[レポート] ランサムウェアへの対策についてディスカッションしてみる #TNC296 #AWSreInforce

こんにちは！ AWS 事業本部コンサルティング部のたかくに（@takakuni_）です。

フィラデルフィアで開催されている AWS re:Inforce 2024 に参加しています。

本記事は AWS re:Inforce 2024 のセッション「Tabletop exercise: Ransomware response」のセッションレポートです。

セッション概要

Embark on an immersive journey at our ransomware response tabletop exercise, where industry leaders collaborate to address the threat of ransomware attacks within AWS infrastructures. This executive-level simulation provides a dynamic platform for participants to collaborate, strategize, and implement decisive actions amidst a simulated ransomware incident. Through realistic scenarios and expert guidance, attendees navigate the complexities of ransomware mitigation, bolstering their readiness to safeguard critical assets and mitigate financial and reputational risks. Join this session to elevate your organization’s resilience and fortify defenses against evolving cyber threats.

セッションの内容

本セッションは、ハンズオンやセッションを聴くなどではなく、ランサムウェアに対する対応をどうすればいいのかディスカッションするセッションでした。

各テーブルで自己紹介を行い、チーム名を決定してセッションは進んでいきます...

前半

前半パートではランサムウェアへの予防、検知および分析、感染時の隔絶およびリカバリ、インシデント後の対応の 4 つの観点でどういったことができるか話を行うパートでした。

予防では普段から、 Gameday などのトレーニングを通じてセキュリティ意識をメンバーに浸透させる意見が多く出ていて、サービス以外での実装も大事なことだなぁとしみじみ感じました。会社レベルで Gameday の開催を年 1-2 回やる方もいて、羨ましかったです。

検知および分析のパートでは、やはり GuardDuty を導入する意見は多かった印象です。Security Hub や GuardDuty で検知した時のトリアージみんなどうする？でかなり盛り上がりました。私は CCG などの話をして見ました。

感染時の隔絶およびリカバリについては、アカウントの隔離についてや、 RPO/RTO を含めたリカバリに対する手法のディスカッションが盛り上がりました。

最後にインシデント後の対応です。写真を撮り忘れたのですが、ポストモーテムについてどんな観点や要素で提出が必要かについて盛り上がりました。

後半

後半は前半で話し合ったことをもとに、実際に予防、検知および分析、感染時の隔絶およびリカバリについて選択式でディスカッションを進めていくパートでした。

写真は予防どれにするかを決めるフェーズでしたが、かなり迷ったり意見が違ったりして面白かったです。私のチームはレスポンスの自動化と社員のスキルアップを選択しました。

以下のように他のテーブルのチームとランキングを競う形式でとても面白かったです。（AmazonianEagles が私のチームで写真を撮った時は 1 位でしたが最終的には 2 位でフィニッシュでした。）

おわりに

以上、 Tabletop exercise: Ransomware response のセッションレポートでした。他の会社さんの意見や普段やっていることをディスカッションできてとても良かったです。

感染時の隔絶およびリカバリや、インシデント後の対応が個人的にまだまだ伸ばせそうな要素だったので、もう少し勉強してまた参加したいと思いました。

AWS 事業本部コンサルティング部のたかくに（@takakuni_）でした！