[세션 레포트] AWS 환경에서의 위협 탐지 및 사냥 #AWSSummitOnlineKorea

안녕하세요! 클래스메소드 주식회사 신입 엔지니어 정하은입니다!?

어제에 이어 두번째 세션 레포트를 작성하게 되었어요. 다른 분들의 레포트 글들도 계속 올라오고 있으니 궁금하신 분들은 아래의 링크를 클릭해서 확인해주세요~

그럼 기술트랙2의 'AWS 환경에서의 위협 탐지 및 사냥' 세션 레포트를 시작하겠습니다!

발표자 소개

신은수 님

• 솔루션즈 아키텍트
• AWS

이상 징후의 탐지를 위한 기본 서비스

AWS는 NIST의 사이버 시큐리티 프레임워크에 따라 구성하도록 보안서비스를 제공

이상 징후 탐지를 위한 데이터 소스

• CloudTrail
  • API 호출 이력을 로그로 관리
  • 관리 이벤트
    • EC2 인스턴스의 생성/삭제/변경 등과 같은 리소스 제어 행위
    • 데이터 이벤트에 비해 자주 발생하지는 않음
    • AWS의 대부분의 서비스에서 지원
  • 데이터 이벤트
    • 특정 데이터에 관련된 행위 ex) S3의 특정 Object를 기록, 다운로드, 업데이트
    • Lambda, S3에서 지원
  • 해당 API를 호출한 주체(자격증명) 정보 포함, 호출 시간, 이벤트 소스 등의 이벤트에 대한 정보 기록
  • 외부시스템에 대한 분석이나 장기간동안 저장할 수 있도록 S3를 저장소로 사용하는 것을 권고

※ CloudTrail Insights - 비정상 API 활동 감지

• 기계학습 기법을 활용하여 자동으로 비정상적인 활동을 감지
• 탐지된 비정상 API 활동은 Management Console 대시보드에 그래프 형태로 제공
• CSV, JSON 포맷으로 다운로드 가능

• VPC Flow log / VPC Mirroring
  • ENI 기준의 트래픽 정보를 제공
  • VPC Flow log는 로그에 기반하여 제한된 필드의 로그를 전달하지만, VPC Mirroring은 패킷 기반으로 전체 정보를 실시간으로 전달

• CloudWatch
  • CloudWatch Logs Insights
    • VPC, Route 53, Lambda, CloudTrail, EC2 기타 로그 등 수집, 분석
    • 지정한 로그 폴더에 대해 직접 쿼리 구문을 작성해 분석 가능
  • CloudWatch Anomaly Detection
    • 일정 기간동안 발생한 비정상 사용 패턴 파악
    • 지정한 매트릭에 대해 기계학습 알고리즘을 적용해 해당 매트릭의 기대값 모델 생성
    • 최초 모델 생성 후 지속적으로 업데이트
    • 특정 기간에 대한 예외 처리 가능

Amazon GuardDuty

Amazon GuardDuty란?

• 별도의 고객 설정을 할 필요 없이 활성화만을 통해 다양한 보안 위협을 탐지하고 알람을 발생시킴

• Threat intelligence : IP reputation이나 signature와 같은 정적인 탐지 유형
• Anomaly Detection (AI/ML) : 사용자의 행위나 트래픽의 변동 추이와 같은 다양한 정보를 통해 분석 업무를 수행한 이후의 탐지 유형

• 위협이 탐지되면 Low / Medium / High 로 경보 발생
• 탐지 내역은 Security Hub로 통합 가능
• 자신이 운용하는 서드 파티 보안 솔루션과 연동 가능

위협 유형

• 정찰 : AWS 자원에 침투하기 위해 정찰한 활동
• 인스턴스 침해 : 인스턴스 관련 침해 활동
• 어카운트 침해 : AWS 계정을 타겟으로 한 침해 활동

Amazon Detective

분석 과정에서의 과제

• 발생 된 이벤트와 관련된 특정 데이터 선별의 어려움
• 정제된 데이터를 추출하는데 필요한 복잡한 절차
• 고난이도 분석 작업을 하기 위한 기술 인력
• 조직에 투입되는 비용

→ 위의 과제를 Amazon Detective에서 쉽게 해결 가능!

