Weitere ähnliche Inhalte Ähnlich wie AWS risk_detection_webinar (20) 1. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SECURITY
FIRST
조이정 솔루션즈 아키텍트
June. 2020
AWS 보안 위협 탐지
ISV/DNB Security Webinar
2. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
목차
• AWS 의 보안 철학
• AWS 보안 위협 탐지
• AWS CloudTrail
• AWS CloudWatch
• Amazon GuardDuty
• AWS Config / Rules
• Amazon Inspector
• Amazon Macie
• AWS Security Hub
• Amazon Detective
• 보안 침해 대응
• Demo !! on Detective Control
• Quiz !! on Detective Control
3. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS의 보안 철학
4. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
2019 보안 사고 원인
Verizon 2020 데이터 침해 조사 리포트:
https://enterprise.verizon.com/resources/reports/2020-data-breach-investigations-report.pdf
5. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 보안 공동 책임 모델
Shared responsibility Model
6. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 보안 building block
security for visibility, auditability, control, and agility…
출처 :https://d1.awsstatic.com/whitepapers/aws_cloud_adoption_framework.pdf
사용자 및 접근 제어 메커니즘을 생성하고 AWS 계정 내의 개별
권한을 관리
탐지 제어 : 기본 로깅 뿐만 아니라 AWS 환경 내에서 발생하는 일들에 대한 near-
realtime / 중앙 집중식 로깅 및 모니터링 솔루션을 통한 통합적 보안 가시성 제공
인프라 보안 : 워크로드 및 비즈니스 요구 사항에 따라 민첩한 방식으로 AWS
보안 컨트롤을 구성 할 수있는 기회를 제공
데이터 보안 : 데이터에 대한 가시성과 제어 기능을 유지하고 조직에서 데이터를
액세스하고 사용하는 방법을 제공
침해 대응 : 보안 사고에 대한 조직의 대응, 관리, 피해 감소 및 운영 복원 능력에
대한 인사이트
7. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
탐지 제어 on AWS
Amazon GuardDuty
Amazon Inspector
Amazon
CloudWatch event
AWS CloudTrail
Amazon S3 GlacierAmazon S3 Amazon Athena
AWS Security Hub Amazon Macie
AWS ConfigAmazon CloudWatch
AWS Config Amazon CloudWatch
8. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 보안 위협 탐지
- AWS CloudTrail
9. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS CloudTrail
AWS API 요청의 처리내역을 로깅하는 서비스.
CloudTrail
콘솔 AWS SDK CLI
S3
AWS 파트너
네트웍
ElasticSearch EMR/Redshift
10. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS CloudTrail
Who? When? What? Where to? Where from?
Bill 3:27pm Launch Instance us-west-2 72.21.198.64
Alice 8:19am Added Bob to
admin group
us-east-1 127.0.0.1
Steve 2:22pm Deleted security
group
eu-west-1 205.251.233.17
6
11. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
CloudTrail + Athena
CloudTrail 로그에 대한 Athena활용 분석(표준 SQL)
12. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
CloudTrail insights
기계학습을 통한 비정상 API 활동 감지
리소스 프로비저닝의 급증, IAM 작업의 폭증, 주기적인 유지 관리 활동의 격차 등
비정상적인 AWS 계정 활동
13. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 보안 위협 탐지
- AWS CloudWatch
14. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS CloudWatch
AWS리소스와 AWS기반 어플리케이션에 대한 모니터링 서비스
로그 수집 및 모니터링
경보 설정 (변경에 대한 반응)
그래프 및 통계 수치 제공
메트릭 데이터 수집 및 추적
제공하는 기능
활용 케이스
어플리케이션 로그 수집 및 중요 이벤트 자동 대응
EC2인스턴스 오토스케일링
운영 상태 가시화 및 이슈 식별
CPU, Memory, Disk I/O, Network 모니터링
CloudWatch Logs / CloudWatch Events
CloudWatch Alarms
CloudWatch Dashboards
CloudWatch Metrics
15. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS CloudWatch Events
중요 이벤트에 대한 대응 규칙 설정
Detect malicious API and automate response.
If trail.delete { trail.enable &
email.security_team}
16. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS CloudWatch logs insight
수많은 로그들..
