の脅威と対策

Slide 14

Slide 14 text

14 合わせて読みたい全般的なセキュリティ対策の細かい話はこちら https://dev.classmethod.jp/articles/enhanced-aws-security-in-cloud-shift/

Slide 15

Slide 15 text

15 ざっくり⼤事なこと • 守るものを明確にする • 事前の準備をしっかり • インシデントが起きたあとの体制も準備

Slide 16

Slide 16 text

16 AWS上で発⽣するインシデント • IAMアクセスキーの漏洩 • EC2を⼤量に⽴ててコインマイニング Ø アクセスキーをGitなどに保存しない Ø IAMベストプラクティスに従う • S3設定不備による不正アクセス • 情報漏えい • 改ざん Ø パブリックアクセスブロックを使う Ø 重要データ管理のアカウントを分離・監視強化する

Slide 17

Slide 17 text

17 設定管理と対応 • 危ない使い⽅はさせない(ガードレール) • SCP / Permission Boundaryによる禁⽌ • Security Hub / Config Rulesによる検知 • Config Rulesによる⾃動修復 • 利⽤ポリシー設計と教育の徹底 • 権限移譲の前に最低限の知識が必要 • 「IAM Userは使わない」「公開⽤S3は作らない」など決めて徹底する • IAMやS3の扱いに特に注意 • 抑制し過ぎは意味がないので注意

Slide 18

Slide 18 text

18 インシデントが発⽣したら • 発⽣したことを検知 • GuardDutyによる脅威検知 • ログと設定を調査 • CloudTrail / VPC Flow Logs / Config / アプリログなど • CloudWatch Logs / Athenaでログ調査 • Detectiveならエンティティ間の関連性がめっちゃわかる • 復旧・対策 • IAMクレデンシャル削除・EC2削除・ポリシー変更など • ガードレール整備・モニタリング・教育とか

Slide 19

Slide 19 text

19 2. GuardDutyとDetectiveでインシデント調査

Slide 20

Slide 20 text

20 AWSレイヤーを守るサービス • Amazon GuardDuty • AWSレイヤー・アプリレイヤー含めた脅威検知 • EC2が乗っ取られてコインマイニング • IAMが乗っ取られて不正操作 • Amazon Detective • GuardDutyで検知したイベントの調査 • エンティティを関連付けて辿れる • ログをわかりやすく可視化

Slide 21

Slide 21 text

21 デモ

Slide 22

Slide 22 text

22 GuardDutyによる検知 •対象 •時間 •リソースの状態 •などなど •これをベースにログを⾒ていく

Slide 23

Slide 23 text

23 Detectiveによる調査 •作成者 •位置情報 •実⾏した API •などなど •原因と影響範囲を確認

Slide 24

Slide 24 text

24 GuardDuty + Detectiveで調査が捗る • ログ分析やアラート仕掛けなくてもいい感じに脅威を検知してくれる • 関連情報洗い出してくれる • エンティティ間をリンクしてくれて辿りやすい • 影響範囲がわかりやすい • でも原因まで辿るのは⼀発ではない

Slide 25

Slide 25 text

25 合わせて読みたい「ついに来た︕Amazon Detectiveでセキュリティインシデントの調査がちょー捗るからまずやってみよう」という内容で動画投稿しました #devio2020 https://dev.classmethod.jp/articles/amazon-detective-investigation-demo/

Slide 26

Slide 26 text

26 3. Radware CNPでインシデント調査

Slide 27

Slide 27 text

27 とにかく調査が捗る • わかりやすいフロー図を作ってくれる • ⼀発でインシデントの元がわかる • 派⽣した⼀連の流れがわかる • 勝つる

Slide 28

Slide 28 text

28 デモ

Slide 29

Slide 29 text

29 派⽣した元を辿る何からインシデントが始まったかわかる

Slide 30

Slide 30 text

30 関連するイベントを時系列にいつ何が起きたかひと⽬で分かる

Slide 31

Slide 31 text

31 権限昇格も辿れるアタッチされたポリシーもわかる

Slide 32

Slide 32 text

32 調査フェーズもまとめてくれる攻撃の予兆も拾ってくれる

Slide 33

Slide 33 text

33 合わせて読みたい AWS上のインシデントをわかりやすいフロー図にして可視化できる Radware Cloud Native Protectorを使って攻撃された痕跡を調査してみた https://dev.classmethod.jp/articles/getting- start-radware-cloud-native-protector/ AWSでコインマイニングされた原因をRadware CNPのフロー図でわかりやすく調査してみた https://dev.classmethod.jp/articles/investig ate-coin-mining-with-radware-cnp/

Slide 34

Slide 34 text

34 4. まとめ

Slide 35

Slide 35 text

35 まとめ • 事前事後の対策をしっかり • GuardDutyとDetectiveを有効化 • 調査をもっと捗らせたいならRadware Cloud Native Protector検討しよう