【レポート】AWS 環境における脅威検知と対応 #AWS-39 #AWSSummit

本記事は2021/05/11(火)に行われた AWS Summit Online 2021 のオンラインセッション「AWS 環境における脅威検知と対応」の内容についてのセッションレポートです。

セッション情報

スピーカー : アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 シニアセキュリティソリューションアーキテクト 桐山 隼人

本セッションでは AWS 環境における脅威検知と対応方法についてご紹介いたします。Amazon GuardDuty, Amazon Inspector, Amazon Macie, AWS Config, AWS Security Hub などの AWS セキュリティサービスが提供するのは、全ての AWS アカウントおよびワークロードに対する継続的な可視性、自動的なコンプライアンスチェック、そして拡張性に富んだ脅威検知と対応方法です。スタートアップからエンタープライズまで、セキュリティに携わる方や情報システム部門の方が、AWS 環境をセキュアに設計・運用する上で必要な知識を学ぶことができます。

レポート

本セッションの対象者とゴール

• 対象者
  • AWs環境のセキュリティ対策に関する設計・実装を管理する方
  • 組織のセキュリティ監視と運用を行い、インシデントの検知や対応を実施する方
• ゴール
  • AWsサービスを用いて、高度な脅威検知とインシデント対応実施方法を学び、組織全体のセキュリティ管理の仕方を理解する
• 本セッションでお話ししないこと
  • 一般的なセキュリティ管理策に関する基本的な説明
  • AWSセキュリティサービス以外の細かな仕様や詳細解説(AWSサービスの基本知識が前提)

アジェンダ

• AWSセキュリティサービスによる組織全体の保護
• 変化する環境において脅威を検知するには(Amazon GuardDuty)
• 増大する脅威を監視し対応するには(AWS Security Hub)
• 対応すべき脅威を調査するには(Amazon Detective)
• まとめ

AWSセキュリティサービスによる組織全体の保護

• カテゴリに応じたAWSサービスを提供
  • 識別、防御、検知、対応、復旧のカテゴリ分け
  • 組織に合わせて必要なサービスを選定

組織全体の保護にはAWSアカウントの理解が必要不可欠

• アカウント内に多くのAWSリソースが存在している
• AWSアカウントとは
  • AWSサービスの入れ物
  • コスト請求を分けるためのコンテナ
  • 明示的なセキュリティの境界
  • 制限と閾値を適用するための枠組み
• マルチアカウントにおけるセキュリティ組織単位
  • ログアーカイブ、監査用等用途ごとにアカウントを作成
  • 今回はセキュリティアカウントにフォーカス
• セキュリティアカウントによる検知・対応・調査
  • 各メンバーアカウントから検知結果を収集
  • セキュリティアカウントで集約することで包括的な監視が可能
  • 結果に応じて対応、詳細な調査を実施する

変化する環境において脅威を検知するには(Amazon GuardDuty)

• 脅威インテリジェンスと継続的監視により、AWSアカウントやリソースを効果的に保護
• データソースは以下の4つから収集
  • VPCフローログ
  • DNSログ
  • CloudTrailイベント
  • S3データイベント
• 脅威検出の種類には大きく２つ
  • 脅威インテリジェンス
    • 仮想マイニング、C&Cアクティビティ
  • 脅威検知
    • 機械学習系の検知パターン
    • 通常とは異なるユーザーの挙動
    • 通常とは異なる通信パターン
• 重要度に分類し、SecurityHubなどのサービスに連携

Amazon GuardDutyが検出する既知の脅威

• AWS固有のインテリジェンス
• パートナーの脅威インテリジェンス
• お客様提供の脅威インテリジェンス
• これらの脅威インテリジェンスを用いてGuardDutyが脅威を検出

Amazon GuardDutyが検出する未知の脅威

• 以上な振る舞いを検出するためのアルゴリズム
  • ヒューリスティックのための信号パターンの検査
  • 正常なプロファイリングとの偏差の確認
  • 機会学習による分類
• 検出された結果はJSONで確認することが可能
  • EventBridgeイベントを活用
    • GuardDutyのイベントをEventBridgeに連携
    • 5分間の情報を1つのイベントに集約

増大する脅威を監視し、対応するには(AWS Security Hub)

• 組織内の様々なセキュリティデーターを集約、一元的に可視化してリスクを評価
• 左側にあるような様々なサービスからSecurity Hubに集約
• 自動でセキュリティチェックを実施
• 調査、対応、修正のための措置を実施

AWS Secuirty Hubインサイト

• どのような観点で見たいのかによってフィルタリングすることが可能
• 事前定義だけでなく、独自のインサイトの作成も可能
• セキュリティ評価の自動化
  • 150以上のセキュリティ項目の継続的な評価を自動化
  • ダッシュボードで素早くアクセス可能
• AWS基礎セキュリティのベストプラクティス
  • AWSアカウントのリソースが、AWSセキュリティベストプラクティスと一致していないことを検出する
  • AWSセキュリティの専門家によって定義
  • 基本的なAWSサービスをカバー
• CIS AWS Foundations Benchmark
  • CISが定義した、AWSのセキュリティ設定のベストプラクティス
  • CIS要件の一部に対するコンプライアンス遵守状況をチェック

対応すべき脅威を調査するためには(Amazon Detective)

• セキュリティ問題の根本原因を迅速に分析、調査、特定するためのサービス
• Security Hubを経由してAmazon Detectiveを確認する
• GuardDutyのコンソールから直接確認することも可能

• マルチアカウントにおいても情報を収集

  • Detective内のsecurity behabior graphというデーターベースに様々な情報を保存
  • 管理者アカウントだけでなく、メンバーアカウント複数からも連携して収集

security behabior graphとは

• GraphDB
• N:Nの関係を効率的に管理する
• 情報量が多くなったときでも、すばやく情報にアクセスできる
• マルチアカウントによる集中管理
  • GuardDuty、SecurityHub、Detectiveの権限委譲された管理アカウントにセキュリティアカウントに指定する
  • Organizations管理アカウントではなくセキュリティアカウントに権限委譲することをお勧め
  • GuardDuty、SecurityHubについては自動で一括自動有効化
    • Detectiveの自動有効化については最新情報を確認

まとめ

• 組織全体のセキュリティを保護するには
  • 全てのAWsアカウントをセキュリティ監視対象とする
• 脅威の検知、対応、調査を実施するには
  • GuardDuty,Security Hub,DetectiveなどAWSで利用可能なセキュリティサービスを理解する
• AWSセキュリティサービスを活用するには
  • マルチアカウント環境において、セキュリティサービスを有効化するだけでスケーラブルに展開

感想

脅威検知と対応に関するサービスに加えて、マルチアカウントを含めた権限委譲にも触れられていて勉強になるセッションでした！AWSアカウントをセキュアに保つため、こうしたサービスを上手に利用していきたいですね。