AWS re:Invent 2022 Mitigate ransomware risk using AWS security controls – Chalk Talk に参加してきました #reinvent

こんにちは、yagiです。

AWS re:Invent 2022 の Mitigate ransomware risk using AWS security controls - Chalk Talk へ参加してきました！

Mitigate ransomware risk using AWS security controls - Chalk Talk とは

In this chalk talk, learn how to mitigate ransomware risk using AWS security controls and discover best practices for ransomware protections and recovery. Get a review of the ransomware mitigation practice guide developed by the National Cybersecurity Center of Excellence (NCCoE) at NIST and the technical details of how AWS security controls map these practice guides. Learn about resources available to help you understand your current security posture and start your ransomware risk mitigation journey.

ランサムウェアによるリスクを軽減する方法を学び、NISTによるガイドとAWSでのセキュリティコントロールとのマッピングについて技術的なディテールを学べるセッションです。

内容について

まず、各種ランサムウェアのタイプについて学びます。

一般的な攻撃の流れについて

最初のアクセスから、マルウェアをインストールされ、特権ユーザーアカウントが侵害される。

攻撃者はデータを彼らのシステムへと盗み、被害者のデータを彼らのキーで暗号化してしまう。

そして、ransom （身代金） を要求する。

NISTとAWSサービスのマッピングについて

Route53 DNS　Firewall、IAMについてはIAMアクセスアナライザーを利用するようにして欲しい、KMS、シークレットマネジャーの利用、EC2にはAWS Inspectorを利用、CloudEndureDisasterRecoveryの利用について、等に重きをおきつつ全体像についての説明がありました。

AWSのランサムウェアのリカバリソリューション

アカウント分離させ、データをStaging Account → Vault Accout → Vault forensics Accout へPull。

フォレンジック調査が完了したらアカウントを消去し、 Recovery Accountを作成、Vault Accout → Recovery Account へPull。

Recovery AccountからAWSへPushする。

Patch hardening

定期的なパッチスキャニングと報告

パッチグループごとの全体的なパッチステータスの分析と、Non-Compliance-Patchのemail通知のシステムについて

Centralized detection and Response

中央集権的な検知とレスポンスについて

左図でJiraと統合させているのは、チケット起票のためだとのことです。

感想

Mitigate ransomware risk using AWS security controls - Chalk Talk へ参加しました。

用意されたスライドがわかりやすく、議論も弾み、皆さん色々質問していました。

私からは一点、JIRAの統合について質問しました。（一番最後の内容）

自分自身、ランサムウェアの対策については業務では扱っていない内容も多かったためとても勉強になりました。