VPC Flow Log,
Route53 Log,
Lambda log,
CloudTrail log,
RDS 로그,
IoT 로그,
ECS 로그,
API Gateway 로그
S3 서버 액세스 로그
…
EC2 인스턴스 로그
EC2 application 로그
... https://aws.amazon.com/ko/blogs/korea/new-amazon-cloudwatch-logs-insights-fast-interactive-log-analytics/
• 고속의 대화형 쿼리 및 시각화 기능을 제공
17. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 보안 위협 탐지
- Amazon GuardDuty
18. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
GuardDuty 위협 탐지 및 통지 서비스
VPC flow logs
DNS Logs
CloudTrail
Events
위험도데이터 소스
Threat intelligence
Anomaly Detection
(ML)
AWS Security Hub
• 경감조치
• 파트너 제품 연계
• SIEM으로 전달
CloudWatch Event
탐지 케이스
Examples:
• 비트코인 마이닝
• C&C 관련 행동
• 악성 IP / Tor 접근
• Brute Force
• …
비정상적인 사용자 행동
Example:
• 인스턴스 시작
• 네트웍 권한/구성 변경
Amazon GuardDuty
위협탐지 유형
HIGH
MEDIUM
LOW
비정상적인 트래픽 패턴
Example:
• 비정상적인 트래픽 볼륨
• 사용한 적이 없는 포트
19. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon GuardDuty: 특장점
• 관리형 위협 탐지 서비스
• 아키텍쳐 변경이나 성능 저하 없이 손쉽게 원클릭 활성화
• AWS 어카운트 및 리소스에 대한 상시 모니터링
• S3, EC2 및 IAM에 관련된 위협 발견
• No Agents, no Sensors, no Network Appliances
• 글로벌 커버리지, 리젼 기반 적용
• 머신러닝 기반 이상 행동 탐지 기능 탑재
• 추가적인 보호 기능을 위한 파트너 연계
• 간단하고 효과적인 가격 체계
20. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS GuardDuty 탐지 샘플
21. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
GuardDuty Threat Detection Type Details
정찰 인스턴스 침해 어카운트 침해
인스턴스 대사과정:
• Port Probe/Accepted Comm
• Port Scan (intra-VPC)
• Brute Force Attack (IP)
• Drop Point (IP)
• Tor Communications
어카운트 대사과정:
• Tor API Call (failed)
• C&C Activity
• Malicious Domain Request
• EC2 on Threat List
• Drop Point IP
• Malicious Comms (ASIS)
• Bitcoin Mining
• Outbound DDoS
• Spambot Activity
• Outbound SSH Brute Force
• Unusual Network Port
• Unusual Traffic Volume/Direction
• Unusual DNS Requests
• Domain Generated Algorithms
• Malicious API Call (bad IP)
• Tor API Call (accepted)
• CloudTrail Disabled
• Password Policy Change
• Instance Launch Unusual
• Region Activity Unusual
• Suspicious Console Login
• Unusual ISP Caller
• Mutating API Calls (create, update,
delete)
• High Volume of Describe calls
• Unusual IAM User Added
시그니쳐 기반 상태 비유지 탐지 내역 상태유지 행위 기반 탐지 및 비정상 행동 분석
https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types.html
22. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
알려진/알려지지 않은 위협에 대한 대응
내,외부 위협정보 소스 활용
• AWS Security
• Commercial feeds
• Open source feeds
• 고객 제공 정보 활용(STIX)
• 멀웨어에 감염되었다고 보고된 호스트들
• 익명화 프록시(Anonymizing proxies)
• 멀웨어 및 해킹 도구를 호스팅하고 있는 싸
이트
• 암호화폐 마이닝 풀과 wallet 싸이트
• 기타 의심스럽거나 위험한 행위에 대한 탐지
비정상 탐지(Anomaly detection)
• 일상적이지 않은 행위를 탐지하는 알고리즘
• 시그니쳐를 찾기 위해 패턴을 조사
• 정상 상태에 대한 프로파일링과 변화의 폭 조사
• Machine Learning 기반 분류
• 전폭적인 R&D 노력
• Raw데이터 분석을 위해 숙련된 data scientist
투입
• 지속적으로 탐지 모델 개발/발전
• 실제와 같은 테스팅, 튜닝 및 검증 싸이클
• 어드밴스 행동 및 기계 학습 탐지는 계정에서
행동 기준선을 설정하는 데 7~14일 소요.
알려진 위협에 대한 대응 알려지지 않은 위협에 대한 대응
23. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
목록: 신뢰 및 위협 IP 목록
GuardDuty는 다음 지능형 피드 정보를 활용하고 있습니다. :
• CrowdStrike
• Proofpoint
커스텀 신뢰IP 목록과 알려진 위협 목록을 통해 Finding의 기능을 확장할 수 있습니다.
