Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Akiba-dot-SaaS-ExtraHop

Tkay
January 20, 2023
Technology
1
190

 Akiba-dot-SaaS-ExtraHop

Tkay

January 20, 2023
Tweet

More Decks by Tkay

See All by Tkay
Showcase2023_進化し続けるサイバーセキュリティ脅威を防ぐSaaSソリューション.pdf
sakaitakeshi
0
480
AKIBA-dot-SaaS-Cloudflare-ZeroTrust
sakaitakeshi
0
390

Other Decks in Technology

See All in Technology
マルチベンダに対応したネットワークコントローラを OSS として公開している話 (NTT Tech Conference 2023)
motok1
3
350
Concevoir son API pour le futur
tgalopin
1
420
ビギナー向け エッジランタイムのすすめ | エッジランタイムを意識した開発をはじめよう
aiji42
1
640
Jotaiで作ったフォームをApollo_Clientで投げたらいい感じだった件.pdf
asazutaiga
1
230
QMファンネルとQAキャリア
gen519
PRO
1
190
ローコード自動テストを1ヶ月半で導入した話
sumiren
0
160
Software Craftsmanship against Nova Era
koic
0
330
世界モデルによる4脚ロボットの歩行学習
robots
1
270
PHPマジックメソッドクイズ!/PHP Magic Method Quiz
ykanoh
0
110
ChatGPT(GPT-4版)でIoTやってみた / IoTLT vol.97
you
0
180
Teamsコネクタについて(チーム、チャネル)
miyakemito
2
370
GitHub Actionsと"仲良くなる"ための練習方法
tsubakimoto_s
10
2.9k

Featured

See All Featured
How to Ace a Technical Interview
jacobian
270
22k
KATA
mclloyd
12
10k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
227
16k
Atom: Resistance is Futile
akmur
256
24k
Large-scale JavaScript Application Architecture
addyosmani
499
110k
GitHub's CSS Performance
jonrohan
1021
430k
The Web Native Designer (August 2011)
paulrobertlloyd
77
2.3k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
351
21k
For a Future-Friendly Web
brad_frost
166
7.9k
In The Pink: A Labor of Love
frogandcode
133
21k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
224
50k
How GitHub (no longer) Works
holman
299
140k

Transcript

  1. 1
    セキュリティ系SaaSを紹介するぜ

    NDRで脅威ハント by ExtraHop

    View Slide

  2. 2
    自己紹介
    酒井 剛(Takeshi Sakai)
    ● アライアンス統括部 テックG
    ● セキュリティ系SaaS製品
    Sumo Logic、Cloudflare Zero Trust
    ● 2022年4月入社
    ● 前職では、EDR/CloudSWG導入、CSIRT
    ● Nagios/Cacti、インフラエンジニア
    ● 趣味:ケーキ作り、キャンプ

    View Slide

  3. ExtraHopとは 3

    View Slide

  4. ExtraHopとは 4
    ● NDR (Network Detective & Response):
    ネットワーク検知と対処
    ● SaaS型:Reveal (x) 360
    ● セルフマネージド型:Reveal (x)

    View Slide

  5. ExtraHopとは 5
    NDR
    ● PCAP パケット 、フローデータ
    ● リアルタイムインスペクション
    ● レイヤー2からレイヤー7の情報をもとに脅威、異常な振る舞
    い、リスクのあるアクションを検知
    ● 行動分析、機械学習
    ● フォレンジックレベルでの証跡を保存
    ● インシデントの範囲を知る

    View Slide

  6. ExtraHopとは 6
    IDS (侵入検知システム)vs NDR
    IDS NDR
    シグネチャベース(既知) 機械学習、シグネチャ(既知 + 未知)
    境界型(North - South) ゼロトラスト(North - South + East - West)
    表面的な検知情報のみ 前後の動作や関連するイベントなどの深いイン
    サイト
    既知の攻撃を防ぐことが目的 根本原因や影響範囲に着眼して対処することが
    目的

    View Slide

  7. ExtraHopの特徴 7
    ● アセットを自動識別し、重要性を推測
    ● エンティティ間の通信をプロトコル毎にマップ
    ● パケットやフローデータを機械学習で解析して、ステルス性の
    あるマルウェアやロー&スロー攻撃に対処 (*次ページ補足)
    ● 独自の脅威インテリジェンスを用いたスコアづけ、資産の重要
    性に基づいたコンテキスト化により、トリアージと対応を容易
    にする
    ● 90日間のデータ保持(Reveal (x) 360)

    View Slide

  8. ロー&スロー攻撃とは
    補足 8

    View Slide

  9. ロー&スロー攻撃とは
    補足 9

    View Slide

  10. やってみる 10
    やってみる

    View Slide

  11. デモ環境へのアクセス 11

    View Slide

  12. デモ環境へのアクセス 12

    View Slide

  13. デモ環境へのアクセス 13

    View Slide

  14. デモ環境へのアクセス 14

    View Slide

  15. シミュレーションを試してみる 15
    シミュレーションを
    試してみる

    View Slide

  16. DEFENDING THE CLOUD 16

    View Slide

  17. DEFENDING THE CLOUD 17
    シナリオの説明が表示
    データがAWS S3へ抜き取られ
    る攻撃をNDRの機能を使って脅
    威ハンティング

    View Slide

  18. DEFENDING THE CLOUD 18

    View Slide

  19. DEFENDING THE CLOUD 19
    ” AWS ウェブサーバーは、Amazon Elastic Compute Cloud (EC2) インスタンスの
    メタデータに関連するメッセージを中継しました。メッセージは、クライアントとイ
    ンスタンス メタデータ サービス (IMDS) の間で中継されました。この動作は、攻撃者
    が EC2 インスタンスを操作して、Identity and Access Management (IAM) ロール
    資格情報など、インスタンスに関連するセキュリティ情報を含むインスタンス メタ
    データにアクセスするためのプロキシとして機能させたことを示しています。”

