Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Akiba-dot-SaaS-ExtraHop

Tkay
January 20, 2023
Technology
1
500

 Akiba-dot-SaaS-ExtraHop

Tkay

January 20, 2023
Tweet

More Decks by Tkay

See All by Tkay
インシデントレスポンスのライフサイクルを廻すポイントってなに / Pinpoints of Incidentresponse Lifecycle for Operation
sakaitakeshi
1
330
Showcase2023_進化し続けるサイバーセキュリティ脅威を防ぐSaaSソリューション.pdf
sakaitakeshi
0
1.5k
AKIBA-dot-SaaS-Cloudflare-ZeroTrust
sakaitakeshi
0
760

Other Decks in Technology

See All in Technology
カオナビの利用実績をアウトカムへつなげる旅 / example-of-data-management-startup-in-kaonavi
kaonavi
0
130
AWS認定資格を取得したので、初めてマネコンを触った時を振り返ってみた。
ainatsuptr
2
100
私が trocco を推す理由
__allllllllez__
1
200
ServiceNow Knowledge 24の歩き方 EYストラテジー・アンド・コンサルティング
manarobot
0
170
Postman v10リリース後を振り返る
nagix
0
170
Cracking the KubeCon CfP
inductor
2
200
DevOpsメトリクスとアウトカムの接続にトライ!開発プロセスを通して計測できるメトリクスの活用方法
ham0215
2
230
元インフラエンジニアに成る / Human Resources to Human Relations
bobtani
4
890
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
190
Cloud Native Java with Spring Boot (CNCF Aarhus, April 2024)
thomasvitale
1
160
日本におけるデータエンジニアリングのこれまでとこれから
foursue
16
4.1k
Java EE/Jakarta EEの現状と将来 ―クラウドネイティブ時代にJava EEは対応できるのか?―
takakiyo
1
130

Featured

See All Featured
Building Effective Engineering Teams - LeadDev
addyosmani
28
1.8k
How to Ace a Technical Interview
jacobian
272
22k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
115
18k
The Invisible Side of Design
smashingmag
294
49k
It's Worth the Effort
3n
180
27k
Designing the Hi-DPI Web
ddemaree
276
33k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
16
1.4k
[RailsConf 2023] Rails as a piece of cake
palkan
22
3.9k
Product Roadmaps are Hard
iamctodd
43
9.7k
No one is an island. Learnings from fostering a developers community.
thoeni
15
2.1k
The Cost Of JavaScript in 2023
addyosmani
15
3.8k
Optimizing for Happiness
mojombo
370
69k

Transcript

  1. 1 セキュリティ系SaaSを紹介するぜ 〜 NDRで脅威ハント by ExtraHop

  2. 2 自己紹介 酒井 剛(Takeshi Sakai) • アライアンス統括部 テックG • セキュリティ系SaaS製品

    Sumo Logic、Cloudflare Zero Trust • 2022年4月入社 • 前職では、EDR/CloudSWG導入、CSIRT • Nagios/Cacti、インフラエンジニア • 趣味:ケーキ作り、キャンプ

  3. ExtraHopとは 3

  4. ExtraHopとは 4 • NDR (Network Detective & Response): ネットワーク検知と対処 •

    SaaS型:Reveal (x) 360 • セルフマネージド型:Reveal (x)

  5. ExtraHopとは 5 NDR • PCAP パケット 、フローデータ • リアルタイムインスペクション •

    レイヤー2からレイヤー7の情報をもとに脅威、異常な振る舞 い、リスクのあるアクションを検知 • 行動分析、機械学習 • フォレンジックレベルでの証跡を保存 • インシデントの範囲を知る

  6. ExtraHopとは 6 IDS (侵入検知システム)vs NDR IDS NDR シグネチャベース(既知) 機械学習、シグネチャ(既知 +

    未知) 境界型(North - South) ゼロトラスト(North - South + East - West) 表面的な検知情報のみ 前後の動作や関連するイベントなどの深いイン サイト 既知の攻撃を防ぐことが目的 根本原因や影響範囲に着眼して対処することが 目的

  7. ExtraHopの特徴 7 • アセットを自動識別し、重要性を推測 • エンティティ間の通信をプロトコル毎にマップ • パケットやフローデータを機械学習で解析して、ステルス性の あるマルウェアやロー&スロー攻撃に対処 (*次ページ補足)

    • 独自の脅威インテリジェンスを用いたスコアづけ、資産の重要 性に基づいたコンテキスト化により、トリアージと対応を容易 にする • 90日間のデータ保持(Reveal (x) 360)

