【レポート】自動化とAlexaでセキュリティチームを増強する #reinvent #SID302
こんにちは、臼田です。
今回はre:Invent 2017で行われましたSID302 - Force Multiply Your Security Team with Automation and Alexaについてレポートします。
レポート
- このセッションに期待すること
- 去年のセッションの復習(セキュリティイベントの自動化)
- セキュリティ自動化の背景
- 自動化対象を選ぶためのガイド
- 様々なサンプル
- その他
- デモ
- Alexaにセキュリティを手伝ってもらおう
- なんでAlexa?
- 身近で親切
- 反復性
- 強制実行など
- 専門知識の必要性が少なく、利用の敷居が低い
- モダンなセキュリティの役割
- アプリセキュリティ
- コンプライアンス
- セキュリティエンジニアリング
- セキュリティオペレーション
- 脅威情報の管理
- みんなうんざりしてるよね
- マニュアルとか
- 繰り返しとか
- どうやってAWSを利用して自然に自動化するか
- 保護対象を理解して、環境をプログラム的に整理する
- AWS APIからアプリの動作まで、広範囲に渡って何が行われているかを理解する
- 検出とアラートのメカニズム、及びそれを自分たちのために自由に作成・適切に調整できる柔軟性を持たせる
- ネイティブもしくはAWSパートナーソリューションによる分析とレスポンスを行う
- イベント検知からの自動実行のサンプル
- API実行の内容をTrailやCloudWatch Eventsで検知
- Lamndaでroleの付与やアラート等を行う
- アイデアからコードに落とすまで何を考えるか
- セキュリティの目的は何か
- 関連している設定または動作は何か
- どのデータが役立つか
- 必要な所有権または可視性を持っているか
- パフォーマンス要件は何か
- どのようなメカニズムをサポートしているか
- demo1:
- 要件: 脆弱なソフトウェアが動いているインスタンスを特定したい
- AlexaからLambda経由でInspectorを実行
- タグ毎に実行対象を識別する
- Alexaに検査結果を報告してもらった
- 検査の時間や発見した脆弱性の数等
- 画面を見ようと思ったらすごいめんどくさい(まだInspectorの画面は複雑なため音声のほうが分かりやすい)
- event ruleのCreateTagsでタグ付けを検知してイベント発生
- 新しいイベント発生
- チケットをオープンしたり
- 次の処理を適用したり
- demo2
- 脆弱なソフトウェアを検知したインスタンスに対してパッチ適用をAlexaに依頼
- Alexa「どれに適用しますか?」 レスポンス『全部だ!』
- 全ての脆弱なインスタンスに対してパッチマネージャがパッチを適用した
- SSMがあればなんでもできる
- demo2ではPatch Managerを経由してタグがついているものについてパッチを適用した
- 現状で新規に立ち上げるインスタンスには(一般的なOSには)全てSSMエージェントがインストールされている
- demo3
- 不審なインスタンスを検知して隔離したい
- タグ付けしたインスタンスをEvent RuleからLambda経由でSlack通知
- 隔離はセキュリティグループを利用
- VPCフローログから不正なアクセスの回数等も拾ってくれた
- Ingressのルールでブロックすることも可能
- other resources
- ThreatResponse, open IR tools for AWS
- https://threatresponse.cloud
- Netflix "Security Monkey", "Scumblr, etc.
- https://netflix.github.io/
- NCC Group, "Scout2"
- https://nccgroup.github.io/Scout2/
まとめ
セキュリティの自動化を行うことにより、様々な煩雑な作業が最適化されるとともに、運用保守の難易度もいい意味で下がるためどんどん行いたいですよね。
そんな中、Alexaを利用してよりインターフェイスを簡単にすることも、今では現実味を帯びて来ていると感じました。
セキュリティの自動化やAlexaでの業務トリガーの効率化を検討してみてはいかがでしょうか?