• 해당 인프라 혹은 어플리케이션과의 안전한 통신을 할 수 있는 신뢰된 IP목록을 탐지 예외처
리(Whitelisting, 오탐 방지).
• 알려진 악성 IP주소들에 대한 위협 목록. GuardDuty는 위협 목록을 기반으로 finding을 생성.
• Hard Limits: 어카운트 당 1개의 신뢰 목록 과 6개의 위협 목록까지 관리 가능 è 파일 크기
~ 35MB
• 지원 Format : TXT, STIX, OTX(CSV), Alien_Vault, ProofPoint(CSV), FireEye(CSV)
고객 및 파트너 제공 신뢰 IP 목록
(IP ~2,000개)
고객 및 파트너 제공 알려진 위협 목록
(IP ~ 250,000개/목록)+
24. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
탐지 내역 처리 : 자동화
• 탈취된 인스턴스에 대한 처리
• 유출된 AWS 자격증명에 대한 처리
자동 대응
GuardDuty CloudWatch Events Lambda
Amazon GuardDuty
Amazon CloudWatch
CloudWatch Event Lambda Function
AWS Lambda
• Lambda Function 이용:
• 현재 Security Group에서 제외하고 양방
향 통신을 차단
• EBS volume(s)에 대한 스냅샷
• 보안팀에 경보
25. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
다중 계정 관리
26. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 보안 위협 탐지
- AWS Config / Rules
27. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Config & Config Rules
• Config : AWS리소스의 변경사항을 추적하고 감사하는 서비스
• Config Rules : 해당 변경 사항이 기준 정책에 위반될 때, 대응 규칙
실행(경보, 차단 등 AWS Lambda활용).
변경된 리소스들 Config Rules
이력, 스냅샷
SNS Topic
API 접근
정규화
AWS Config는 다음 질문에 대한 해답을 드리는 일종의 렌즈역할을 합니다
è 나의 리소스들이 시간이 흐르면서 어떤식으로 설정되어 지고 있는가?
AWS Config
28. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Config Rules Git hub 저장소:
https://github.com/awslabs/aws-config-rules
Config Rules – Managed Rule
AWS Config
29. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Config – advanced query
30. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Config
31. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Configuration Timeline
32. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Compliance History Timeline
33. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Conformance pack
34. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Config Aggregator
현재 구성 가능 리전 : Dublin, Singapore, Sydney, Frankfurt, Tokyo, Virginia, Ohio, N. California, Oregon, Mumlbai,
Seoul, Canada, London, Paris, Sao Paulo
멀티 어카운트 / 리전의 Config 데이터를 통합해서 뷰를 제공
35. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
대략 15분 정도 이후, 아래 처럼 대상 계정에
대한 Compliant 여부가 표시된다.
36. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 보안 위협 탐지
- Amazon Inspector
37. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon Inspector
• Agent 기반
• 보안 진단 결과 – 가이드 제공
• API를 통한 자동화
Amazon EC2 instances의 네트워크 액세스 가능성 및 해당 인스턴스에서
실행되는 애플리케이션의 보안 상태를 테스트하여 보안과 규정 준수
수준을 향상시키는 자동화된 보안 수준 점검 기능을 제공
38. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
§ 간단한 구성(Admin/Root권한)
§ 리눅스(실행파일/커널모듈)
§ 윈도(Updater/커널 드라이버)
§ 1 Way TLS 통신 : Agent è Inspector
§ Inspector, S3로의 Outbound Path 필요(*)
§ inspector.<region>.amazonaws.com(**)
§ s3.dualstack.<region>.amazonaws.com(**)
