Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Akiba-dot-SaaS-ExtraHop

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Tkay Tkay
January 20, 2023
Technology
770
1

 Akiba-dot-SaaS-ExtraHop

Avatar for Tkay

Tkay

January 20, 2023

More Decks by Tkay

See All by Tkay
生成AIでセキュリティ運用を効率化する話
Avatar for Tkay sakaitakeshi
0
1.1k
Splunk Experience Day 2025 - Splunk Federated Search for S3 ✕ AWS連携
Avatar for Tkay sakaitakeshi
0
680
セキュリティ運用って包括的にできていますか?SaaSを使って次のステップへ / Comprehensive Cyber Security Operations for Cloud Services Using SaaS
Avatar for Tkay sakaitakeshi
0
1k
インシデントレスポンスのライフサイクルを廻すポイントってなに / Pinpoints of Incidentresponse Lifecycle for Operation
Avatar for Tkay sakaitakeshi
1
1.7k
Showcase2023_進化し続けるサイバーセキュリティ脅威を防ぐSaaSソリューション.pdf
Avatar for Tkay sakaitakeshi
0
2.1k
AKIBA-dot-SaaS-Cloudflare-ZeroTrust
Avatar for Tkay sakaitakeshi
0
1.2k

Other Decks in Technology

See All in Technology
脱SaaS!FDEを支えるプロビジョニングと分離設計
Avatar for Kenichi SUZUKI knih
0
240
SONiCのLinuxベースを活かしたZabbix監視
Avatar for SONiC Users Group Japan sonic
0
230
日本 Fintech 未来予測レポート 2027〜2028年(手動編集版)
Avatar for 8maki 8maki
1
2.4k
SONiC Scale-Up Working Group から探る Scale-UpやUltraEthernet機能の実装方法
Avatar for ebiken ebiken
PRO
2
410
現地で盛り上がった WWDC26 Keynote
Avatar for ZOZO Developers zozotech
PRO
1
260
エラーバジェットのアラートのタイミングを考える.pdf
Avatar for KairiM kairim0
0
170
【Snowflake Summit 2026 Recap!!】Snowflake Summit Deep Dive: Security & Governance
Avatar for Civitaspo civitaspo
1
260
[AWS Summit Japan 2026]迷っているあなたへ_小さな一歩が、やがて自分を助けてくれる
Avatar for sh_fk2 sh_fk2
1
140
ACE-Step-1.5で見る 音楽生成AIのしくみと“破綻だけ直す”Retake機能の開発【zennfes spring 2026 登壇資料】
Avatar for asap personabb
1
530
ロボティクスの技術 / Robotics Technology
Avatar for Kenji Saito ks91
PRO
0
110
2026TECHFRESH畢業分享會 - Lightning Talk - 資料也要 CI/CD? 用 Airbyte 自動化資料同步
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
1.3k
LayerX コーポレートエンジニアリング室におけるサプライチェーンセキュリティへの取り組み / Supply Chain Security at LayerX Corporate Engineering
Avatar for Yuya Takeyama yuyatakeyama
2
670

Featured

See All Featured
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
515
110k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
15k
Writing Fast Ruby
Avatar for Erik Berlin sferik
630
63k
Building a A Zero-Code AI SEO Workflow
Avatar for Ian Lurie portentint
PRO
0
600
What Being in a Rock Band Can Teach Us About Real World SEO
Avatar for Ade Holder 427marketing
0
260
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
490
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1033
470k
New Earth Scene 8
Avatar for Sydney Stone popppiees
3
2.3k
From Legacy to Launchpad: Building Startup-Ready Communities
Avatar for Dug Song dugsong
0
230
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
590
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
2.1k
Money Talks: Using Revenue to Get Sh*t Done
Avatar for Nikki Halliwell nikkihalliwell
0
250

Transcript

  1. 1 セキュリティ系SaaSを紹介するぜ 〜 NDRで脅威ハント by ExtraHop

  2. 2 自己紹介 酒井 剛(Takeshi Sakai) • アライアンス統括部 テックG • セキュリティ系SaaS製品

    Sumo Logic、Cloudflare Zero Trust • 2022年4月入社 • 前職では、EDR/CloudSWG導入、CSIRT • Nagios/Cacti、インフラエンジニア • 趣味:ケーキ作り、キャンプ

  3. ExtraHopとは 3

  4. ExtraHopとは 4 • NDR (Network Detective & Response): ネットワーク検知と対処 •

    SaaS型:Reveal (x) 360 • セルフマネージド型:Reveal (x)

  5. ExtraHopとは 5 NDR • PCAP パケット 、フローデータ • リアルタイムインスペクション •

    レイヤー2からレイヤー7の情報をもとに脅威、異常な振る舞 い、リスクのあるアクションを検知 • 行動分析、機械学習 • フォレンジックレベルでの証跡を保存 • インシデントの範囲を知る

  6. ExtraHopとは 6 IDS (侵入検知システム)vs NDR IDS NDR シグネチャベース(既知) 機械学習、シグネチャ(既知 +

    未知) 境界型(North - South) ゼロトラスト(North - South + East - West) 表面的な検知情報のみ 前後の動作や関連するイベントなどの深いイン サイト 既知の攻撃を防ぐことが目的 根本原因や影響範囲に着眼して対処することが 目的

  7. ExtraHopの特徴 7 • アセットを自動識別し、重要性を推測 • エンティティ間の通信をプロトコル毎にマップ • パケットやフローデータを機械学習で解析して、ステルス性の あるマルウェアやロー&スロー攻撃に対処 (*次ページ補足)

