Slide 1
Slide 1 text
1
セキュリティ系SaaSを紹介するぜ
〜
NDRで脅威ハント by ExtraHop
Slide 2
Slide 2 text
2
自己紹介
酒井 剛(Takeshi Sakai)
● アライアンス統括部 テックG
● セキュリティ系SaaS製品
Sumo Logic、Cloudflare Zero Trust
● 2022年4月入社
● 前職では、EDR/CloudSWG導入、CSIRT
● Nagios/Cacti、インフラエンジニア
● 趣味:ケーキ作り、キャンプ
Slide 3
Slide 3 text
ExtraHopとは 3
Slide 4
Slide 4 text
ExtraHopとは 4
● NDR (Network Detective & Response):
ネットワーク検知と対処
● SaaS型:Reveal (x) 360
● セルフマネージド型:Reveal (x)
Slide 5
Slide 5 text
ExtraHopとは 5
NDR
● PCAP パケット 、フローデータ
● リアルタイムインスペクション
● レイヤー2からレイヤー7の情報をもとに脅威、異常な振る舞
い、リスクのあるアクションを検知
● 行動分析、機械学習
● フォレンジックレベルでの証跡を保存
● インシデントの範囲を知る
Slide 6
Slide 6 text
ExtraHopとは 6
IDS (侵入検知システム)vs NDR
IDS NDR
シグネチャベース(既知) 機械学習、シグネチャ(既知 + 未知)
境界型(North - South) ゼロトラスト(North - South + East - West)
表面的な検知情報のみ 前後の動作や関連するイベントなどの深いイン
サイト
既知の攻撃を防ぐことが目的 根本原因や影響範囲に着眼して対処することが
目的
Slide 7
Slide 7 text
ExtraHopの特徴 7
● アセットを自動識別し、重要性を推測
● エンティティ間の通信をプロトコル毎にマップ
● パケットやフローデータを機械学習で解析して、ステルス性の
あるマルウェアやロー&スロー攻撃に対処 (*次ページ補足)
● 独自の脅威インテリジェンスを用いたスコアづけ、資産の重要
性に基づいたコンテキスト化により、トリアージと対応を容易
にする
● 90日間のデータ保持(Reveal (x) 360)
Slide 8
Slide 8 text
ロー&スロー攻撃とは
補足 8
Slide 9
Slide 9 text
ロー&スロー攻撃とは
補足 9
Slide 10
Slide 10 text
やってみる 10
やってみる
Slide 11
Slide 11 text
デモ環境へのアクセス 11
Slide 12
Slide 12 text
デモ環境へのアクセス 12
Slide 13
Slide 13 text
デモ環境へのアクセス 13
Slide 14
Slide 14 text
デモ環境へのアクセス 14
Slide 15
Slide 15 text
シミュレーションを試してみる 15
シミュレーションを
試してみる
Slide 16
Slide 16 text
DEFENDING THE CLOUD 16
Slide 17
Slide 17 text
DEFENDING THE CLOUD 17
シナリオの説明が表示
データがAWS S3へ抜き取られ
る攻撃をNDRの機能を使って脅
威ハンティング
Slide 18
Slide 18 text
DEFENDING THE CLOUD 18
Slide 19
Slide 19 text
DEFENDING THE CLOUD 19
” AWS ウェブサーバーは、Amazon Elastic Compute Cloud (EC2) インスタンスの
メタデータに関連するメッセージを中継しました。メッセージは、クライアントとイ
ンスタンス メタデータ サービス (IMDS) の間で中継されました。この動作は、攻撃者
が EC2 インスタンスを操作して、Identity and Access Management (IAM) ロール
資格情報など、インスタンスに関連するセキュリティ情報を含むインスタンス メタ
データにアクセスするためのプロキシとして機能させたことを示しています。”
Slide 20
Slide 20 text
DEFENDING THE CLOUD 20
” AWS ウェブサーバーは、Amazon Elastic Compute Cloud (EC2) インスタンスの
メタデータに関連するメッセージを中継しました。メッセージは、クライアントとイ
ンスタンス メタデータ サービス (IMDS) の間で中継されました。この動作は、攻撃者
が EC2 インスタンスを操作して、Identity and Access Management (IAM) ロール
資格情報など、インスタンスに関連するセキュリティ情報を含むインスタンス メタ
データにアクセスするためのプロキシとして機能させたことを示しています。”
http://169.254.169.254/latest/meta-data/
Slide 21
Slide 21 text
DEFENDING THE CLOUD 21
SSRF(Server Side Request Forgery)を原理
