この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
안녕하세요! 클래스메소드 주식회사 신입 엔지니어 정하은입니다!?
어제에 이어 두번째 세션 레포트를 작성하게 되었어요. 다른 분들의 레포트 글들도 계속 올라오고 있으니 궁금하신 분들은 아래의 링크를 클릭해서 확인해주세요~
그럼 기술트랙2의 'AWS 환경에서의 위협 탐지 및 사냥' 세션 레포트를 시작하겠습니다!
발표자 소개
신은수 님
- 솔루션즈 아키텍트
- AWS
이상 징후의 탐지를 위한 기본 서비스
AWS는 NIST의 사이버 시큐리티 프레임워크에 따라 구성하도록 보안서비스를 제공
이상 징후 탐지를 위한 데이터 소스
- CloudTrail
- API 호출 이력을 로그로 관리
- 관리 이벤트
- EC2 인스턴스의 생성/삭제/변경 등과 같은 리소스 제어 행위
- 데이터 이벤트에 비해 자주 발생하지는 않음
- AWS의 대부분의 서비스에서 지원
- 데이터 이벤트
- 특정 데이터에 관련된 행위 ex) S3의 특정 Object를 기록, 다운로드, 업데이트
- Lambda, S3에서 지원
- 해당 API를 호출한 주체(자격증명) 정보 포함, 호출 시간, 이벤트 소스 등의 이벤트에 대한 정보 기록
- 외부시스템에 대한 분석이나 장기간동안 저장할 수 있도록 S3를 저장소로 사용하는 것을 권고
※ CloudTrail Insights - 비정상 API 활동 감지
- 기계학습 기법을 활용하여 자동으로 비정상적인 활동을 감지
- 탐지된 비정상 API 활동은 Management Console 대시보드에 그래프 형태로 제공
- CSV, JSON 포맷으로 다운로드 가능
- VPC Flow log / VPC Mirroring
- ENI 기준의 트래픽 정보를 제공
- VPC Flow log는 로그에 기반하여 제한된 필드의 로그를 전달하지만, VPC Mirroring은 패킷 기반으로 전체 정보를 실시간으로 전달
- CloudWatch
- CloudWatch Logs Insights
- VPC, Route 53, Lambda, CloudTrail, EC2 기타 로그 등 수집, 분석
- 지정한 로그 폴더에 대해 직접 쿼리 구문을 작성해 분석 가능
- CloudWatch Anomaly Detection
- 일정 기간동안 발생한 비정상 사용 패턴 파악
- 지정한 매트릭에 대해 기계학습 알고리즘을 적용해 해당 매트릭의 기대값 모델 생성
- 최초 모델 생성 후 지속적으로 업데이트
- 특정 기간에 대한 예외 처리 가능
- CloudWatch Logs Insights
Amazon GuardDuty
Amazon GuardDuty란?
- 별도의 고객 설정을 할 필요 없이 활성화만을 통해 다양한 보안 위협을 탐지하고 알람을 발생시킴
- Threat intelligence : IP reputation이나 signature와 같은 정적인 탐지 유형
- Anomaly Detection (AI/ML) : 사용자의 행위나 트래픽의 변동 추이와 같은 다양한 정보를 통해 분석 업무를 수행한 이후의 탐지 유형
- 위협이 탐지되면 Low / Medium / High 로 경보 발생
- 탐지 내역은 Security Hub로 통합 가능
- 자신이 운용하는 서드 파티 보안 솔루션과 연동 가능
위협 유형
- 정찰 : AWS 자원에 침투하기 위해 정찰한 활동
- 인스턴스 침해 : 인스턴스 관련 침해 활동
- 어카운트 침해 : AWS 계정을 타겟으로 한 침해 활동
Amazon Detective
분석 과정에서의 과제
- 발생 된 이벤트와 관련된 특정 데이터 선별의 어려움
- 정제된 데이터를 추출하는데 필요한 복잡한 절차
- 고난이도 분석 작업을 하기 위한 기술 인력
- 조직에 투입되는 비용
→ 위의 과제를 Amazon Detective에서 쉽게 해결 가능!
