[レポート] セキュリティ・イベントに関連するトップ・コンフィギュレーションのミスを防ぐ#TDR353 #AWSreInforce

フィラデルフィアで開催されている AWS re:Inforce 2024 の「Preventing top misconfigurations associated with security events」のセッションレポートです。 AWS のセキュリティサービスを利用しインシデントの特定および修復していくセッションでした。

AWS re:Inforce 2024

#re:Inforce 2024

#AWS

たかくに

2024.06.13

こんにちは！ AWS 事業本部コンサルティング部のたかくに（@takakuni_）です。

フィラデルフィアで開催されている AWS re:Inforce 2024 に参加しています。

本記事は AWS re:Inforce 2024 のセッション「Preventing top misconfigurations associated with security events」のセッションレポートです。

セッション概要

Have you ever wondered how you can prevent top misconfigurations that could lead to a security event? Join this builders’ session, where the AWS Customer Incident Response Team (CIRT) reviews some of the most commonly observed misconfigurations that can lead to security events. Then learn how to build mechanisms using AWS Security Hub and other AWS services that can help detect and prevent these issues. You must bring your laptop to participate.

セッションの内容

このセッションでは AWS CIRT（カスタマーインシデントレスポンスチーム）がセキュリティイベントにつながると判断した、一般的に観察される設定ミスを学部セッションで上位 2 つについて、予防と検知策を設定していくセッションでした。

認証情報が公開された場合の脅威検知および修復
設定不備に対する修復

Exposed Credentials

脅威検出

Exposed Credentials では認証情報が公開されたインシデント想定して脅威検出および修復を行なっていきます。まずは、 GuardDuty から確認します。 CloudTrail のログ記録が無効化されていますね。

無効化されたアクションから CloudTrail のイベントを追っていきます。

GuardDuty の結果を照らし合わせ、CloudTrail のイベント履歴から侵害範囲を特定します。どうやって確認するのか、手順やヒントがあって優しかったです。

CloudTrail のログ記録以外にも、いろいろやられてそうでした。若干ネタバレ要素があるためあえて、モザイクかけています。

対応

侵害された範囲が特定できたため、二次被害を抑えるべく隔絶対応をします。 IAM のコンソールより CloudTrail のログ記録を無効化していた devRole から権限を剥奪します。その他、モザイクかけていた部分も隔絶対応をしていく内容でした。

修復

最後に侵害されたリソースに修復をして完了です。ハンズオン要素はないのですが、なぜこういったことが起きてしまったのかの原因を確認するような内容でした。 MFA 有効化するなど再発防止策も確認する内容でした。

Misconfigured Resource

脅威検出

シナリオ 2 はリソースの設定不備についてです。同じく GuardDuty で脅威検出されたインスタンスについて確認します。

検出された EC2 インスタンスの情報と Security Hub のコントロールで指摘されている情報から、攻撃元として懸念される部分を特定します。個人的に Security Hub のコントロール機能は予防の観点で使うもののイメージが強かったのですが、検知した時の原因特定のヒントで利用するパターンは新鮮でした。