とした攻撃
外部から直接アクセスできない内部サーバーの
情報を、公開ウェブサーバーなどのアプリケー
ション脆弱性を悪用して不正に取得
AWSのIMDSを悪用したSSRF攻
撃:https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-
forgery.html
IMDSv2:https://dev.classmethod.jp/articles/ec2-imdsv2-release/
Slide 22
Slide 22 text
DEFENDING THE CLOUD 22
Slide 23
Slide 23 text
DEFENDING THE CLOUD 23
Slide 24
Slide 24 text
DEFENDING THE CLOUD 24
” ip-172-16-0-4.us-west-2.compute.internal (172.16.0.4) は、外部エンドポイ
ント 54.184.0.202 (54.184.0.202) によってリバース SSH シェルを介してリモート
で制御されているようです。この動作は、
ip-172-16-0-4.us-west-2.compute.internal (172.16.0.4) がローカル ネットワー
ク外のユーザーによって侵害されたことを示しています。”
Slide 25
Slide 25 text
DEFENDING THE CLOUD 25
FWなどでインバウンドアクセス制御がされて
いる環境
内側のSSHクライアント(Vitctim)が外側の
SSHサーバー(Offender)にSSHリモート
フォワーディングのような仕組みを利用し
て、他の内側のシステムのSSHシェルを実行
他のシ
ステム
Slide 26
Slide 26 text
DEFENDING THE CLOUD 26
Slide 27
Slide 27 text
DEFENDING THE CLOUD 27
Slide 28
Slide 28 text
DEFENDING THE CLOUD 28
” 異常に多数のアマゾン ウェブ サービス (AWS) クラウド サービスに接続されている
Bastion SSH サーバー。攻撃者は、悪用できる AWS サービスを特定しようとしている
可能性があります。”
Slide 29
Slide 29 text
DEFENDING THE CLOUD 29
Slide 30
Slide 30 text
DEFENDING THE CLOUD 30
Slide 31
Slide 31 text
DEFENDING THE CLOUD 31
Slide 32
Slide 32 text
DEFENDING THE CLOUD 32
” RDS PGSQL が異常に大量のデータを別のデバイスに送信しました。貴重な情報が許
可されていないユーザーに転送される可能性のある流出の可能性があるデータ準備につ
いて調査します。”
Slide 33
Slide 33 text
DEFENDING THE CLOUD 33
Slide 34
Slide 34 text
DEFENDING THE CLOUD 34
” RDS EC2 が、Amazon S3 (Simple Storage Service) バケットへの異常なアップ
ロードを実行しました。この動作は、転送されたデータの量と転送の時間に基づいて異
常です。 RDS EC2 が侵害されている可能性があり、攻撃者がデータの流出を試みてい
ます。”
Slide 35
Slide 35 text
DEFENDING THE CLOUD 35
Slide 36
Slide 36 text
DEFENDING THE CLOUD 36
Slide 37
Slide 37 text
DEFENDING THE CLOUD 37
Slide 38
Slide 38 text
トライアルは? 38
自分のデータでトライアル
をしたい場合はこっち
トライアル環境が出来るま
で申請してから一週間くら
いかかった
Slide 39
Slide 39 text
その他の機能 39
その他の機能
Slide 40
Slide 40 text
Mitigation (軽減措置対処) 40
各検知情報には、取りうる
対処方法が記載
対応する MITRE ATT&CK の
テクニックへのリンクが提
供され、参考にすることが
できる
MITRE ATT&CK:https://attack.mitre.org/
Slide 41
Slide 41 text
Network Overview 41
ネットワーク上のエンティ
ティ間の通信関係を可視化
プロトコルごとでフィルタ
検知情報やリソースのデー
タをドリルダウン
Slide 42
Slide 42 text
まとめ 42
まとめ
Slide 43
Slide 43 text
まとめ 43
● ExtraHopはネットワーク上のパケットデータやフローデータを
解析して、前後のイベントや関連する他のシステムとの通信を
コンテキスト化、対処に必要な脅威情報を提供してくれる
● MITRE ATT&CK テクニックへのトリアージと軽減措置の方法を
提示してくれる
● エンティティ間の通信をプロトコルごとに可視化してくれる
Slide 44
Slide 44 text
44