[Report][AWS Summit Online ASEAN RE:CAP 2020]Nâng cao khả năng bảo mật cho tổ chức với Amazon GuardDuty
Ngày 29/09/2020 vừa rồi đã diễn ra sự kiện AWS Summit Online ASEAN RE:CAP. Link sự kiện: https://live.awsevents.com/ASEANSummitreCap/
Chủ để của session lần này là "Nâng cao khả năng bảo mật cho tổ chức với Amazon GuardDuty" Diễn giả: Trung Dang, Solutions Architect, AWS
Đối với Cloud, việc thu thập và tổng hợp từ các hoạt động về tài khoản và mạng đã được đơn giản hoá, nhưng vẫn rất tốn thời gian cho đội ngũ kĩ sư bảo mật để phân tích liên tục dữ liệu nhật ký sự kiện cho các mối đe dọa tiềm ẩn. Với GuardDuty, giờ ta có lựa chọn thông minh và hiệu quả về chi phí nhằm phát hiện mối đe dọa liên tục trong AWS Cloud. Dịch vụ này sử dụng công nghệ học máy (machine learning), phát hiện sự bất thường và khả năng phân tích mối đe dọa tích hợp để xác định và sắp xếp ưu tiên các mối đe dọa tiềm ẩn. GuardDuty phân tích hàng chục tỷ sự kiện trên nhiều nguồn dữ liệu AWS, chẳng hạn như AWS CloudTrail, Amazon VPC Flow Logs, và DNS logs.
Trong phần trình bày này, chúng ta sẽ cùng đi qua một kịch bản cụ thể về phát hiện mối đe doạ và tự khắ phục bằng Amazon GuardDuty. Kịch bản mô phỏng một cuộc tấn công mở rộng từ nhiều góc độ, và đại diện cho một mẫu nhỏ các mối đe dọa mà GuardDuty có thể phát hiện. Ngoài ra, ta sẽ cùng xem cách phân tích các phát hiện của GuardDuty, cách gửi cảnh báo dựa trên các phát hiện và cuối cùng là cách khắc phục những phát hiện.
1. Tổng quan về Amazon GuardDuty
Amazon GuardDuty là dịch vụ được quản lý hoàn toàn bởi AWS đảm nhiệm việc giám sát và phát hiện rủi ro hay các hành vi bất thường trên account một cách liên tục, bảo vệ tài khoản AWS và khối lượng công việc của bạn
Cách hoạt động của GuardDuty
- GuardDuty sẽ liên tục giám sát, xử lý và phân tích Logs từ 3 nguồn dữ liệu khác nhau trên môi trường AWS là VPC Flow Logs, DNS Logs, CloudTrail events
- GuardDuty cũng sử dụng danh sách các rủi ro được cập nhật thường xuyên từ các tổ chức khác nhau
- GuardDuty cũng sử dụng Machine Learning để đánh giá các hành vi bất thường
Từ các hoạt động trên, GuardDuty đưa ra các findings và tự động phân loại mức độ nghiêm trọng khác nhau. Những tính năng của GuardDuty:
- Tính đơn giản: chỉ cần 1 cú click chuột để bắt đầu sử dụng
- Giám sát liên tục của bạn có tài khoản và tài nguyên
- Phủ sóng toàn cầu với kết quả khu vực
- Phát hiện các mối đe dọa đã biết (mối đe dọa dựa trên thông tin tình báo)
- Phát hiện mối đe dọa không xác định (dựa trên hành vi)
- Hợp nhất và quản lý toàn doanh nghiệp
- Sử dụng Machine Learning để phát hiện mối nguy hại
2. GuardDuty findings
GuardDuty findings là những phát hiện rủi ro về an toàn bảo mật được dò quét bởi GuardDuty.
Trên GuardDuty hiện nay định nghĩa hơn 50 loại findings khác nhau:
Findings và mọi thông tin chi tiết cũng có sẵn dưới dạng JSON thông qua API để chúng ta có thể sử dụng và tham chiếu trong code hoặc thông qua GuardDuty CLI
Tuy nhiên cách thức phổ biến nhất là tiếp nhận và xử lý findings thông qua CloudWatch Events
3. Ứng phó với findings
Quy trình đơn giản là từ GuardDuty sẽ truyền các findings tới CloudWatch Events, và từ đây truyền các event tới các services sẽ thực thi action. Ta có 1 loạt tuỳ chọn ở đây như Lambda, Kinesis, SNS, Step Functions,. để thực hiện sửa lỗi hoặc cảnh báo
Nếu ta muốn có 1 kho xử lý tập trung các findings, alerts từ nhiều dịch vụ khác nhau thì AWS Security Hub sẽ là lựa chọn phù hợp
4. Demo
Trong Scenario này, chúng ta giả lập 1 tình huống khi EC2 Instance thực hiện kết nối tới một Instance khác có địa chỉ IP nằm trong threat lists.
- Khi đó GuardDuty sẽ phân tích VPC Flow Logs để xác định findings về hành vi bất thường này
- Thông qua Cloudwatch Event để tiến hành đồng thời 2 action: Gửi email cảnh báo cho quản trị viên thông qua dịch vụ Amazon SNS và kích hoạt Lambda Functions để thay đổi Security Groups của Instance để thực hiện cô lập instance bị xâm nhập trái phép
Qua scenario, có thể thấy GuardDuty có sự linh hoạt trong việc tích hợp với các dịch vụ khác nhau của AWS để xây dựng quy trình sửa lỗi và thông báo. 4 điểm cần lưu ý là:
- Xem xét và đánh giá các action phù hợp đối với từng loại tài nguyên và findings cụ thể
- Cần 1 chiến lược tagging đúng đắn và nhất quán để thực hiện sửa lỗi tự động
- Security team phải làm việc chi tiết với Application owners để xây dựng được các quy trình xử lý phù hợp với từng findings
- Ta nên bắt đầu với xây dựng cảnh báo và ticket system, chuẩn hoá nó và dần dần xây dựng các quy trình xử lý tự động và luôn có phương án dự phòng như giám sát và xử lý thủ công
Session kết thúc tại đây. Nếu bạn thấy thú vị và muốn tìm hiểu thêm.. Hay truy cập đường link của sự kiện và tìm video của session "Nâng cao khả năng bảo mật cho tổ chức với Amazon GuardDuty"
Cảm ơn các bạn đã theo dõi blog. Xin chào và hẹn gặp lại!