[レポート][NEW LAUNCH] Respond and recover faster with AWS Security Incident Response に参加しました #AWSreInvent #SEC360-NEW

[レポート][NEW LAUNCH] Respond and recover faster with AWS Security Incident Response に参加しました #AWSreInvent #SEC360-NEW

セキュリティインシデントへの対応と復旧を迅速化する新しいサービス、AWS Security Incident Responseのセッションに参加しましたので、ご紹介します。
AWS re:Invent 2024

AWS re:Invent 2024

#AWS
#Amazon GuardDuty
#AWS Security Hub
yusuke

yusuke

facebook logohatena logotwitter logo
Clock Icon2024.12.11

SEC360-0

Introducing AWS Security Incident Response, a new service to help you respond and recover faster from security incidents. Learn how Security Incident Response triages threat findings from Amazon GuardDuty and other detection services and provides service-native tools to coordinate and automate response. For highly complex incidents, you can access AWS security experts who are available 24/7. Explore how Security Incident Response can complement your existing security tools and services, reducing incident response times from days to minutes.

以下、翻訳です。

AWS セキュリティインシデントレスポンスのご紹介。セキュリティインシデントへの対応と復旧を迅速化する新しいサービスです。セキュリティインシデントレスポンスが Amazon GuardDutyやその他の検出サービスから脅威の発見をトリアージし、サービスネイティブのツールを提供して対応を調整および自動化する方法を学びます。非常に複雑なインシデントの場合は、24時間年中無休で対応可能な AWS セキュリティエキスパートにアクセスできます。セキュリティインシデントレスポンスが既存のセキュリティツールとサービスを補完し、インシデント対応時間を数日から数分に短縮する方法をご覧ください。

レポート

これまでの顧客対応から得られた教訓と、それを基に構築した新サービス「AWS Security Incident Response Service」についての発表となります。

このサービスは顧客側のセキュリティインシデント対応を支援することを目的としています。

SEC360-1

  1. セキュリティインシデント対応の課題
  • インシデント対応は困難で、特に高ストレス環境ではコミュニケーションが大きな課題となる。
  • 具体例として、2023年8月に発生した大規模ランサムウェア攻撃では、環境変更に必要な承認を得るまでに19時間かかったケースが挙げられました。
  1. アラート疲労
  • 警告通知が多すぎて重要なアラートが見逃される「アラート疲労」は実際の問題。
  • 2022年の物流会社での事例では、ランサムウェア攻撃の4か月前に通知があったにもかかわらず、顧客は対応しきれませんでした。
  1. ツールと仕組みの不足
  • 2023年12月には、サードパーティ開発者がハードコーディングした資格情報が原因で、3か月で4回のインシデントが発生した顧客が支援対象となりました。
  • 顧客が問題を特定・検知するための適切なツールや仕組みが必要だと学びました。

SEC360-2

SOC(セキュリティ運用センター)は、発信されたアラートの約50%しか調査できない状況です。これにより、攻撃者が活動するための「時間」と「余地」が生まれています。

SEC360-3

平均277日を要するセキュリティイベントの特定と解決。この長期間が脅威を拡大させる一因となっています。

SEC360-4

セキュリティ担当者の84%がストレス、燃え尽き症候群、疲労を訴えています。

3分の1が新しい仕事を探しています。

SEC360-5

AWS Security Incident Responseはセキュリティインシデントの準備、対応 、回復を より効果的に行えるように支援します。

Agenda

SEC360-6

  1. AWS Security Incident Response
  2. Service overview
  3. How it works
  4. Customer example
  5. Customer testimonials
  6. Call to action

SEC360-7

Security Incidentの定義

クラウドリソースまたはオンプレミス環境に影響を与える可能性がある、確認または認識されたイベントである可能性のあるあらゆるものです。

AWS Security Incident Responseサービスの特徴

SEC360-8

  • プロアクティブなインシデント対応として

自動化を使用して、Amazon GuardDutyまたはAWS Security Hubからのセキュリティ検出結果を監視し、優先順位付けします。その後、顧客固有のメタデータを使用してこれらの発生状況を優先順位付けし、お客様にとって最も重要なアラートに優先順位付けします。