    View Slide

  20. DEFENDING THE CLOUD 20
    ” AWS ウェブサーバーは、Amazon Elastic Compute Cloud (EC2) インスタンスの
    メタデータに関連するメッセージを中継しました。メッセージは、クライアントとイ
    ンスタンス メタデータ サービス (IMDS) の間で中継されました。この動作は、攻撃者
    が EC2 インスタンスを操作して、Identity and Access Management (IAM) ロール
    資格情報など、インスタンスに関連するセキュリティ情報を含むインスタンス メタ
    データにアクセスするためのプロキシとして機能させたことを示しています。”
    http://169.254.169.254/latest/meta-data/

    View Slide

  21. DEFENDING THE CLOUD 21
    SSRF(Server Side Request Forgery)を原理
    とした攻撃
    外部から直接アクセスできない内部サーバーの
    情報を、公開ウェブサーバーなどのアプリケー
    ション脆弱性を悪用して不正に取得
    AWSのIMDSを悪用したSSRF攻
    撃:https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-
    forgery.html
    IMDSv2:https://dev.classmethod.jp/articles/ec2-imdsv2-release/

    View Slide

  22. DEFENDING THE CLOUD 22

    View Slide

  23. DEFENDING THE CLOUD 23

    View Slide

  24. DEFENDING THE CLOUD 24
    ” ip-172-16-0-4.us-west-2.compute.internal (172.16.0.4) は、外部エンドポイ
    ント 54.184.0.202 (54.184.0.202) によってリバース SSH シェルを介してリモート
    で制御されているようです。この動作は、
    ip-172-16-0-4.us-west-2.compute.internal (172.16.0.4) がローカル ネットワー
    ク外のユーザーによって侵害されたことを示しています。”

    View Slide

  25. DEFENDING THE CLOUD 25
    FWなどでインバウンドアクセス制御がされて
    いる環境
    内側のSSHクライアント(Vitctim)が外側の
    SSHサーバー(Offender)にSSHリモート
    フォワーディングのような仕組みを利用し
    て、他の内側のシステムのSSHシェルを実行
    他のシ
    ステム

    View Slide

  26. DEFENDING THE CLOUD 26

    View Slide

  27. DEFENDING THE CLOUD 27

    View Slide

  28. DEFENDING THE CLOUD 28
    ” 異常に多数のアマゾン ウェブ サービス (AWS) クラウド サービスに接続されている
    Bastion SSH サーバー。攻撃者は、悪用できる AWS サービスを特定しようとしている
    可能性があります。”

    View Slide

  29. DEFENDING THE CLOUD 29

    View Slide

  30. DEFENDING THE CLOUD 30

    View Slide

  31. DEFENDING THE CLOUD 31

    View Slide

  32. DEFENDING THE CLOUD 32
    ” RDS PGSQL が異常に大量のデータを別のデバイスに送信しました。貴重な情報が許
    可されていないユーザーに転送される可能性のある流出の可能性があるデータ準備につ
    いて調査します。”

    View Slide

  33. DEFENDING THE CLOUD 33

    View Slide

  34. DEFENDING THE CLOUD 34
    ” RDS EC2 が、Amazon S3 (Simple Storage Service) バケットへの異常なアップ
    ロードを実行しました。この動作は、転送されたデータの量と転送の時間に基づいて異
    常です。 RDS EC2 が侵害されている可能性があり、攻撃者がデータの流出を試みてい
    ます。”

    View Slide

  35. DEFENDING THE CLOUD 35

    View Slide

  36. DEFENDING THE CLOUD 36

    View Slide

  37. DEFENDING THE CLOUD 37

    View Slide

  38. トライアルは? 38
    自分のデータでトライアル
    をしたい場合はこっち
    トライアル環境が出来るま
    で申請してから一週間くら
    いかかった

    View Slide

  39. その他の機能 39
    その他の機能

    View Slide

  40. Mitigation (軽減措置対処) 40
    各検知情報には、取りうる
    対処方法が記載
    対応する MITRE ATT&CK の
    テクニックへのリンクが提
    供され、参考にすることが
    できる
    MITRE ATT&CK:https://attack.mitre.org/

    View Slide

  41. Network Overview 41
    ネットワーク上のエンティ
    ティ間の通信関係を可視化
    プロトコルごとでフィルタ
    検知情報やリソースのデー
    タをドリルダウン

    View Slide

  42. まとめ 42
    まとめ

    View Slide

  43. まとめ 43
    ● ExtraHopはネットワーク上のパケットデータやフローデータを
    解析して、前後のイベントや関連する他のシステムとの通信を
    コンテキスト化、対処に必要な脅威情報を提供してくれる
    ● MITRE ATT&CK テクニックへのトリアージと軽減措置の方法を
    提示してくれる
    ● エンティティ間の通信をプロトコルごとに可視化してくれる

    View Slide

  44. 44

    View Slide