Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
[Security-JAWS用]実践的なAWSセキュリティのインシデントレスポンス環境を作...
Search
cm-usuda-keisuke
November 24, 2020
Technology
3
2.9k
[Security-JAWS用]実践的なAWSセキュリティのインシデントレスポンス環境を作ってみた!
Security-JAWS 【第19回】 勉強会 2020年11月24日(火)に登壇した際の資料です
https://s-jaws.doorkeeper.jp/events/113783
cm-usuda-keisuke
November 24, 2020
Tweet
Share
More Decks by cm-usuda-keisuke
See All by cm-usuda-keisuke
ツンデレなGuardDutyをプロデュースして世界一のアイドルにする話
cmusudakeisuke
0
490
GuardDutyを可視化して、君もGuardDutyマスターになろう!
cmusudakeisuke
1
1.1k
AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた
cmusudakeisuke
1
16k
10分で完全に理解するGuardDutyのS3マルウェア保護
cmusudakeisuke
0
2.4k
AWSセンセーション 私とみんなが作ったAWSセキュリティ
cmusudakeisuke
3
4.5k
新しい初心者向けのSecurity-JAWSをやるよ!って話
cmusudakeisuke
0
1.2k
AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにしてみよう
cmusudakeisuke
2
9.7k
re:Invent2023のセキュリティまとめしてGuardDutyとQとコストの話します
cmusudakeisuke
0
1.3k
AWSセキュリティサービス最新アップデート
cmusudakeisuke
2
1.7k
Other Decks in Technology
See All in Technology
マネジメント視点でのre:Invent参加 ~もしCEOがre:Inventに行ったら~
kojiasai
0
460
初心者に Vue.js を 教えるには
tsukuha
5
390
Gradle: The Build System That Loves To Hate You
aurimas
2
140
Nix入門パラダイム編
asa1984
2
200
Automated Promptingを目指すその前に / Before we can aim for Automated Prompting
rkaga
0
110
20241031_AWS_生成AIハッカソン_GenMuck
tsumita
0
110
新R25、乃木坂46 Mobileなどのファンビジネスを支えるマルチテナンシーなプラットフォームの全体像 / cam-multi-cloud
cyberagentdevelopers
PRO
1
130
Amazon_CloudWatch_ログ異常検出_導入ガイド
tsujiba
4
1.6k
【若手エンジニア応援LT会】AWS Security Hubの活用に苦労した話
kazushi_ohata
0
160
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
290k
オーティファイ会社紹介資料 / Autify Company Deck
autifyhq
9
120k
小規模に始めるデータメッシュとデータガバナンスの実践
kimujun
3
590
Featured
See All Featured
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
22k
A Philosophy of Restraint
colly
203
16k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
43
6.6k
Agile that works and the tools we love
rasmusluckow
327
21k
Docker and Python
trallard
40
3.1k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
290
Why Our Code Smells
bkeepers
PRO
334
57k
Code Reviewing Like a Champion
maltzj
519
39k
Become a Pro
speakerdeck
PRO
24
5k
Fireside Chat
paigeccino
32
3k
Transcript
実践的なAWSセキュリティのインシデントレス ポンス環境を作ってみた! Security-JAWS 2020/11/24
今回お届けする内容 • セキュリティ・キャンプという次代を担う情報セキュリティ人材を 発掘・育成する事業で、AWS環境におけるインシデントレスポ ンスをテーマとした講義を行ってみました! • 今回は講義の内容・講義のために作成した演習環境・作成に 当たって苦労した裏話などについてお話しようかと思います。
洲崎俊 洲崎 俊(Shun Suzaki) 三井物産セキュアディレクション株式会社に所属 ペネトレーションテストなどを中心としたセキュリティサービス提供に 従事する、とあるセキュリティエンジニア 公開スライド:http://www.slideshare.net/zaki4649/ Blog:http://tigerszk.hatenablog.com/ 著書(翻訳):詳解HTTP/2
Twitter:とある診断員@tigerszk • ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • #ssmjp • MINI Hardening Project I‘M A CERTAIN PENTESTER!
