[レポート] AWS環境での脅威検出と対応 #AWSSummitOnlineKorea

こんにちは! 新卒エンジニアのハウンです?

今回も韓国語の記事を日本語に翻訳してみました！トランスレーター無しでの翻訳となるとかなり大変でしたけど、より多くの人に情報を伝えられるよう頑張りました。自分の勉強にもなったのでとてもいい機会だったと思います。

では、技術トラック２の 「AWS環境での脅威検出と対応」セッションレポートを始めます！

※ 本記事で使用されている画像は登壇資料をもとに修正されたものです。

登壇者紹介

Eunsu Shin

• Security Specialist Solutions Architect
• AWS

異常検知のための基本サービス

AWSはNISTのサイバーセキュリティフレームワーク(CSF)に沿って構成できるようにセキュリティサービスを提供

→ NIST CSFについては、こちらを参考いただければと思います。

異常検知のためのデータソース

• CloudTrail
  • APIリクエスト履歴をログで管理
  • 管理イベント
    • EC2インスタンスの作成/削除/変更などのリソース制御行為
    • データイベントよりは発生頻度が低い
    • AWSのほとんどのサービスで支援
  • データイベント
    • 特定なデータに関する行為 ex) S3の特定Objectを記録、ダウンロード、アップデート
    • Lambda, S3で支援
  • APIをリクエストした主体(ID)情報、リクエスト時刻、イベントソースなどのイベントに関する情報を記録
  • 外部システムに関する分析や長期間保存できるようにS3をストレージとして使用することをおすすめ

※ CloudTrail Insights - 異常APIアクティビティ検知

• 機械学習方式を活用して自動的に異常なアクティビティを検知
• 検知された異常APIアクティビティはManagement Consoleダッシュボードにグラフ化された情報で提供
• CSV, JSONフォーマットでダウンロード可能

• VPC Flow log / VPC Traffic Mirroring
  • ENI 基準に沿ったトラフィック情報を提供
  • VPC Flow logは制限されたフィールドのログを送信するが、VPC Traffic Mirroringはパケット基盤で全体的な情報を送信可能

• CloudWatch
  • CloudWatch Logs Insights
    • VPC, Route 53, Lambda, CloudTrail, EC2ログなどを収集、分析
    • 指定したログフォルダに対して直接クエリ構文を作成して分析可能
  • CloudWatch Anomaly Detection
    • 一定時間の間に発生した異常使用パターン把握
    • 指定したメトリクスに機械学習アルゴリズムを適用して、そのメトリクスの期待値モデルを作成
    • 最初のモデル作成後、継続的にアップデート
    • 特定期間を例外処理することが可能

Amazon GuardDuty

Amazon GuardDutyとは?

• 別途設定をしなくても、有効化するだけで様々なセキュリティ脅威を検出し、アラートを発生

• 脅威インテリジェンス (Threat intelligence) : IP reputationやsignatureのような静的な検出タイプ
• 異常検出 (Anomaly Detection (AI/ML)) : ユーザーの行為やトラフィック変動の推移のような、様々な情報をもとに分析業務を遂行した後の検出タイプ

• 脅威が検知されたら、Low / Medium / High 段階でアラート発生
• 探知結果はSecurity Hubで統合可能
• 自分が運用しているサードパーティーセキュリティソリューションと連携可能

脅威の種類

• 悪意のあるスキャン : AWSリソースに侵入する目的でスキャンする行為
• インスタンスへの脅威 : インスタンス関連の侵害行為
• アカウントへの脅威 : AWSアカウントをターゲットとした侵害行為

Amazon Detective

分析過程での課題

• 発生したイベントと関連した特定のデータを選別することが難しい
• まとまったデータを検出するための方法が複雑
• 高難易度の分析をするための人手が足りない
• 組織に投入する費用が負担

→ 上記のような課題をAmazon Detectiveで簡単に解決できる!

Amazon Detectiveとは?

• 完全マネージド型機械学習をもとにセキュリティ脅威を分析するサービス
• データ収集作業、熟練されたエンジニア、分析手順の作成などが準備されていなくても使える
• グラフやグローバルマップのような視覚化されたメニューを提供

Amazon Detectiveの動作原理

1. AWS内部でVPC Flow Log, CloudTrail Log, GuardDutyの検知結果を収集し、分析実行 (分析に使用されるデータは継続的にアップデート)
2. グラフモデルに統合
3. データ分析
4. 分析結果を視覚化

複数のアカウントのデータ収集

• マルチアカウントシステムを提供するセキュリティサービス (ex. Guard Duty, Security Hub, AWS WAFなど) の検知結果を統合
• MasterアカウントとMemberアカウントで構成され、Masterアカウントで Member Accountの分析結果を集約してモニタリング

Security Behavior Graph

• AWSリソースをどのユーザーが使用開始したか
• どのIPで、どのトラフィックを利用したか
• どのIPから、どの目的IPに接続したか
• 特定の一時的セキュリティ認証情報が、どのS3バケットにアクセスしたか
• Guard Dutyがどのような脅威を検知し、アラート発生させたか　など

→  上記のような分析後、グラフに整理

Amazon Detective使用事例

• アラートのトリアージ : アラートに関する分析
  • どれぐらいの量のデータ転送が行われたか
  • このデータパターンが正常か
  • 以前、何が発生したか
  • 現在のAPI失敗率が正常か
• インシデント調査 : 事故の関連性を分析
  • 特定のIPから発生された、APIリクエスト内容はどのようなのか
  • そのリクエストが偵察行為と関連しているか
  • どのIDが利用されたか
  • どのIPと通信が行われたか
• スレットハンティング : 事故の根本的な原因を把握
  • 脅威レポート内のIPが過去に組織内のEC2インスタンスと通信した履歴があるか
  • 疑わしいUser AgentがどのAPIを呼び出したか

Security Hub

Security Hubとは?

• AWSセキュリティサービスやサードパーティーセキュリティサービスで検知した結果を集約してモニタリング
• Amazon Inspector, Amazon GuardDuty, Amazon Macie, AWS Config などのセキュリティ検知結果を提供するサービスと統合
• Custom action
  • 予め作成したCloud WatchのルールをSecurity Hubで連携して使用可能
  • ルールを通じて特定のLambda関数を呼び出したり、Amazon Kinesis Data Streamを利用するようにしたり、Amazon SNSで通知を送るなどの自動実行が可能

アップデート

• Firewall Manager, IAM Access Analyzerとの統合
• セキュリティ標準コントロールのバージョンがCIS Foundationsは1.2.0に、PCI DSSは3.2.1にアップデート

自動化された検出と対応

• Amazon GuardDutyのようにVPC Flow Log, Cloud Trail Log, DNS Logなどをデータソースとして脅威検出を分析するサービスで脅威検知
• Amazon Detectiveで詳細な分析を実行
• セキュリティアラートをSecurity Hubで統合、モニタリング
• 予め作成されたルールを通じて、Custom actionを活用した自動的な対応が可能

参照サイト

AWS CloudTrailがCloudTrail Insightsを発表

AWS CloudWatch異常検出のご紹介 ‐ プレビュー開始

Amazon GuardDutyの特徴

Amazon Detectiveの特徴

AWS Security HubがAWS Identity and Access Management(IAM) Access Analyzerと統合