  • コミュニケーションのプラットフォーム

インシデント対応を効率的に管理するためのツールを提供。

  • 24/7サポート

AWS CIRT(顧客インシデント対応チーム)へのアクセスがあり、インシデントの調査や解決を支援します。

How it works

SEC360-9

それぞれのステップは、準備、対応、回復という サービスの3つの核となる原則に大まかにマッピングされています。

Step 1. 準備

  • 準備は対応と復旧の取り組みと同様に重要
  • セキュリティインシデントがエスカレーションされた瞬間にチームが対応できるようフレームワークを提供します。

Step 2. 対応

  • プロアクティブなインシデント対応ワークフロー
  • 顧客による自己対応

Step 3. 回復

  • AWSのサービスツールとAWS CIRTへの24時間年中無休のアクセスを組み合わせることにより、迅速かつ効果的な回復をサポートします。

SEC360-10

Proactive security response

Amazon GuardDutyやAWS Security Hubからのセキュリティインシデントの発見結果を取り込み、顧客固有のメタデータ(ARN、IAMプリンシパル、IPアドレスなど)と組み合わせます。このプロセスにより、GuardDuty内で抑制フィルタを設定し、顧客にとって重要なアラートだけに集中できるようにします。もしそのインシデントが十分に評価できなかった場合、AWSのセキュリティチームがさらに調査を行い、発見結果の真偽を確認します。調査結果が不確定な場合には、セキュリティインシデントとしてエスカレーションを行い、顧客に通知します。

Customer example

SEC360-11

実際のシナリオを通じて、AWSの自動化されたインシデント対応がどのように機能するかを説明。例えば、S3バケットのリソース削除に関する悪意のある活動の警告が発生した場合、AWSは自動的にアラートを確認し、必要に応じてエスカレートします。

AWS Customer Incident Response Team (CIRT)

SEC360-12

  • グローバルに配置され、オーストラリア、ロンドン、米国東部および太平洋時間帯で6時間ごとのシフトを行うチーム。
  • 毎年約1500件の顧客セキュリティインシデントを調査し、共有責任モデルの「顧客側」のインシデントに対応。
  • チームメンバーは高い技術スキルと専任のコミットメントを持つ。
  • セキュリティインシデントに対する調査に特化。
  • 顧客との協力により、学習と成長を通じてセキュリティインシデント対応プログラムの強化をサポート。

Key service benefits

SEC360-13

  • 顧客がメンバーシップ、ケース、オペレーションを制御できる API主導のサービス
  • クラウドリソースのセキュリティにおける脅威の修復
  • 継続的に監視および保護
  • クラウドリソースの安全な配置
  • 非効率な部分は通信プラットフォームによって合理化し、重要な問題に集中する

Customer use cases

SEC360-14

  • インシデント対応計画をテスト、計画、運用するための一元化されたプラットフォームを提供
  • 以前はランブックやツールが分散されており、アクセス権限が不足するケースもあったが、これを解決
  • 各インシデントから学び、どのように検出されたか?どのように対応したか?封じ込めまでの平均時間はどれくらいか

AWS Security Incident Response

SEC360-15

  • 明確で効果的なコミュニケーション
  • アラート疲労を軽減
  • ツールとメカニズム
  • AWS CIRTへの直接アクセス

AWS Security Incident Response Serviceは、迅速で効率的なインシデント対応を可能にするプラットフォームです。
アラート疲労の軽減、コミュニケーションの改善、ツールの統合を通じて、顧客のビジネス目標達成を支援します。シンプルな「Get Help」ボタンを利用して、AWS CIRTに直接アクセスできます。

Call to action

まとめ

AWS Security Incident Response Serviceは、アラートの効果的な管理、効率的な対応、インシデント対応プロセスの最適化を目的として設計されています。セキュリティインシデント対応がどれほど迅速で効率的に行えるかが重要であることが強調されていました。今回のセッションで新サービス「AWS Security Incident Response Service」について知ることができました。

Share this article

facebook logohatena logotwitter logo

関連記事

(New Model!) ทดลองใช้งาน Amazon Nova #AWSreInvent

(New Model!) ทดลองใช้งาน Amazon Nova #AWSreInvent

Amazon Lexの新しい多言語ストリーミング音声認識モデル (ASR-2.0) がリリースされ、認識精度が向上しました

Amazon Lexの新しい多言語ストリーミング音声認識モデル (ASR-2.0) がリリースされ、認識精度が向上しました

User avatar
平井裕二
2024.12.12
「これでLambdaが不要に?!Step FunctionsのJSONata対応について」というタイトルでCM re:Growth 2024 OSAKAに登壇しました #regrowth_osaka

「これでLambdaが不要に?!Step FunctionsのJSONata対応について」というタイトルでCM re:Growth 2024 OSAKAに登壇しました #regrowth_osaka

User avatar
岩田智哉
2024.12.12
AWS Graviton4 ベースの Amazon EC2 R8g インスタンスが東京リージョンで利用可能になりました

AWS Graviton4 ベースの Amazon EC2 R8g インスタンスが東京リージョンで利用可能になりました

User avatar
suzuki.ryo
2024.12.12
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.