Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
AWS環境における脅威検知と対応
A 1 - 0 2
Kazuaki FujikuraSolutions ArchitectAmazon Web Services Japan K.K.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
自己紹介
藤倉 和明(Kazuaki Fujikura)AWS Enterprise Solution Architect
好きなAWSサービス
Amazon CloudWatch
Amazon VPC
AWS WAF
好きな食べ物
🍚 白米 🍚
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
Session Outline
• 対象者: AWS Admins, IT Admins, Security Professional,Security Operations Teams, Developers
• 本日のゴール:AWS環境における脅威検知とその対応方法についてベストプラクティスを学び、今日から実践できる手段について理解する
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
本日のセッションのポイント
・脅威検知のために4つのサービスを有効化する
・脅威への対応プロセスを理解する
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
本日のセッションのポイント
・脅威検知のために4つのサービスを有効化する
・脅威への対応プロセスを理解する
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
4つのサービスを有効化する
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
4つのサービスを有効化する
Amazon GuardDuty
AWS ConfigAWS
CloudTrailAWS Security
Hub
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
なぜ脅威検知は難しい?
人材とスキル不足
高い検知精度の要求
大量のデータセット
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
• 「脅威」は「インシデント」を引き起こす潜在的な原因
• すべてのインシデントはイベントに含まれる
• すべてのイベントはインシデントでは無い
• 膨大なイベントからごく一部のインシデントを検知する必要がある
イベントとインシデントの違い
イベント
インシデント
AWS Config
AWS CloudTrail
Amazon EC2 OS logs
Amazon VPC Flow Logs
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
まずはイベントを収集する
AWS CloudTrail
ユーザー振る舞いとAPI使用状況の追跡
誰が、いつ、何をしたのかを継続的に記録
AWS Config
AWS リソースの設定を評価、監査、審査
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
AWS CloudTrail
AWSユーザの操作をロギング
• ユーザーのアクティビティをAPIレベルでトラッキング
ロギングデータはS3に保存される• ログファイルは暗号化され、gz 形式で
S3 に保存
CloudTrail 自体は無料• 全てのアカウントで有効にすることを推奨
CloudTrail
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
AWS CloudTrail
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
AWS Config
AWSリソースのレポジトリ情報から、リソースの変更履歴、構成変更を管理
• 構成情報は定期的にスナップショットとしてS3に保存
• 必要に応じSNSを使った通知も可能
Config Rules 構成情報を元に、現在のシステムが
あるべき状態になっているかを評価• AWS マネージド ルール• カスタム ルール(Lambda Function)
AWS Config
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
AWS Configの有効化
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
コンフィグタイムラインの自動収集
設定変更やリレーションシップの変更履歴がタイムラインで自動収集される
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
イベントから脅威を検知するのは難しい
「ログ情報の統合・分析、システムのセキュリティ状態の総合的な管理機能」を導入しているのは、大企業でも 29.9%であったのに対し、中小企業は 7%と、ログを活用した対策が普及しているとは言い難い
• 高価、費用対効果が分からない
• 経営層が境界防御以外のセキュリティに対して投資決定をしない
• 運用人材の不足
出典:独立行政法人情報処理推進機構:企業における情報システムのログ管理に関する実態調査 :https://www.ipa.go.jp/files/000052999.pdf
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
膨大なログから脅威を検知する
Amazon GuardDuty
脅威インテリジェンスによる脅威検知や継続的監視によりAWSアカウント/ワー
クロードを保護
AWS Security Hub
AWS環境におけるセキュリティとコンプライアンス状
態を一元表示
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
Amazon GuardDuty
• セキュリティの観点からセキュリティリスクを検知・可視化するAWSマネージド・サービス
• 分析のソースには下記を利用し、メタデータの連続ストリームを分析
• VPC Flow Logs
• AWS CloudTrail Event Logs
• DNS Logs
• 悪意のあるIPアドレス、異常検出、機械学習などの統合脅威インテリジェンスを使用して脅威を認識Amazon GuardDuty
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
GuardDutyの有効化
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