  8. ロー&スロー攻撃とは 補足 8

  9. ロー&スロー攻撃とは 補足 9

  10. やってみる 10 やってみる

  11. デモ環境へのアクセス 11

  12. デモ環境へのアクセス 12

  13. デモ環境へのアクセス 13

  14. デモ環境へのアクセス 14

  15. シミュレーションを試してみる 15 シミュレーションを 試してみる

  16. DEFENDING THE CLOUD 16

  17. DEFENDING THE CLOUD 17 シナリオの説明が表示 データがAWS S3へ抜き取られ る攻撃をNDRの機能を使って脅 威ハンティング

  18. DEFENDING THE CLOUD 18

  19. DEFENDING THE CLOUD 19 ” AWS ウェブサーバーは、Amazon Elastic Compute Cloud

    (EC2) インスタンスの メタデータに関連するメッセージを中継しました。メッセージは、クライアントとイ ンスタンス メタデータ サービス (IMDS) の間で中継されました。この動作は、攻撃者 が EC2 インスタンスを操作して、Identity and Access Management (IAM) ロール 資格情報など、インスタンスに関連するセキュリティ情報を含むインスタンス メタ データにアクセスするためのプロキシとして機能させたことを示しています。”

  20. DEFENDING THE CLOUD 20 ” AWS ウェブサーバーは、Amazon Elastic Compute Cloud

    (EC2) インスタンスの メタデータに関連するメッセージを中継しました。メッセージは、クライアントとイ ンスタンス メタデータ サービス (IMDS) の間で中継されました。この動作は、攻撃者 が EC2 インスタンスを操作して、Identity and Access Management (IAM) ロール 資格情報など、インスタンスに関連するセキュリティ情報を含むインスタンス メタ データにアクセスするためのプロキシとして機能させたことを示しています。” http://169.254.169.254/latest/meta-data/

  21. DEFENDING THE CLOUD 21 SSRF(Server Side Request Forgery)を原理 とした攻撃 外部から直接アクセスできない内部サーバーの

    情報を、公開ウェブサーバーなどのアプリケー ション脆弱性を悪用して不正に取得 AWSのIMDSを悪用したSSRF攻 撃:https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request- forgery.html IMDSv2:https://dev.classmethod.jp/articles/ec2-imdsv2-release/

  22. DEFENDING THE CLOUD 22

  23. DEFENDING THE CLOUD 23

  24. DEFENDING THE CLOUD 24 ” ip-172-16-0-4.us-west-2.compute.internal (172.16.0.4) は、外部エンドポイ ント 54.184.0.202

    (54.184.0.202) によってリバース SSH シェルを介してリモート で制御されているようです。この動作は、 ip-172-16-0-4.us-west-2.compute.internal (172.16.0.4) がローカル ネットワー ク外のユーザーによって侵害されたことを示しています。”

  25. DEFENDING THE CLOUD 25 FWなどでインバウンドアクセス制御がされて いる環境 内側のSSHクライアント(Vitctim)が外側の SSHサーバー(Offender)にSSHリモート フォワーディングのような仕組みを利用し て、他の内側のシステムのSSHシェルを実行

    他のシ ステム

  26. DEFENDING THE CLOUD 26

  27. DEFENDING THE CLOUD 27

  28. DEFENDING THE CLOUD 28 ” 異常に多数のアマゾン ウェブ サービス (AWS) クラウド

    サービスに接続されている Bastion SSH サーバー。攻撃者は、悪用できる AWS サービスを特定しようとしている 可能性があります。”

  29. DEFENDING THE CLOUD 29

  30. DEFENDING THE CLOUD 30

  31. DEFENDING THE CLOUD 31

  32. DEFENDING THE CLOUD 32 ” RDS PGSQL が異常に大量のデータを別のデバイスに送信しました。貴重な情報が許 可されていないユーザーに転送される可能性のある流出の可能性があるデータ準備につ いて調査します。”

  33. DEFENDING THE CLOUD 33

  34. DEFENDING THE CLOUD 34 ” RDS EC2 が、Amazon S3 (Simple

    Storage Service) バケットへの異常なアップ ロードを実行しました。この動作は、転送されたデータの量と転送の時間に基づいて異 常です。 RDS EC2 が侵害されている可能性があり、攻撃者がデータの流出を試みてい ます。”

  35. DEFENDING THE CLOUD 35

  36. DEFENDING THE CLOUD 36

  37. DEFENDING THE CLOUD 37

  38. トライアルは? 38 自分のデータでトライアル をしたい場合はこっち トライアル環境が出来るま で申請してから一週間くら いかかった

  39. その他の機能 39 その他の機能

  40. Mitigation (軽減措置対処) 40 各検知情報には、取りうる 対処方法が記載 対応する MITRE ATT&CK の テクニックへのリンクが提

    供され、参考にすることが できる MITRE ATT&CK:https://attack.mitre.org/

  41. Network Overview 41 ネットワーク上のエンティ ティ間の通信関係を可視化 プロトコルごとでフィルタ 検知情報やリソースのデー タをドリルダウン

  42. まとめ 42 まとめ

  43. まとめ 43 • ExtraHopはネットワーク上のパケットデータやフローデータを 解析して、前後のイベントや関連する他のシステムとの通信を コンテキスト化、対処に必要な脅威情報を提供してくれる • MITRE ATT&CK テクニックへのトリアージと軽減措置の方法を

    提示してくれる • エンティティ間の通信をプロトコルごとに可視化してくれる

  44. 44