Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
[Security-JAWS用]実践的なAWSセキュリティのインシデントレスポンス環境を作...
Search
cm-usuda-keisuke
November 24, 2020
Technology
3
3.2k
[Security-JAWS用]実践的なAWSセキュリティのインシデントレスポンス環境を作ってみた!
Security-JAWS 【第19回】 勉強会 2020年11月24日(火)に登壇した際の資料です
https://s-jaws.doorkeeper.jp/events/113783
cm-usuda-keisuke
November 24, 2020
Tweet
Share
More Decks by cm-usuda-keisuke
See All by cm-usuda-keisuke
いつの間にか入れ替わってる!?新しいAWS Security Hubとは?
cmusudakeisuke
0
170
Security Hubの利用者調査とお悩み相談をやってます! in JAWS-UG東京
cmusudakeisuke
0
79
新機能Amazon GuardDuty Extended Threat Detectionはネ申って話
cmusudakeisuke
0
1.1k
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
350
ツンデレなGuardDutyをプロデュースして世界一のアイドルにする話
cmusudakeisuke
0
660
GuardDutyを可視化して、君もGuardDutyマスターになろう!
cmusudakeisuke
1
1.7k
AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた
cmusudakeisuke
1
16k
10分で完全に理解するGuardDutyのS3マルウェア保護
cmusudakeisuke
0
2.8k
AWSセンセーション 私とみんなが作ったAWSセキュリティ
cmusudakeisuke
4
4.8k
Other Decks in Technology
See All in Technology
〜『世界中の家族のこころのインフラ』を目指して”次の10年”へ〜 SREが導いたグローバルサービスの信頼性向上戦略とその舞台裏 / Towards the Next Decade: Enhancing Global Service Reliability
kohbis
3
1.5k
Talk to Someone At Delta Airlines™️ USA Contact Numbers
travelcarecenter
0
160
全部AI、全員Cursor、ドキュメント駆動開発 〜DevinやGeminiも添えて〜
rinchsan
10
5k
Digitization部 紹介資料
sansan33
PRO
1
4.5k
名刺メーカーDevグループ 紹介資料
sansan33
PRO
0
820
60以上のプロダクトを持つ組織における開発者体験向上への取り組み - チームAPIとBackstageで構築する組織の可視化基盤 - / sre next 2025 Efforts to Improve Developer Experience in an Organization with Over 60 Products
vtryo
3
1.9k
Snowflake Intelligenceという名のAI Agentが切り開くデータ活用の未来とその実現に必要なこと@SnowVillage『Data Management #1 Summit 2025 Recap!!』
ryo_suzuki
1
160
三視点LLMによる複数観点レビュー
mhlyc
0
220
CDKコード品質UP!ナイスな自作コンストラクタを作るための便利インターフェース
harukasakihara
2
230
LIXIL基幹システム刷新に立ち向かう技術的アプローチについて
tsukuha
1
380
AI エージェントと考え直すデータ基盤
na0
20
7.9k
Transformerを用いたアイテム間の 相互影響を考慮したレコメンドリスト生成
recruitengineers
PRO
2
420
Featured
See All Featured
Building Flexible Design Systems
yeseniaperezcruz
328
39k
Optimizing for Happiness
mojombo
379
70k
KATA
mclloyd
30
14k
Agile that works and the tools we love
rasmusluckow
329
21k
Building Adaptive Systems
keathley
43
2.7k
Side Projects
sachag
455
42k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
21
1.3k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
34
3.1k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
10
970
[RailsConf 2023] Rails as a piece of cake
palkan
55
5.7k
Bash Introduction
62gerente
613
210k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.4k
Transcript
実践的なAWSセキュリティのインシデントレス ポンス環境を作ってみた! Security-JAWS 2020/11/24
今回お届けする内容 • セキュリティ・キャンプという次代を担う情報セキュリティ人材を 発掘・育成する事業で、AWS環境におけるインシデントレスポ ンスをテーマとした講義を行ってみました! • 今回は講義の内容・講義のために作成した演習環境・作成に 当たって苦労した裏話などについてお話しようかと思います。
洲崎俊 洲崎 俊(Shun Suzaki) 三井物産セキュアディレクション株式会社に所属 ペネトレーションテストなどを中心としたセキュリティサービス提供に 従事する、とあるセキュリティエンジニア 公開スライド:http://www.slideshare.net/zaki4649/ Blog:http://tigerszk.hatenablog.com/ 著書(翻訳):詳解HTTP/2
Twitter:とある診断員@tigerszk • ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • #ssmjp • MINI Hardening Project I‘M A CERTAIN PENTESTER!