GuardDuty による脅威の検知と通知
悪意のあるスキャン
インスタンスへの脅威
アカウントへの脅威
Amazon GuardDuty
VPC flow logs
DNS Logs
CloudTrail
HIGH
MEDIUM
LOW
Findingsデータ ソース脅威の種類
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
GuardDuty による脅威検出レポート
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
AWS Security Hub
• AWS環境におけるセキュリティとコンプライアンス状態を一元表示• AWSセキュリティサービスやパートナーソリューションで生成され
た結果を集約• セキュリティの傾向を分析し重要度の高いセキュリティ課題を特定
Amazon Inspector
Amazon GuardDuty
Amazon Macie
AWS Security Hub
Securityfindings
providers
Findings
Insights&
Standards
OtherAWS
ConfigPartner
Solutions
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
Security Hubの有効化
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
セキュリティ状況を一元監視
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
脅威への対応:カスタムアクション
Amazon EC2
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
脅威への対応:カスタムアクション
Amazon EC2
Event (event-based)
AmazonCloudWatch
AWS Lambda
AWS Security Hub
stop_instances(InstanceIds=[‘i-xxxxxxxxxxxxxxxxx',
])
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
脅威への対応:カスタムアクション
Amazon EC2
Event (event-based)
AmazonCloudWatch
AWS Lambda
AWS Security Hub
stop_instances(InstanceIds=[‘i-xxxxxxxxxxxxxxxxx',
])
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
カスタムアクションのサンプルもGitHub上に公開
https://github.com/aws-samples/aws-securityhub-to-emailhttps://github.com/aws-samples/aws-securityhub-to-slack
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
追加で検討するサービス
VPC Flow Logs CloudWatch Logs
VPCネットワークインターフェースでのIP通信
ログ
アプリケーションログファイルの監視保存
Amazon Macie
機械学習による機密情報の検出、分類、保護
Amazon Inspector
EC2インスタンスへの自動セキュリティ評価
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
マルチアカウントの対応も検討
AWS Account2
AWS Account1
AWS Account3
Security Admin Account
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
4つのサービスを有効化する
Amazon GuardDuty
AWS ConfigAWS
CloudTrailAWS Security
Hub
VPC Flow Logs CloudWatch Logs Amazon MacieAmazon Inspector
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
本日のセッションのポイント
・脅威検知のために4つのサービスを有効化する
・脅威への対応プロセスを理解する
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
Protect Detect Respond RecoverIdentify
Investigate
Automate
NIST Cybersecurity Framework
AWS Systems Manager
AWS Config
Amazon VPC AWS Shield AWS WAF
AWS SingleSign-On
AWS FirewallManager
AWS Secrets Manager
AWS IoTDevice
Defender
AWS Key Management
Service
AWS Identity and Access
Management (IAM)
AmazonCloudWatch
AWS CloudTrail
Snapshot Archive
AWS Systems Manager
AWS Lambda AWS Step FunctionsAmazon
InspectorAmazon
GuardDuty
AmazonMacie
AWS Security Hub
参考:https://d1.awsstatic.com/whitepapers/compliance/JP_Whitepapers/NIST_Cybersecurity_Framework_CSF_JP.pdf
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
Protect Detect Respond RecoverIdentify
Investigate
AutomateAWS Systems
Manager
AWS Config
AmazonCloudWatch
AWS CloudTrail
Snapshot Archive
NIST Cybersecurity Framework
AmazonInspector
AmazonGuardDuty
AmazonMacie
AWS Security Hub
Amazon VPC AWS Shield AWS WAF
AWS SingleSign-On
AWS FirewallManager
AWS Secrets Manager
AWS IoTDevice
Defender
AWS Key Management
Service
AWS Identity and Access