§ Proxy 구성 지원
§ HTTPS proxy (Linux)
§ WinHTTP proxy (Windows)
Inspector Agents
EC2 EC2
Agent Agent
Inspector 버킷
Inspector
Heartbeat
또는
수집내역(JSON) JSON
Commands
Heartbeat
또는
수집내역(JSON)
(* NAT, Security Group Outbound 등의 설정 필요)
(** AWS IP 주소 변경 통지 설정 필요)
39. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon Inspector
• 네트워크 평가:
• 네트워크 연결성
• 호스트 평가:
• CVE(일반적인 취약성 및 노출도)
• Center for Internet Security(CIS) 벤치마크
• Amazon Inspector의 보안 모범 사례
40. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Rule Packages
규칙 패키지
1. Common Vulnerabilities & Exposures(*1,2)
2. CIS Secure Configuration Benchmarks
3. Security Best Practices
4. Network Reachability(* 3)
패키지 관리자(yum, apt, installer) 설치 애플리케이션만 진단 가능 :
make 설치나 puppet, ansible 배포 바이너리는 불가
1. https://cve.mitre.org/
2. https://s3-us-west-2.amazonaws.com/rules-engine/CVEList.txt
3. Agent 필요 없음
41. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
지원되는 운영 체제 CVE
Network
Reachability
CIS
Benchmarks
Security Best
Practices
Amazon Linux 2018.03, 2017.09, 2017.03, 2016.09, 2016.03,
2015.09, 2015.03
지원 지원 지원 지원
Amazon Linux 2 LTS 2017.12 지원 지원 지원 지원
Amazon Linux 2014.09, 2014.03, 2013.09, 2013.03, 2012.09,
2012.03
지원 지원 지원
Ubuntu 18.04 LTS, 16.04 LTS, 14.04 LTS 지원 지원 지원 지원
Debian 9.0 - 9.5, 8.0 ~ 8.7 지원 지원 지원
RHEL 6.2 - 6.9 및 7.2 - 7.5, 7.6 지원 지원 지원 지원
CentOS 6.2 - 6.9 및 7.2 - 7.5, 7.6 지원 지원 지원 지원
Windows Server 2012 R2, 2012, 2008 R2, 2016 Base 지원 지원 지원
https://docs.aws.amazon.com/inspector/latest/userguide/inspector_rule-packages_across_os.html
Rule 패키지 Support
42. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon Inspector Finding
43. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Inspector 자동화
• Inspector Findings는 잠재된 보안 이슈들을 식별할 수 있게 해 주는 중요 구성요소로서,
“Event-driven security” 방식으로 쉽게 자동화 시킬 수 있는 기본 단위
• SSM 은 Findings에서 발견된 내역을 기반으로 조치(Actions)하기 위한 강력한 도구
• SNS 와 Lambda는 Findings 와 Actions를 연결시켜 주는 역할
탐지 내역
취약점, 영향받는
리소스, 권장 조치
SNS Lambda
EC2 Run
Command
Trigger any action 대상 인스턴스에
대한 조치 실행
44. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
45. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 보안 위협 탐지
- Amazon Macie
46. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon Macie
기계 학습(Machine Learning)기반으로 민감한 중요 데이터를 발견
및 분류하고 불법적인 유출을 방지
47. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon Macie : classic과의 차이점
2.0 version!
사용자 경험과 확장성
• AWS 콘솔 편입과 full API 지원
• 사용자 정의 데이터 식별자(customer defined
data identifiers)를 통한 확장성 증가
• 확장된 관리형 민감데이터 탐지기
• 태그 지원, AWS Organizations 및
CloudFormation 연계
• Classic의 스캐닝 제한(처음 20MB까지) 철폐
가치 증대
• 가격 체계 단순화
• CloudTrail 데이터 이벤트 비용의 제거
• AWS 콘솔 상에서 사용량 보여주기
• AWS 지원 리전 대폭 확대
아노말리 탐지 및 CloudTrail S3 데이터 모니터링 이벤트 기능은 GuardDuty 쪽으로 병합
48. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Macie 특징 1 : 가시성 확보와 평가
S3 버킷 인벤토리를 통한 가시성 제공
전체 버킷 갯수 | 저장량 크기 | 저장 객체 갯수
• 어카운트 별 집계
• 전체 버킷 갯수는 실시간 집계되고, 저장량/객체수는 일간 업데이트됨
전체 공유 설정 암호화 여부 타 계정과의 공유
49. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Macie 특징 1 : 가시성 확보와 평가
S3 버킷 인벤토리를 통한 가시성 제공
탐지 내역 유형 : Control plane (버킷 정책) 탐지 내역 / 데이터 분류 (객체) 탐지내역
버킷 정책
버킷 별 탐지 내역 탐지 유형
50. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Macie 특징 2 : 민감 정보 탐색
• 데이터 탐색 타겟 선택
• Job 스케쥴링 / 1회성
• 탐색 범위 지정
• 탐색 빈도(1회, 일간, 주간, 월간)
• 객체 조건 (태그, 수정일, 확장자,
크기)
• 상태 리뷰 (종료, 중단, 대기)
• Job 관리 (실행 취소, 복사 후
신규 Job 생성)
• Amazon S3 환경과 데이터에 대한 지속적인 검사
51. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Macie 특징 2 : 민감 정보 탐색
52. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Macie 특징 2 : 민감 정보 탐색
완전 관리형 민감 데이터 타입:
• Amazon Macie는 일상적인 개인정보(PII)나 GDPR, PCI-DSS, HIPAA 와 같은 개인정보 관련 규정들에서 정의하고
있는 다양한 민감 정보 타입들이 포함된 관리형 민감 데이터 타입들을 계속적으로 늘려나가고 있음
.gz, .gzip, .tar, .zip,
.doc, .docx, .pdf, .xls, .xlsx
.csv, .htm, .html, .json, .tsv, .txt, .xml,
Avro , Parquet, others non-binary
text file
파일 포맷 데이터 타입
• 금융 (카드번호, 은행 계좌번호, 등)
• 개인정보 (이름, 주소, 연락처, 등)
• 국가별 식별정보 (여권번호, ID, 운전면허번호, 등)
• 의료관련 (건강보험, 처방약 코드, 등)
• 기타 자격증명 및 secrets
사용자 정의 민감 정보 데이터 타입:
• Amazon Macie는 정규식패턴을 이용하여 고객이 직접 필요한 사용자 정의 커스텀 데이터 타입을 정의
• 패턴 매치에 사용할 정규식 표현
• 예 : 대한민국 주민 등록 번호 è
• 키워드 지정을 통한 문자열 일치
• 특정 텍스트를 제외문자열로 지정하여 예외처리
53. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Macie 특징 2 : 민감 정보 탐색
암호화된 데이터 탐색
Client-Side encryption
Customer-Provided server-side encryption (SSE-C)
AWS KMS customer-managed encryption (SSE-KMS)
Amazon S3-managed encryption (SSE-S3)
AWS KMS AWS-managed encryption (AWS-KMS)
Can Can’t
54. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Macie 특징 3 : 확장 가능한 중앙 통제
• Macie 마스터 어카운트
• 멤버 어카운트 S3 버킷의 메타데이터, 버킷 구성 정보, 정책 탐지 내역들에 접근
• AWS Organization 마스터와 별개
• 멤버 어카운트들의 버킷 정책 탐지 내역들을 일괄 조회할 수 있음.
• 마스터/멤버 설정
• AWS Organization을 이용하여 멤버쉽 설정 – 5,000개 까지, 사용 리전 별로 자동 활성화 됨
• Invitation을 통해 개별 멤버쉽 설정 - 1,000개 까지
콘솔 상에서 몇 번의 클릭으로 손쉽게 멀티 어카운트 상에서 Macie를 활성화 시키고, 이때부터 전체 어카운트 들의
버킷/객체수, 버킷 레벨 보안, 접근제어 상태 등의 Amazon S3 리소스 요약이 집계되어 제공됨.
55. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Macie 특징 4 : 자동화와 대응 조치
탐지 유형들
• 버킷 정책 관련 탐지내역들
• 민감정보 유형 관련 탐지 내역들
탐지내역들은 다음 정렬 기준으로 분류
• 버킷 별 / 타입 별 / 수행 job 별
탐지 내역들에 대한 Archiving – Alert에서 제외
• 수작업 / 필터 조건에 따른 자동
추가 조치를 위해 탐색 결과들이 전달되는 타겟
• 모든 탐지내역들이 CloudWatch Events(EventBridge)로 전달 가능
• 버킷 정책 관련 탐지내역들은 Security Hub로도 전달가능
56. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Macie 특징 4 : 자동화와 대응 조치
탐지 내역 Export :
• 이벤트 및 경보 관련 도구와 연계할
수 있도록, 탐지 내역들을 지정하여
JSON 포맷으로 Export.
57. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 보안 위협 탐지
- AWS Security Hub
58. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Security Hub
AWS 환경에 대한 보안과 규정 준수 현황에 대한 이해
위협탐지 취약점
정보유출 규정위반
보안 파트너 탐지 내역
Amazon
GuardDuty
Amazon
Inspector
Amazon
Macie
AWS Config
AWS IAM
Access Analyzer
AWS
Firewall Manager
접근제어 방화벽
59. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Security Hub vs. SIEM
AWS Security Hub
• 일부 SIEM 기능(탐지 내역에 대한
Correlation) + Compliance Check 도구
• 방대한 이벤트/로그에 대해 직접 탐색하지
않음 è 로그/이벤트에 대한 수집 / 파싱 /
정규화에 대한 부담없이 손쉽게 적용
• 자동으로 규정 준수 상태를 보여주는
Compliance Standard 제공
SIEM
• 직접 이벤트/로그를 처리 è 로그/이벤트에
대한 수집/파싱/정규화에 대한
부담(프로젝트 필요)
• 보다 상세한 Correlation 및 경보 기능 제공
• 규정 준수 상태 등에 대한 가시성은
제공하지 않음
AWS Native SIEM = GuardDuty + Security Hub + Detective
60. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Security Hub 제공 기능
수많은 보안 툴들이
서로 다른 형태로 탐지
내역을 생성
1
과다한 경보 발생으로
인한 우선 순위 대응
필요
2
AWS 환경의 보안 및
규정준수 여부를
확인할 수 있는 기능
필요
3
• 표준화된 Amazon
Finding Format
• AWS 및 파트너보안 툴
들과 Built-in 연계
• 중요한 탐지 식별을
위한 “Insight”.
• CW Event를 통한 SIEM,
Ticketing, Chat, SOAR
환경과 연계
• 규정 위반 사항 체크
자동화 및 표준 가이드
제공
보안 및 규정 관련
상태를 간단히 확인할
수 있는 단일 환경 필요
4
• 보안 및 규정 준수
상태 대쉬보드
• 멀티 어카운트 환경
지원
61. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Security Hub Findings
62. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Security Hub Insights
연관관계, 필터, 우선순위 등을 주어 Correlation시킨 Finding들의 집합
• AWS 및 파트너들이 20여개 빌트인 Insight 제공
• Custom Insight 정의 지원
• Top 탐지 내역을 한번에 보여주는 대시보드 제공
63. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Compliance Standards
• 각종 보안 표준 기준 점검 및 조치사항 제공
1. CIS AWS Foundations Benchmark의 40여 개 점검 항목 기준 : 항목별 비활성화 가능
2. PCI-DSS 기준 30여 개 점검 항목
3. AWS Security Best Practice 기준 30여 개 점검 항목
• 주로 Config Rules을 통해 체크(Config 활성화 필수, 별도 과금)
• 24시간 주기
64. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Custom Actions
65. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Security Hub : 자동 대응 구성
Amazon CloudWatch
Event
(event-based)
Rule
Lambda function
AWS Lambda
통합 대응 규칙 경감 조치 실행탐지
66. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 보안 위협 탐지
- Amazon Detective
69. 보안 활동 그래프(Behavior Graph)
AwsRole
AwsUser
Ec2Instance
버킷
Finding A
Public
Open
탐색
기
동
trigger
Finding B
수
임
trigger
IpAddress
할당
엔
터
티
Relationship
https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html
73. API 호출 추이 변화 조사
급격한 실패건
스파이크 및 감소 추세
호출 성공건 증가
추세
75. 외부 IP 주소 추적
해당 IP 주소와의 인바운드
통신 조사
해당 IP 주소와의 아웃바운드
통신 조사
식별된 리모트
IP 주소들
77. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 보안 위협 탐지
- Key Takeaways
78. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
탐지 제어 Checklist
1. 모든 리전에 Cloudtrail 적용
2. 로그 데이터에 대한 접근 통제 (only security account)
3. 환경 전체 스택 별 로그 관리 원장 수립
1. OS
2. VPC Flow logs
3. App, DB, RDS, etc
4. GuardDuty로 보안 위협 탐지
5. 기존 로그 분석 환경과 SecurityHub 연계하여 통합 SIEM 구성
1. Splunk
2. SumoLogic
3. Alertlogic (24/7 managed soc)
6. Config로 AWS환경 형상 관리 및 복구 자동화 (최소한 public s3 버킷만 이라도)
7. Cloudwatch Alarms (최소한 root login 만 이라도)
8. Cloudwatch Events (최소한 Cloudtrail disabled 이벤트에 대해서만이라도)
79. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
보안 침해 대응
80. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