臼田佳祐 クラスメソッド株式会社 ・AWS事業本部 ソリューションアーキテクト セキュリティチームリーダー ・Security-JAWS運営 ・好きなサービス: AWS WAFマネージドルール https://dev.classmethod.jp/author/usuda-keisuke/
角田朱生 角田 朱生(つのだ あかき) セキュリティ・キャンプ2012 Webセキュリティクラス卒業。脆弱性診断や 不正利用対策などの業務を経て、現在はモバイル決済サービスのセ キュリティアセスメントに従事。 Twitter: @akakitsunoda
Blog: https://akaki.io/
目次 1. セキュリティ・キャンプとは 2. 講義概要 3. 講義をやってみた感想
1.セキュリティ・キャンプとは
セキュリティ・キャンプとは? 学生に対して情報セキュリティに関する高度な技術教育を実施し、次 代を担う情報セキュリティ人材を発掘・育成する事業 • 独立行政法人情報処理推進機構(IPA)と一般社団法人セキュリティ・キャンプ 協議会が主催 • 2004年に開始され、現在は全国大会を首都圏で毎年1回、2013年に開始され た地方大会を毎年各地で10回程度開催 •
22歳以下の学生から応募選考 • 毎年80人程度、2019年度まで計824名を輩出
今年の全国大会で講義をしました セキュリティ・キャンプ全国大会2020 オンライン 10/18~12/6の毎週末にオンライン開催 https://www.ipa.go.jp/jinzai/camp/2020/zenkoku2020_index.html 講義名: 「なぜWebサイトは乗っ取られたのか?AWS環境における実践 的なインシデントレスポンス」
2.講義概要
どんな講義? 講義受講者に、攻撃者によって侵害されたAWS環境を実際に手 を動かして解析してもらい、AWS環境におけるインシデントレスポ ンスを経験してもらうというもの 演習用の侵害されたAWS環境 受講者 講師 演習用環境を設計・構築 事前に攻撃を実施 侵害されたAWS環境を解析
AWS Cloud
メンバーの主な役割 AWS環境の設計&構築:臼田 サービスアプリケーションの構築:角田 攻撃シナリオ作成&攻撃:洲崎
講義のシナリオ ある日とあるWebサービスを提供している会社のCTOからAWS環境が侵害 されてしまったとの連絡があなたの元に届きます。 「AWSからAbuseレポートが届き、調査した結果、自社のAWS環境上でコイ ンマイナーが動作していることを発見した。急いでコインマイナーは停止し、 とりあえず提供サービスを一時停止した。サービス再開のために、このAWS 環境の調査をきみにお願いしたい!」 スーパーインシデントハンドラーの君に課せられた任務は、このAWS環境で 一体何が起きたのかを解明することだ!
ある会社が提供するアプリケーション セキュアなつぶやき型SNS「Secutter」 主な機能 • ログイン • プロフィール変更 • つぶやき投稿 •
いいね Nginx+PHP+Mysqlで構成
サービスを提供するAWS環境
インシデント発生後の初動対応 • マインニングされていた不正なEC2は即時停止 • Secutterサービスも侵害されている可能性があるため、サービス公開を 停止 • 環境保全のためSecutterアプリケーションが動作していたEC2のAMI バックアップを取得 •
調査用のEC2を作成し、復元した調査対象のEBSをマウント • 調査対象期間のWebサーバーのログ/AWSログをS3バケットに複製 • Athenaでログを解析できるよう準備
初動対応後の環境
解析を通じて以下をまとめてもらう • インシデントによる影響(Secutterサービスは影響を受けてい るのか?) • 不正なEC2が動作していた原因 • サービス再開のための対策案の提案
講義はこんな感じで行いました • 講義の流れ(講義時間:4時間) 1. 座学(AWSセキュリティの基礎・課題概要・ログ解析のポイントなど) 2. 解析TIME 3. インシデントの内容解説 ※解析を行うに当たって必要と思われるAWSに関する基礎知識やAWSセキュリティなどは講義事前
に事前課題としてあらかじめ受講者に学習してもらっていました。 • Slack上で受講者をサポート • AWS環境自体は、自分のペースで好きな時に学習できる ように、開催期間中は開放
3.講義をやってみた感想
頑張ったところ: リアルな環境にこだわった • クラウドならではのインシデン トレスポンスを提供できた ◦ AWSのログとサーバ/OSのログ のハイブリット調査 ◦ ログ分析もfluentdで出して
athenaでやった ◦ GuardDutyやDetectiveを駆使
頑張ったところ: リアルな環境にこだわった • 実際にありそうな環境で実際 にやるオペレーションを想定 ◦ クラウドらしい攻撃を再現
頑張ったところ: リアルな環境にこだわった • 実際にありそうな環境 で実際にやるオペレー ションを想定 ◦ EC2のスナップショットを 使って環境保全 +
調査
こだわったところ • リアルなAWS環境でのインシデントレスポンスを体験 してより現場で役に立つ経験を積んでもらうことを意 識した • でもAWSの知識はどんどん陳腐化していくのでもう一 つ大事なことを盛り込んだ
その時役立つ技術もそうだけど 調査の考え方や勘所が大事
こだわったところ • 以下のようなインシデントレスポンス全般で役に立つ 内容もフォロー ◦ 調査の方針設計 ◦ ログの辿り方 ◦ 報告書の作り方(おまけ)
• AWSに限らず役に立つ経験になることを意識
知見の共有 • GuardDuty/Detectiveを体験するコンテンツは作るの は大変 ◦ 保持期間が90日(約3ヶ月) ◦ 検知させるのが大変 ◦ IAMのイベントは最近全リージョンに出るから火消しが大
変
知見の共有 • 思ったとおりにログを作るのが大変 ◦ リテイクしまくる ◦ なるべくオペレーションを自動化して対応 • ABACでアクセス制御するといい感じにEC2使える (Session
Managerでも良かったけど) AWS の ABAC とは - AWS Identity and Access Management https://docs.aws.amazon.com/ja_jp/IAM/lates t/UserGuide/introduction_attribute-based-acce ss-control.html
知見の共有 • 痕跡を残しつつ悪さされないようにするのが難しい ◦ アクセスキーにpermission boundary設定して守った(わかりづ らくていい) • 学生向けにやるとクレカないとかEducateとか大変 ◦
自己学習してもらうならqwiklabsとか使ってもらう • ログ公開や体感してもらう仕組みを作るのは大変 ◦ いい解決策を知っている人がいたら教えてほしい