Management (IAM)
AWS Systems Manager
AWS Lambda AWS Step Functions
参考:https://d1.awsstatic.com/whitepapers/compliance/JP_Whitepapers/NIST_Cybersecurity_Framework_CSF_JP.pdf
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
脅威への対応プロセスを二つに分けて整理する
• 検知 ”した” 脅威への対応
• 検知 ”する” 脅威への対応
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
検知 ”した” 脅威への対応プロセスの整理
VPC Flow Logs
DNS Logs
AWS CloudTrail
Amazon Simple Storage Service (S3)
Amazon GuardDuty
Amazon Inspector
Amazon Macie
AWS Security
Hub
GuardDutyData Sources
Macie Data Sources
AWS Config
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
検知 ”した” 脅威への対応プロセスの整理
VPC Flow Logs
DNS Logs
AWS CloudTrail
Amazon Simple Storage Service (S3)
Amazon GuardDuty
Amazon Inspector
Amazon Macie
AWS Security
Hub
GuardDutyData Sources
Macie Data Sources
AWS Config
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
VPC Flow Logs
DNS Logs
AWS CloudTrail
Amazon Simple Storage Service (S3)
Amazon GuardDuty
Amazon Inspector
Amazon Macie
AWS Security
Hub
GuardDutyData Sources
Macie Data Sources
AWS Config Amazon CloudWatch Logs
AWS CloudTrailAWS Config VPC Flow Logs
検知 ”した” 脅威への対応プロセスの整理
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
DNS Logs
Amazon Simple Storage Service (S3)
Amazon GuardDuty
Amazon Inspector
Amazon Macie
AWS Security
Hub
GuardDutyData Sources
Macie Data Sources
AWS Config
Amazon EC2
AmazonCloudWatch
AWS Lambda
stop_instances(InstanceIds=[‘i-xxxxxxxxxxxxxxxxx',
])
VPC Flow Logs
AWS CloudTrail
Amazon CloudWatch Logs
AWS CloudTrailAWS Config VPC Flow Logs
検知 ”した” 脅威への対応プロセスの整理
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
Protect Detect Respond RecoverIdentify
Investigate
AutomateAWS Systems
Manager
AWS Config
AmazonCloudWatch
AWS CloudTrail
Snapshot Archive
NIST Cybersecurity Framework
AmazonInspector
AmazonGuardDuty
AmazonMacie
AWS Security Hub
Amazon VPC AWS Shield AWS WAF
AWS SingleSign-On
AWS FirewallManager
AWS Secrets Manager
AWS IoTDevice
Defender
AWS Key Management
Service
AWS Identity and Access
Management (IAM)
AWS Systems Manager
AWS Lambda AWS Step Functions
参考:https://d1.awsstatic.com/whitepapers/compliance/JP_Whitepapers/NIST_Cybersecurity_Framework_CSF_JP.pdf
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
Protect Detect Respond RecoverIdentify
Investigate
AutomateAWS Systems
Manager
AWS Config
AmazonCloudWatch
AWS CloudTrail
Snapshot Archive
NIST Cybersecurity Framework
AmazonInspector
AmazonGuardDuty
AmazonMacie
AWS Security Hub
Amazon VPC AWS Shield AWS WAF
AWS SingleSign-On
AWS FirewallManager
AWS Secrets Manager
AWS IoTDevice
Defender
AWS Key Management
Service
AWS Identity and Access
Management (IAM)
AWS Systems Manager
AWS Lambda AWS Step Functions
参考:https://d1.awsstatic.com/whitepapers/compliance/JP_Whitepapers/NIST_Cybersecurity_Framework_CSF_JP.pdf
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
検知 ”する” 脅威への対応
Security Automationの検討を
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
Security Automationの重要性
拡張性・コスト・信頼性の観点からセキュリティ自動化は不可欠
AWS Summit Tokyo 2018「AWS によるセキュリティ・オートメーションの実践」
