Akiba-dot-SaaS-ExtraHop

Transcript

1. 1 セキュリティ系SaaSを紹介するぜ 〜 NDRで脅威ハント by ExtraHop

2. 2 自己紹介 酒井 剛（Takeshi Sakai） • アライアンス統括部 テックG • セキュリティ系SaaS製品

   Sumo Logic、Cloudflare Zero Trust • 2022年4月入社 • 前職では、EDR/CloudSWG導入、CSIRT • Nagios/Cacti、インフラエンジニア • 趣味：ケーキ作り、キャンプ

3. ExtraHopとは 3

4. ExtraHopとは 4 • NDR (Network Detective & Response)： ネットワーク検知と対処 •

   SaaS型：Reveal (x) 360 • セルフマネージド型：Reveal (x)

5. ExtraHopとは 5 NDR • PCAP パケット 、フローデータ • リアルタイムインスペクション •

   レイヤー2からレイヤー7の情報をもとに脅威、異常な振る舞 い、リスクのあるアクションを検知 • 行動分析、機械学習 • フォレンジックレベルでの証跡を保存 • インシデントの範囲を知る

6. ExtraHopとは 6 IDS （侵入検知システム）vs NDR IDS NDR シグネチャベース（既知） 機械学習、シグネチャ（既知 +

   未知） 境界型（North - South） ゼロトラスト（North - South + East - West） 表面的な検知情報のみ 前後の動作や関連するイベントなどの深いイン サイト 既知の攻撃を防ぐことが目的 根本原因や影響範囲に着眼して対処することが 目的

7. ExtraHopの特徴 7 • アセットを自動識別し、重要性を推測 • エンティティ間の通信をプロトコル毎にマップ • パケットやフローデータを機械学習で解析して、ステルス性の あるマルウェアやロー＆スロー攻撃に対処 (*次ページ補足)

   • 独自の脅威インテリジェンスを用いたスコアづけ、資産の重要 性に基づいたコンテキスト化により、トリアージと対応を容易 にする • 90日間のデータ保持（Reveal (x) 360）

8. ロー＆スロー攻撃とは 補足 8

9. ロー＆スロー攻撃とは 補足 9

10. やってみる 10 やってみる

11. デモ環境へのアクセス 11

12. デモ環境へのアクセス 12

13. デモ環境へのアクセス 13

14. デモ環境へのアクセス 14

15. シミュレーションを試してみる 15 シミュレーションを 試してみる

16. DEFENDING THE CLOUD 16

17. DEFENDING THE CLOUD 17 シナリオの説明が表示 データがAWS S3へ抜き取られ る攻撃をNDRの機能を使って脅 威ハンティング

18. DEFENDING THE CLOUD 18

19. DEFENDING THE CLOUD 19 ” AWS ウェブサーバーは、Amazon Elastic Compute Cloud

    (EC2) インスタンスの メタデータに関連するメッセージを中継しました。メッセージは、クライアントとイ ンスタンス メタデータ サービス (IMDS) の間で中継されました。この動作は、攻撃者 が EC2 インスタンスを操作して、Identity and Access Management (IAM) ロール 資格情報など、インスタンスに関連するセキュリティ情報を含むインスタンス メタ データにアクセスするためのプロキシとして機能させたことを示しています。”

20. DEFENDING THE CLOUD 20 ” AWS ウェブサーバーは、Amazon Elastic Compute Cloud

    (EC2) インスタンスの メタデータに関連するメッセージを中継しました。メッセージは、クライアントとイ ンスタンス メタデータ サービス (IMDS) の間で中継されました。この動作は、攻撃者 が EC2 インスタンスを操作して、Identity and Access Management (IAM) ロール 資格情報など、インスタンスに関連するセキュリティ情報を含むインスタンス メタ データにアクセスするためのプロキシとして機能させたことを示しています。” http://169.254.169.254/latest/meta-data/

21. DEFENDING THE CLOUD 21 SSRF（Server Side Request Forgery）を原理 とした攻撃 外部から直接アクセスできない内部サーバーの

    情報を、公開ウェブサーバーなどのアプリケー ション脆弱性を悪用して不正に取得 AWSのIMDSを悪用したSSRF攻 撃:https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request- forgery.html IMDSv2:https://dev.classmethod.jp/articles/ec2-imdsv2-release/

22. DEFENDING THE CLOUD 22

23. DEFENDING THE CLOUD 23

24. DEFENDING THE CLOUD 24 ” ip-172-16-0-4.us-west-2.compute.internal (172.16.0.4) は、外部エンドポイ ント 54.184.0.202

    (54.184.0.202) によってリバース SSH シェルを介してリモート で制御されているようです。この動作は、 ip-172-16-0-4.us-west-2.compute.internal (172.16.0.4) がローカル ネットワー ク外のユーザーによって侵害されたことを示しています。”

25. DEFENDING THE CLOUD 25 FWなどでインバウンドアクセス制御がされて いる環境 内側のSSHクライアント（Vitctim）が外側の SSHサーバー（Offender）にSSHリモート フォワーディングのような仕組みを利用し て、他の内側のシステムのSSHシェルを実行

    他のシ ステム

26. DEFENDING THE CLOUD 26

27. DEFENDING THE CLOUD 27

28. DEFENDING THE CLOUD 28 ” 異常に多数のアマゾン ウェブ サービス (AWS) クラウド

    サービスに接続されている Bastion SSH サーバー。攻撃者は、悪用できる AWS サービスを特定しようとしている 可能性があります。”

29. DEFENDING THE CLOUD 29

30. DEFENDING THE CLOUD 30

31. DEFENDING THE CLOUD 31

32. DEFENDING THE CLOUD 32 ” RDS PGSQL が異常に大量のデータを別のデバイスに送信しました。貴重な情報が許 可されていないユーザーに転送される可能性のある流出の可能性があるデータ準備につ いて調査します。”

33. DEFENDING THE CLOUD 33

34. DEFENDING THE CLOUD 34 ” RDS EC2 が、Amazon S3 (Simple

    Storage Service) バケットへの異常なアップ ロードを実行しました。この動作は、転送されたデータの量と転送の時間に基づいて異 常です。 RDS EC2 が侵害されている可能性があり、攻撃者がデータの流出を試みてい ます。”

35. DEFENDING THE CLOUD 35

36. DEFENDING THE CLOUD 36

37. DEFENDING THE CLOUD 37

38. トライアルは？ 38 自分のデータでトライアル をしたい場合はこっち トライアル環境が出来るま で申請してから一週間くら いかかった

39. その他の機能 39 その他の機能

40. Mitigation （軽減措置対処） 40 各検知情報には、取りうる 対処方法が記載 対応する MITRE ATT&CK の テクニックへのリンクが提

    供され、参考にすることが できる MITRE ATT&CK:https://attack.mitre.org/

41. Network Overview 41 ネットワーク上のエンティ ティ間の通信関係を可視化 プロトコルごとでフィルタ 検知情報やリソースのデー タをドリルダウン

42. まとめ 42 まとめ

43. まとめ 43 • ExtraHopはネットワーク上のパケットデータやフローデータを 解析して、前後のイベントや関連する他のシステムとの通信を コンテキスト化、対処に必要な脅威情報を提供してくれる • MITRE ATT&CK テクニックへのトリアージと軽減措置の方法を

    提示してくれる • エンティティ間の通信をプロトコルごとに可視化してくれる

44. 44