Amazon Detective란?
- 완전 관리형 기계학습 기반의 보안 위협 분석 서비스
- 별도의 데이터 수집 작업, 숙련된 기술 인력, 다양한 분석 절차 수립 과정 등 불필요
- 그래프나 글로벌 맵과 같은 시각화 메뉴 제공
Amazon Detective 동작 원리
- AWS 내부에서 VPC Flow Log, CloudTrail Log, GuardDuty 탐지 내역을 수집해 분석 업무 실행 (분석에 사용되는 데이터는 지속적으로 업데이트)
- 그래프 모델로 병합
- 데이터 분석
- 분석 결과 시각화
다중 환경에서의 데이터 수집
- 서로 다른 계정 간에 생성되는 다중 계정 환경을 지원하는 보안 서비스 (ex. Guard Duty, Security Hub, AWS WAF 등) 의 탐지 내역 통합
- Master 어카운트와 Member 어카운트로 구성하여, Master 어카운트에서 Member Account의 분석 내역을 통합하여 모니터링
보안 행위 그래프
- AWS 인프라를 어떤 사용자가 시작했는지
- 어떤 IP에서 어떤 트래픽을 이용하였는지
- 어떤 IP에서 출발하고 어떤 목적지 IP로 접속했는지
- 특정 임시 보안 자격 증명이 어떤 S3 버킷에 접근했는지
- Guard Duty가 어떤 위협을 탐지하였고 경보를 발생했는지 등
→ 위와 같은 분석 후, 그래프로 정리
Amazon Detective 사용 사례
- 경보 수준 조정 : 알람에 대한 분석
- 얼마나 많은 양의 데이터 전송이 이루어졌는지
- 이 데이터 패턴이 정상적인 것인지
- 이전에 무슨 일이 발생했는지
- 현재 수준의 API 실패율이 정상인 것인지
- 사고 분석 : 사고 연관 분석
- 특정 IP에서 발생된 API 호출 내역이 어떤지
- 해당 호출이 정찰 활동과 관련한 것인지
- 어떤 자격 증명이 사용 되었는지
- 어떤 IP와 통신이 이루어졌는지
- 위협 사냥 : 사고의 근본 원인 파악
- 위협 리포트 내 IP가 과거에 조직 내 EC2 인스턴스와 통신한 이력이 있는지
- 의심스러운 User Agent가 어떤 API 호출을 하였는지
Security Hub
Security Hub란?
- AWS 보안 서비스나 서드 파티 보안 서비스에서 탐지한 내역을 통합하여 모니터링
- Amazon Inspector, Amazon GuardDuty, Amazon Macie, AWS Config 등의 보안 탐지 내역 제공 서비스와 통합
- Custom action
- 미리 만들어 둔 Cloud Watch의 규칙을 Security Hub에서 연계하여 사용 가능
- 규칙을 통해 특정 Lambda 함수를 호출하거나, Amazon Kinesis Data Stream을 이용하도록 하거나, Amazon SNS으로 경보를 발생하는 등의 자동화 작업 수행 가능
업데이트
- 보안 탐지 내역 제공 서비스에 Firewall Manager, IAM Access Analyzer 추가
- 규정 준수 확인 기능 버전이 CIS Foundations은 1.2.0으로 PCI DSS는 3.2.1로 업데이트
탐지에 대한 자동화된 대응
- Amazon GuardDuty처럼 VPC Flow Log, Cloud Trail Log, DNS Log 등을 데이터 소스로 하여 위협 탐지를 분석하는 서비스에서 최초 보안 위협 탐지
- Amazon Detective에서 심화 분석 작업 수행
- 보안 경보들을 Security Hub로 통합, 모니터링
- 이미 만들어진 규칙을 통해 Custom action을 활용하여 자동화 된 대응 가능
참조
AWS CloudTrail, CloudTrail Insights 발표
AWS Security Hub, AWS Identity and Access Management(IAM) Access Analyzer와 통합
14
