$30 off During Our Annual Pro Sale. View Details »

Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策

4su_para
November 18, 2024

 Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策

私たちのデジタル社会において、特にランサムウェアは組織にとって深刻なリスクをもたらし、データの暗号化や身代金の要求といった形で私たちの業務を脅かしています。このプレゼンでは、リスクに対して、フルクラウド環境下のプロダクトではどのようなリスクマネジメントを行うべきかを実際のAWSサービスの具体的な使い方に言及しながら解説します。

account isolationがnetwork isolationに通づる話やWORMストレージを活用し、AWS Backupによるvault lockやS3における Object lockなどの保護機能をどのように使ってマルウェアによる被害を防ぐのかといったところをサイバーレジリエンスの文脈で話します。

全ての対策を話すことはできませんが、項目ベースではなるべく網羅性が高くなるように細く説明しする予定です^^

4su_para

November 18, 2024
Tweet

More Decks by 4su_para

Other Decks in Technology

Transcript

  1. 自己紹介:佐田 淳史(さだ あつし) 2024/11/18 2 AWS Security JAWS • はじめて

    Security JAWSでしゃべります • 2022年半ばごろからエンジニアインターンとしてキャ リアスタート • 事業会社のSecurity Engineer(24卒) • クラウドが好きで幅広く触りたく、ユーザーに行く道を 選択しました • PSIRTとしてweb/platform診断の内製に向けた活 動やAWSの各種サービスのアラート調査などに従事 • 個人で「Cloud Security」「Threat Research」 を軸に発信していきたいと考えています • 趣味:雑多な読書, 旅 • seccamp / SecHack365 修了生
  2. Threat Hunting(脅威ハンティング) 2024/11/18 5 AWS Security JAWS ◦既存のセキュリティ対策を回避する現在・過去の脅威を能動 的・再帰的に調査し、その情報を利用してサイバーレジリエン スを向上させるプロアクティブなアプローチ

    ◦未知の脅威を能動的に発見して回避方法と検知方法のギャップ を埋めていくことが目的 さらにサイバーレジリエンスについて理解を深める必要がある https://www.secureworks.com/centers/what-is-threat-hunting
  3. ランサムウェアの流れ 2024/11/18 8 AWS Security JAWS ◦マルウェアの配布と感染 ◦C2(Command & Control)

    ◦発見とラテラルムーブメント ◦データの抽出・改ざん ◦データの暗号化 ◦恐喝 ◦解決?(金銭の支払いなど) https://www.chainalysis.com/blog/ransomware-2024/ Black Hat USA の講演より引用
  4. AWSはe-bookを提供しているものの・・・ https://aws.amazon.com/jp/blogs/security/updated-ebook-protecting-your-aws- environment-from-ransomware/ 2024/11/18 10 AWS Security JAWS ◦具体的な設定方法までには 触れていない

    ◦どの項目を何のためにやっ ておくべきかが分かりにくい ◦アンチマルウェア製品や改 ざん検知ツールに頼らない AWSによる方法論は? 具体的にどういう取り組みをしておくとベースラインが確保で きそうか、数点述べます
  5. 基本的には侵害された場合、影響はアカウント内 2024/11/18 12 AWS Security JAWS ◦ADがない環境であることを考え ると侵害された場合の影響はアカ ウント内に閉じることになる ◦そう考えるとアカウントを分け

    ることで必然的にネットワークや システムのアクセス権限が分離さ れる ◦ネットワークのIsolation pVPCのセキュリティグループや ネットワークACLを用いて環境を 分離する
  6. S3 Object Lock: Configuration 2024/11/18 16 AWS Security JAWS ◦柔軟な構成

    pバケットレベルでの有効化 p個々のObject versionにカスタム保持を適応する ◦保持を管理する2つの方法 p保存期間 ⁍ COMPLIANCE: 設定された保持期間中にバックアップを 削除することはできない。コンプライアンス要件を満たすた めに使用される。 ⁍ GOVERNANCE: 特定のIAMユーザーやロールに対して削 除を許可することができる。管理者が必要に応じてバック アップを削除できる柔軟性がある。 p法定期間 ◦柔軟オプションのデフォルト保持設定 pバケットレベル p明示的に異なる設定を指定しない限り、バケットに配置 されたオブジェクトが適用される
  7. AWS Backupの対象 2024/11/18 18 AWS Security JAWS ◦EC2::Volume ◦ElastiCache::CacheClus ter

    ◦DynamoDB::Table ◦RDS::DBCluster ◦S3::Bucket ◦EFS::FileSystem
  8. AWS Backup : vault lock 2024/11/18 19 AWS Security JAWS

    ◦保持ポリシーの設定 pVault Lockを使用すると、バックアッ プボールト内のバックアップに対して保持 ポリシーを設定できる。指定された期間中 にバックアップを削除できなくなる。 ◦ロックモード pVault Lockにも2つのロックモード ⁍ COMPLIANCE ⁍ GOVERNANCE ◦設定の変更不可
  9. readonlyRootFilesystem: true 2024/11/18 22 AWS Security JAWS ◦ファイルシステムをRead Onlyで マウント

    pコンテンツの改ざんのリスクを低減さ せる ◦副作用を回避する形で有効化する p書き込み可能なボリュームをマウント することで回避 pSSM Agentを起動させることができ るようにすることで・・・ pECS execを動かせる状態にしておく
  10. とりわけ気を遣う項目 2024/11/18 24 AWS Security JAWS ◦本番環境へのシェルアクセス制限 ◦SCPsへのDeleteObject pOrganization内のアカウントに 対してOK/NGの制御

    ◦コンテナを定期的に新規のインス タンスにローテートする p復旧のため pいつでも使い捨てにしておけるよう に pリスク発生の蓋然性の観点 ◦保護のための不十分なバックアッ プ pプラットフォーム診断などでは指摘 事項になるため p攻撃者の思考として本番のデータの みならず、バックアップも含めて暗 号化を試みるため ◦稼働時間が長すぎるインスタンス 本日は深くお話ししなかった内容 まとめ おわり