臼田佳祐 クラスメソッド株式会社 ・AWS事業本部 ソリューションアーキテクト セキュリティチームリーダー ・Security-JAWS運営 ・好きなサービス: AWS WAFマネージドルール https://dev.classmethod.jp/author/usuda-keisuke/
角田朱生 角田 朱生(つのだ あかき) セキュリティ・キャンプ2012 Webセキュリティクラス卒業。脆弱性診断や 不正利用対策などの業務を経て、現在はモバイル決済サービスのセ キュリティアセスメントに従事。 Twitter: @akakitsunoda
Blog: https://akaki.io/
目次 1. セキュリティ・キャンプとは 2. 講義概要 3. 講義をやってみた感想
1.セキュリティ・キャンプとは
セキュリティ・キャンプとは? 学生に対して情報セキュリティに関する高度な技術教育を実施し、次 代を担う情報セキュリティ人材を発掘・育成する事業 • 独立行政法人情報処理推進機構(IPA)と一般社団法人セキュリティ・キャンプ 協議会が主催 • 2004年に開始され、現在は全国大会を首都圏で毎年1回、2013年に開始され た地方大会を毎年各地で10回程度開催 •
22歳以下の学生から応募選考 • 毎年80人程度、2019年度まで計824名を輩出
今年の全国大会で講義をしました セキュリティ・キャンプ全国大会2020 オンライン 10/18~12/6の毎週末にオンライン開催 https://www.ipa.go.jp/jinzai/camp/2020/zenkoku2020_index.html 講義名: 「なぜWebサイトは乗っ取られたのか?AWS環境における実践 的なインシデントレスポンス」
2.講義概要
どんな講義? 講義受講者に、攻撃者によって侵害されたAWS環境を実際に手 を動かして解析してもらい、AWS環境におけるインシデントレスポ ンスを経験してもらうというもの 演習用の侵害されたAWS環境 受講者 講師 演習用環境を設計・構築 事前に攻撃を実施 侵害されたAWS環境を解析
AWS Cloud
メンバーの主な役割 AWS環境の設計&構築:臼田 サービスアプリケーションの構築:角田 攻撃シナリオ作成&攻撃:洲崎
講義のシナリオ ある日とあるWebサービスを提供している会社のCTOからAWS環境が侵害 されてしまったとの連絡があなたの元に届きます。 「AWSからAbuseレポートが届き、調査した結果、自社のAWS環境上でコイ ンマイナーが動作していることを発見した。急いでコインマイナーは停止し、 とりあえず提供サービスを一時停止した。サービス再開のために、このAWS 環境の調査をきみにお願いしたい!」 スーパーインシデントハンドラーの君に課せられた任務は、このAWS環境で 一体何が起きたのかを解明することだ!
ある会社が提供するアプリケーション セキュアなつぶやき型SNS「Secutter」 主な機能 • ログイン • プロフィール変更 • つぶやき投稿 •
いいね Nginx+PHP+Mysqlで構成
サービスを提供するAWS環境
インシデント発生後の初動対応 • マインニングされていた不正なEC2は即時停止 • Secutterサービスも侵害されている可能性があるため、サービス公開を 停止 • 環境保全のためSecutterアプリケーションが動作していたEC2のAMI バックアップを取得 •
調査用のEC2を作成し、復元した調査対象のEBSをマウント • 調査対象期間のWebサーバーのログ/AWSログをS3バケットに複製 • Athenaでログを解析できるよう準備
初動対応後の環境
解析を通じて以下をまとめてもらう • インシデントによる影響(Secutterサービスは影響を受けてい るのか?) • 不正なEC2が動作していた原因 • サービス再開のための対策案の提案
講義はこんな感じで行いました • 講義の流れ(講義時間:4時間) 1. 座学(AWSセキュリティの基礎・課題概要・ログ解析のポイントなど) 2. 解析TIME 3. インシデントの内容解説 ※解析を行うに当たって必要と思われるAWSに関する基礎知識やAWSセキュリティなどは講義事前
に事前課題としてあらかじめ受講者に学習してもらっていました。 • Slack上で受講者をサポート • AWS環境自体は、自分のペースで好きな時に学習できる ように、開催期間中は開放
3.講義をやってみた感想
頑張ったところ: リアルな環境にこだわった • クラウドならではのインシデン トレスポンスを提供できた ◦ AWSのログとサーバ/OSのログ のハイブリット調査 ◦ ログ分析もfluentdで出して
athenaでやった ◦ GuardDutyやDetectiveを駆使
頑張ったところ: リアルな環境にこだわった • 実際にありそうな環境で実際 にやるオペレーションを想定 ◦ クラウドらしい攻撃を再現
頑張ったところ: リアルな環境にこだわった • 実際にありそうな環境 で実際にやるオペレー ションを想定 ◦ EC2のスナップショットを 使って環境保全 +
調査
こだわったところ • リアルなAWS環境でのインシデントレスポンスを体験 してより現場で役に立つ経験を積んでもらうことを意 識した • でもAWSの知識はどんどん陳腐化していくのでもう一 つ大事なことを盛り込んだ
その時役立つ技術もそうだけど 調査の考え方や勘所が大事
こだわったところ • 以下のようなインシデントレスポンス全般で役に立つ 内容もフォロー ◦ 調査の方針設計 ◦ ログの辿り方 ◦ 報告書の作り方(おまけ)
• AWSに限らず役に立つ経験になることを意識
知見の共有 • GuardDuty/Detectiveを体験するコンテンツは作るの は大変 ◦ 保持期間が90日(約3ヶ月) ◦ 検知させるのが大変 ◦ IAMのイベントは最近全リージョンに出るから火消しが大
変
知見の共有 • 思ったとおりにログを作るのが大変 ◦ リテイクしまくる ◦ なるべくオペレーションを自動化して対応 • ABACでアクセス制御するといい感じにEC2使える (Session
Managerでも良かったけど) AWS の ABAC とは - AWS Identity and Access Management https://docs.aws.amazon.com/ja_jp/IAM/lates t/UserGuide/introduction_attribute-based-acce ss-control.html
知見の共有 • 痕跡を残しつつ悪さされないようにするのが難しい ◦ アクセスキーにpermission boundary設定して守った(わかりづ らくていい) • 学生向けにやるとクレカないとかEducateとか大変 ◦
自己学習してもらうならqwiklabsとか使ってもらう • ログ公開や体感してもらう仕組みを作るのは大変 ◦ いい解決策を知っている人がいたら教えてほしい