보안 침해 대응 on AWS
Incident Response 백서 : https://d1.awsstatic.com/whitepapers/aws_security_incident_response.pdf
성공적인
보안 침해
대응
Prepare
Stimulate
Iterate
Educate
• E
• P 사고를 감지하고 대응할 수 있도록 준비
• 탐지 기능 활성화
• 필요한 도구 및 클라우드 서비스에 대한 적절한
액세스 부여
• Runbook 준비
• S 보안 이벤트를 시뮬레이션하여 연습
• I 시뮬레이션 결과를 반복하여 대응을 개선
81. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Simulate Steps 예시
1. 대응이 필요한 이슈 정의
2. 시뮬레이션을 수행할 보안 엔지니어 배정 – 테스트 환경 및 스크립트를 구축
3. 현실적이고 적절한 시뮬레이션 모델 구축
4. 시나리오 요소를 구축하고 테스트 – ex. 로깅 아티팩트, 이메일 알람, runbook 등
5. 다른 보안 담당자 및 교육이 필요한 조직 간 참가자 초대
6. 시뮬레이션 실행 – 담당자가 SIRS 를 예상 혹은 예상하지 못한 상황을 가정
7. 결과를 심사하고 개선점을 반영하며 반복
82. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 상의 주요 침해 유형
규정 위반 리소스 고객 서비스 접근 차단 미허가 리소스 생성
미승인 접근 권한 불법 상승
리소스에 대한 상시
접근 통로 구성 시도
과다 권한 부여 중요 정보 유출
AWS 자격증명 유출로
인한 불법 접근
83. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
서비스 도메인
• 서비스 구성이나 리소스 권한 변경
과 관련된 incident
ex)
• AWS 계정
• AWS IAM
• 리소스 메타데이터
• 청구
인프라 도메인
• 데이터 또는 네트워크 관련 활동이
포함
ex)
• VPC EC2 트래픽
• VPC EC2 프로세스 및 데이터
• 운영체제와의 상호작용
어플리케이션 도메인
• 응용 프로그램 코드
• 서비스나 인프라에 배포 된
소프트웨어에서 발생
84. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Threat Intelligence
AWS Config Rules 위반건
파트너 Tool
로그 및 모니터링 메트릭
AWS Abuse report
빌링 상의 변화
85. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
모니터링, 탐지, 대응
• CloudTrail
• CloudWatch
• AWS Config
• Amazon S3 access logs
• Amazon VPC Flow Logs
• AWS WAF logs
• Application logs
• …
• AWS GuardDuty
• Amazon Macie
• AWS Trusted Advisor
• Amazon Inspector
• IAM 정책 체크
• Config rules
• Amazon CloudWatch Events &
Alarms
• 기계학습 기반 분석
• …
• Amazon Lambda
• AWS Step Function
• AWS Systems Manager
• Amazon SNS
• 리소스 구성 변경 / 삭제
• 변경 사항 원복
• 자격증명 무효화
• …
로깅 탐지 및 알람 자동 대응
AWS Config
rule
Human
analysis
CloudWatch
alarm
CloudWatch
Events
86. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 람다를 통한 자동 대응
Amazon Macie Amazon GuardDutyCloudTrail CloudWatch
Events
On-Instance
Logs
Amazon VPC Flow
Logs
CloudWatch
Logs
CloudWatch
Alarms
AWS 람다
S3 Access Logs S3 Bucket
87. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
자동 대응을 통한 대응 시간 단축
시간
get logs
analyze
correlate
trace origin
locate
remediate
event delivered
rule matched
alert sent
correlate
check baseline
remediate
사고발생
traditional
response
response
88. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
예 : 서비스 도메인 자동 대응 사례
해커
Amazon
CloudWatch Events
Lambda function
AWS CloudTrail
cloudtrail:StopLogging
API 요청
{
"detail-type": [ "AWS API Call via CloudTrail" ],
"detail": {
"eventSource": [ "cloudtrail.amazonaws.com" ],
"eventName": [ "StopLogging" ]
}
}
cloudtrail:Start_Logging
CloudTrail logging이 의도하지 않게 disable된 상황 :
89. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
예 : 인프라 도메인 자동 대응 사례
1. Amazon EC2 인스턴스 메타 데이터 캡처
2. 인스턴스에 대한 종료 방지 기능을 활성화
3. Security Group / NACL을 이용해 격리
4. Auto Scaling 그룹에서 인스턴스 분리
5. ELB에서 인스턴스 등록 취소
6. 보존 및 후속 조사를 위한 EBS 스냅샷
7. EC2 인스턴스에 조사 식별을 위한 태깅
8. 포렌식 실행
서비스 EC2에 의심스러운 활동이 포착된 상황 :
90. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
예 : 인프라 도메인 자동 대응 사례
포렌식 워크스테이션 :
• 포렌식 절차 및 방법 수립
• 자동 포렌식 과정의 진행에 필요한 IAM Role 생성
• 미리 만들어 놓은 포렌식 전용 AMI를 런치 (오픈소스 / 상용 제품)
• EBS 복사본을 연결하여 포렌식 수행