    • 独自の脅威インテリジェンスを用いたスコアづけ、資産の重要 性に基づいたコンテキスト化により、トリアージと対応を容易 にする • 90日間のデータ保持(Reveal (x) 360)

  8. ロー&スロー攻撃とは 補足 8

  9. ロー&スロー攻撃とは 補足 9

  10. やってみる 10 やってみる

  11. デモ環境へのアクセス 11

  12. デモ環境へのアクセス 12

  13. デモ環境へのアクセス 13

  14. デモ環境へのアクセス 14

  15. シミュレーションを試してみる 15 シミュレーションを 試してみる

  16. DEFENDING THE CLOUD 16

  17. DEFENDING THE CLOUD 17 シナリオの説明が表示 データがAWS S3へ抜き取られ る攻撃をNDRの機能を使って脅 威ハンティング

  18. DEFENDING THE CLOUD 18

  19. DEFENDING THE CLOUD 19 ” AWS ウェブサーバーは、Amazon Elastic Compute Cloud

    (EC2) インスタンスの メタデータに関連するメッセージを中継しました。メッセージは、クライアントとイ ンスタンス メタデータ サービス (IMDS) の間で中継されました。この動作は、攻撃者 が EC2 インスタンスを操作して、Identity and Access Management (IAM) ロール 資格情報など、インスタンスに関連するセキュリティ情報を含むインスタンス メタ データにアクセスするためのプロキシとして機能させたことを示しています。”

  20. DEFENDING THE CLOUD 20 ” AWS ウェブサーバーは、Amazon Elastic Compute Cloud

    (EC2) インスタンスの メタデータに関連するメッセージを中継しました。メッセージは、クライアントとイ ンスタンス メタデータ サービス (IMDS) の間で中継されました。この動作は、攻撃者 が EC2 インスタンスを操作して、Identity and Access Management (IAM) ロール 資格情報など、インスタンスに関連するセキュリティ情報を含むインスタンス メタ データにアクセスするためのプロキシとして機能させたことを示しています。” http://169.254.169.254/latest/meta-data/

  21. DEFENDING THE CLOUD 21 SSRF(Server Side Request Forgery)を原理 とした攻撃 外部から直接アクセスできない内部サーバーの

    情報を、公開ウェブサーバーなどのアプリケー ション脆弱性を悪用して不正に取得 AWSのIMDSを悪用したSSRF攻 撃:https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request- forgery.html IMDSv2:https://dev.classmethod.jp/articles/ec2-imdsv2-release/

  22. DEFENDING THE CLOUD 22

  23. DEFENDING THE CLOUD 23

  24. DEFENDING THE CLOUD 24 ” ip-172-16-0-4.us-west-2.compute.internal (172.16.0.4) は、外部エンドポイ ント 54.184.0.202

    (54.184.0.202) によってリバース SSH シェルを介してリモート で制御されているようです。この動作は、 ip-172-16-0-4.us-west-2.compute.internal (172.16.0.4) がローカル ネットワー ク外のユーザーによって侵害されたことを示しています。”

  25. DEFENDING THE CLOUD 25 FWなどでインバウンドアクセス制御がされて いる環境 内側のSSHクライアント(Vitctim)が外側の SSHサーバー(Offender)にSSHリモート フォワーディングのような仕組みを利用し て、他の内側のシステムのSSHシェルを実行

    他のシ ステム

  26. DEFENDING THE CLOUD 26

  27. DEFENDING THE CLOUD 27

  28. DEFENDING THE CLOUD 28 ” 異常に多数のアマゾン ウェブ サービス (AWS) クラウド

    サービスに接続されている Bastion SSH サーバー。攻撃者は、悪用できる AWS サービスを特定しようとしている 可能性があります。”

  29. DEFENDING THE CLOUD 29

  30. DEFENDING THE CLOUD 30

  31. DEFENDING THE CLOUD 31

  32. DEFENDING THE CLOUD 32 ” RDS PGSQL が異常に大量のデータを別のデバイスに送信しました。貴重な情報が許 可されていないユーザーに転送される可能性のある流出の可能性があるデータ準備につ いて調査します。”

  33. DEFENDING THE CLOUD 33

  34. DEFENDING THE CLOUD 34 ” RDS EC2 が、Amazon S3 (Simple

    Storage Service) バケットへの異常なアップ ロードを実行しました。この動作は、転送されたデータの量と転送の時間に基づいて異 常です。 RDS EC2 が侵害されている可能性があり、攻撃者がデータの流出を試みてい ます。”

  35. DEFENDING THE CLOUD 35

  36. DEFENDING THE CLOUD 36

  37. DEFENDING THE CLOUD 37

  38. トライアルは? 38 自分のデータでトライアル をしたい場合はこっち トライアル環境が出来るま で申請してから一週間くら いかかった

  39. その他の機能 39 その他の機能

  40. Mitigation (軽減措置対処) 40 各検知情報には、取りうる 対処方法が記載 対応する MITRE ATT&CK の テクニックへのリンクが提

    供され、参考にすることが できる MITRE ATT&CK:https://attack.mitre.org/

  41. Network Overview 41 ネットワーク上のエンティ ティ間の通信関係を可視化 プロトコルごとでフィルタ 検知情報やリソースのデー タをドリルダウン

  42. まとめ 42 まとめ

  43. まとめ 43 • ExtraHopはネットワーク上のパケットデータやフローデータを 解析して、前後のイベントや関連する他のシステムとの通信を コンテキスト化、対処に必要な脅威情報を提供してくれる • MITRE ATT&CK テクニックへのトリアージと軽減措置の方法を

    提示してくれる • エンティティ間の通信をプロトコルごとに可視化してくれる

  44. 44