https://www.youtube.com/watch?v=qRkLV4qoXAY
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
イベントドリブンな脅威への対応
Amazon CloudWatch Events
AWSリソースの変更イベントを
ニアリアルタイムで通知
AWS Config Rules
継続的にリソース変更を監視し
定義ルールへの準拠状況を通知
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
AWS Config Rules
• AWS Config で AWS リソースの変更履歴や設定変更を管理
• AWS Config Rulesは現在の AWS リソースが「あるべき状態」になっているかどうかを継続的に自動で評価• 例1 : 公開状態になっている S3 バケットはないか
• 例2 : 全てのIAMユーザでMFAが有効になっているか
• 80 個を超える AWS 提供のマネージドルールがあり、すぐに利用可能
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
AWS Config Rules - マネージドルール例
マネージドルール名 説明(あるべき状態)
s3-bucket-public-read-prohibited
S3 バケットでパブリック読み取りアクセスが許可されないこと
elb-logging-enabled ELBのログ記録が有効になっていること
restricted-ssh EC2 インスタンスの SSH 受信ポートが制限されていること
ec2-instance-managed-by-systems-manager
EC2 インスタンスが SSM の管理下に入っていること
cloudtrail-enabled CloudTrail が有効化されていること
access-keys-rotated 指定した日数以内にアクセスキーがローテートされていること
• 80 個を超える AWS 提供の評価ルールが利用できる• カスタム評価ルールを定義することも可能
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
CloudWatch Events
• Amazon CloudWatch Events は「ルール」を定義して、イベントソースとターゲットを紐付けるサービス
Event (event-based)
Event (time-base)
Rule
イベントソースとして各種AWS サービスを選択可能
AWS Lambda
ターゲットは SNS 、Lambda、Step Functionsなど
Amazon Kinesis
Amazon Simple Notification Service
Amazon Simple Queue Service
Amazon EC2
AWS Step Functions
AWS CodePipeline
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
定期的/自動的に処理を行う
• イベントソースは「スケジュール」「イベントパターン」の二種類
• スケジュール ... 定期的にターゲットの処理を実行する
• イベントパターン ... 様々なイベントをトリガーにターゲットの処理を実行する• たとえば、誰かがコンソールにログインしたとき
• たとえば、GuardDutyで重大度が「高」の脅威を検知したとき
• たとえば、Config Rulesで特定のルールが非準拠となったとき
• たとえば、CloudTrailの設定が変更されたとき
Event (event-based)
Event (time-base)
Rule
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
Amazon CloudWatch Events利用した対応例
Amazon GuardDuty findings
AWS Lambdafunction
Amazon CloudWatchEvents
CloudWatch Event
AWS Cloud
severity :8(high)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
脅威対応サービス
AWS Systems Manager
AWS Lambda
アプリケーションやバックエンドサービスのコードを自動実行
AWSリソースに関する運用情報取得や実行
AWS Step Functions
AWS の複数のサービスをサーバーレスのワーク
フローに整理し実行
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
Security Automation Sample Architecture
Amazon CloudWatch
Events
AWSCloudTrail
AWS Config Rules
Lambda function
AWS APIs
検出
アラート
修復
対策
フォレンジック
Team collaboration (Slack etc.)
Amazon GuardDuty
VPC Flow Logs
Amazon Macie
AWS Systems Manager
AWS Step Functions
Amazon EC2
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
AWS セキュリティワークショップ
• AWS環境で攻撃のデモを行い、攻撃中および攻撃後の脅威を調査し、通知と修復パイプラインを設定し、追加的な保護策を体験できるワークショップ
• 検証可能なAWSアカウントを用意すればすぐにでも実施可能
• 注:プロダクション環境のAWS アカウントは使用しないでくださいhttps://awssecworkshops.jp/
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
本日のセッションのまとめ
・脅威検知のために4つのサービスを有効化する- AWS CloudTrail , AWS Config , Amazon GuardDuty , AWS Security Hub
・脅威への対応プロセスを理解する- [検知 ”した” 脅威への対応]
-> Security Hubを起点に脅威の検知とその対応プロセスを開始
- [検知 ”する” 脅威への対応]
-> Amazon CloudWatch Events , AWS Config Rulesでイベンドドリブンの対応
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SUMM I T
Thank you!
SUMM I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.