포렌식 도구들 :
Enterprise Tools
• Mandiant
• EnCase
• Forensic Tool Kit
• Google Rapid Response(**)
Memory Capture
• Fastdump
• FTK Imager
• LiMEaide(***)
• Margarita Shotgun(****)
Network
• Wireshark
• Moloch
91. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
다양한 security automation 참고 자료
How to get started security response automation on aws
https://aws.amazon.com/ko/blogs/security/how-get-started-security-response-automation-aws/
• Event Bridge, GuardDuty, Security Hub 등을 이용한 IR 자동화 샘플 template 제공
Automated Response and Remediation with AWS Security Hub
https://aws.amazon.com/ko/blogs/security/automated-response-and-remediation-with-aws-security-hub/
• CIS AWS Foundations Benchmark 관련 규정 준수 결과를 개선하는 데 도움이 되는 12 가지 대상 작업에 대한 사용자 지정
작업, CloudWatch 이벤트 규칙 및 Lambda 함수를 구축하는 방법 소개
Use AWS Fargate and Prowler to send security configuration findings about AWS services to Security Hub
https://aws.amazon.com/ko/blogs/security/use-aws-fargate-prowler-send-security-configuration-findings-about-aws-services-
security-hub/
• Docker를 사용하여 Prowler를 컨테이너화하고 서버리스 컨테이너 서비스 AWS Fargate에서 호스팅하는 방법 소개
How to use CI/CD to deploy and configure AWS security services with Terraform
https://aws.amazon.com/ko/blogs/security/how-use-ci-cd-deploy-configure-aws-security-services-terraform/
• Terraform 구성 파일을 사용하여 WAF를 빌드하고 CI / CD 파이프 라인을 통해 자동으로 WAF를 배포하며 이후의 배포를 통해
WAF 상태 파일을 나중에 참조, 변경 또는 파괴하여 내구성있는 백엔드로 유지
• ……and so many
92. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
침해 대응 Checklist
1. 경영층까지 참여하여 분명한 목표 수립
2. 클라우드의 특성을 반영한 대응 설계 (자동화 / 확장성)
3. AWS환경에 대한 문서화된 침해사고 대응 절차 – playbook이 있는지?
4. 지속적으로 모범사례를 반영하여 선제적으로 대응
5. 알려진 위협들에 대한 자동 대응 구성
6. 일상적이거나 충분히 예상되는 부분은 자동화로, 비정상적이고 복잡한 케이스만 관리자 개입
7. 정기적으로 대응 절차 테스트 : 목표와의 GAP을 분석하고 개선
93. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Security Portfolio
AWS Security Services Value Chain
Protect Detect Respond
Automate
Investigate
RecoverIdentify
AWS
Systems
Manager
AWS Config
AWS
Lambda
Amazon
CloudWatch
Amazon
Inspector
Amazon
Macie
Amazon
GuardDuty
AWS
Security Hub
AWS IoT
Device
Defender
KMSIAM
AWS
Single
Sign-On
Snapshot Archive
AWS
CloudTrail
Amazon
CloudWatch
Amazon
VPC
AWS
WAF
AWS
Shield
AWS
Secrets
Manager
AWS
Firewall
Manager
AWS
Organizations
Personal
Health
Dashboard
Amazon
Route 53
AWS
Direct
Connect
AWS Transit
Gateway
Amazon
VPC
PrivateLink
AWS Step
Functions
Amazon
Cloud
Directory
AWS
CloudHSM
AWS
Certificate
Manager
AWS
Control
Tower
AWS
Service
Catalog
AWS Well-
Architected
Tool
AWS
Trusted
Advisor
Resource
Access
manager
AWS
Directory
Service
Amazon
Cognito
Amazon S3
Glacier
AWS
Security Hub
AWS
Systems
Manager
Amazon
Detective
94. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Demo !! on Detective Control
95. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Demo Context
compromised do
96. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Demo Context
compromised do
97. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Demo Context
Security hero DIG IN
98. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Quiz !! on Detective Control
99. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
yijeong@amazon.com