Amazon Detective란?

• 완전 관리형 기계학습 기반의 보안 위협 분석 서비스
• 별도의 데이터 수집 작업, 숙련된 기술 인력, 다양한 분석 절차 수립 과정 등 불필요
• 그래프나 글로벌 맵과 같은 시각화 메뉴 제공

Amazon Detective 동작 원리

1. AWS 내부에서 VPC Flow Log, CloudTrail Log, GuardDuty 탐지 내역을 수집해 분석 업무 실행 (분석에 사용되는 데이터는 지속적으로 업데이트)
2. 그래프 모델로 병합
3. 데이터 분석
4. 분석 결과 시각화

다중 환경에서의 데이터 수집

• 서로 다른 계정 간에 생성되는 다중 계정 환경을 지원하는 보안 서비스 (ex. Guard Duty, Security Hub, AWS WAF 등) 의 탐지 내역 통합
• Master 어카운트와 Member 어카운트로 구성하여, Master 어카운트에서 Member Account의 분석 내역을 통합하여 모니터링

보안 행위 그래프

• AWS 인프라를 어떤 사용자가 시작했는지
• 어떤 IP에서 어떤 트래픽을 이용하였는지
• 어떤 IP에서 출발하고 어떤 목적지 IP로 접속했는지
• 특정 임시 보안 자격 증명이 어떤 S3 버킷에 접근했는지
• Guard Duty가 어떤 위협을 탐지하였고 경보를 발생했는지 등

→  위와 같은 분석 후, 그래프로 정리

Amazon Detective 사용 사례

• 경보 수준 조정 : 알람에 대한 분석
  • 얼마나 많은 양의 데이터 전송이 이루어졌는지
  • 이 데이터 패턴이 정상적인 것인지
  • 이전에 무슨 일이 발생했는지
  • 현재 수준의 API 실패율이 정상인 것인지
• 사고 분석 : 사고 연관 분석
  • 특정 IP에서 발생된 API 호출 내역이 어떤지
  • 해당 호출이 정찰 활동과 관련한 것인지
  • 어떤 자격 증명이 사용 되었는지
  • 어떤 IP와 통신이 이루어졌는지
• 위협 사냥 : 사고의 근본 원인 파악
  • 위협 리포트 내 IP가 과거에 조직 내 EC2 인스턴스와 통신한 이력이 있는지
  • 의심스러운 User Agent가 어떤 API 호출을 하였는지

Security Hub

Security Hub란?

• AWS 보안 서비스나 서드 파티 보안 서비스에서 탐지한 내역을 통합하여 모니터링
• Amazon Inspector, Amazon GuardDuty, Amazon Macie, AWS Config 등의 보안 탐지 내역 제공 서비스와 통합
• Custom action
  • 미리 만들어 둔 Cloud Watch의 규칙을 Security Hub에서 연계하여 사용 가능
  • 규칙을 통해 특정 Lambda 함수를 호출하거나, Amazon Kinesis Data Stream을 이용하도록 하거나, Amazon SNS으로 경보를 발생하는 등의 자동화 작업 수행 가능

업데이트

• 보안 탐지 내역 제공 서비스에 Firewall Manager, IAM Access Analyzer 추가
• 규정 준수 확인 기능 버전이 CIS Foundations은 1.2.0으로 PCI DSS는 3.2.1로 업데이트

탐지에 대한 자동화된 대응

• Amazon GuardDuty처럼 VPC Flow Log, Cloud Trail Log, DNS Log 등을 데이터 소스로 하여 위협 탐지를 분석하는 서비스에서 최초 보안 위협 탐지
• Amazon Detective에서 심화 분석 작업 수행
• 보안 경보들을 Security Hub로 통합, 모니터링
• 이미 만들어진 규칙을 통해 Custom action을 활용하여 자동화 된 대응 가능

참조

AWS CloudTrail, CloudTrail Insights 발표

AWS CloudWatch 이상 탐지 소개

Amazon GuardDuty 기능

Amazon Detective 기능

AWS Security Hub, AWS Identity and Access Management(IAM) Access Analyzer와 통합