[AWS Builders] AWS상의 보안 위협 탐지 및 대응

Program 301
AWS 상의 보안 위협 탐지 및 대응
임 기 성 | Security SA

강연 중 질문하는 방법 AWS Builders
Go to Webinar “Questions” 창에 자신이 질문한
내역이 표시됩니다. 기본적으로 모든 질문은
공개로 답변 됩니다만 본인만 답변을 받고
싶으면 (비공개)라고 하고 질문해 주시면 됩니다.
본 컨텐츠는 고객의 편의를 위해 AWS 서비스 설명을 위해 온라인 세미나용으로 별도로 제작, 제공된 것입니다. 만약 AWS
사이트와 컨텐츠 상에서 차이나 불일치가 있을 경우, AWS 사이트(aws.amazon.com)가 우선합니다. 또한 AWS 사이트
상에서 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다.
AWS는 본 컨텐츠에 포함되거나 컨텐츠를 통하여 고객에게 제공된 일체의 정보, 콘텐츠, 자료, 제품(소프트웨어 포함) 또는 서비스를 이용함으로 인하여 발생하는 여하한 종류의 손해에
대하여 어떠한 책임도 지지 아니하며, 이는 직접 손해, 간접 손해, 부수적 손해, 징벌적 손해 및 결과적 손해를 포함하되 이에 한정되지 아니합니다.
고지 사항(Disclaimer)

- 웨비나
진행 순서
AWS 보안의 접근전략
주요 보안 서비스 소개
Amazon GuardDuty
AWS Config / Rules
Amazon Inspector
AWS SecurityHub

사용자로 인한 보안 사고
https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_en_xg.pdf
2018 Verizon 데이터 침해 조사 리포트
상위 5대 보안 사고 원인
1. 해킹 등으로 유출된 자격증명/암호
2. 메모리 상주 멀웨어에 의한 정보 유출
3. 사용자 사칭 피슁
4. 권한 남용 및 오용
5. 설정 및 구성 오류
사용자
사용자
사용자
사용자

데이터로부터의 사용자 격리
AWS CISO Stephen Schmidt, at re:Invent 2017: “It's people who make mistakes, it's people who have good intentions
but get phished, it's people who use the same credentials in multiple locations and don't use a hardware token
for a multi-factor authentication… Get the humans away from the data.”

보안 사고 인지의 어려움
다른 시사점들
https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_en_xg.pdf
악성 이메일을 통한 멀웨어 감염으로 유발된 보안 사고 비중
금전이 1차 목적인 보안 사고 비중
경쟁, 전략적인 동기에 의한 보안 사고 비중
수개월 이상 지나 인지된 보안 사고 비중

탐지가 점점 더 어려워 지는 이유는?
숙련된 보안 관리자의
부족
수많은 신호/통지/오탐
è 통보 스트레스
è 진짜 중요한 이벤트는?
연결되는 시스템 및
디바이스의 증가
è 분석해야 할 대규모
데이터

AWS의 접근 전략
사용자로 인한 보안 사고
보안 사고 인지의 어려움
자동화를 통한
사용자 격리
Lambda CloudWatch
Events
SNS
CloudFormation
AI / 규칙
기반의 탐지
Trusted
Advisor
Config
Rules
Inspector
Macie GuardDuty

GuardDuty 위협 탐지 및 통지 서비스
탐지 통보
대응
정찰
인스턴스 침해
계정 침해
Amazon
GuardDuty
VPC flow logs
DNS Logs
CloudTrail Events
HIGH
MEDIUM
LOW
FindingsData Sources위협 탐지 유형들

Amazon GuardDuty: 특장점
• 관리형 위협 탐지 서비스
• 아키텍쳐 변경이나 성능 저하 없이 손쉽게 원클릭 활성화
• AWS 어카운트 및 리소스에 대한 상시 모니터링
• EC2 및 IAM에 관련된 위협 발견
• No Agents, no Sensors, no Network Appliances
• 글로벌 커버리지, 리젼 기반 적용
• 머신러닝 기반 이상 행동 탐지 기능 탑재
• 추가적인 보호 기능을 위한 파트너 연계
• 간단하고 효과적인 가격 체계

GuardDuty Threat Detection Type Details
정찰 인스턴스 침해 어카운트 침해
인스턴스 대사과정:
• Port Probe/Accepted Comm
• Port Scan (intra-VPC)
• Brute Force Attack (IP)
• Drop Point (IP)
• Tor Communications
어카운트 대사과정:
• Tor API Call (failed)
• C&C Activity
• Malicious Domain Request
• EC2 on Threat List
• Drop Point IP
• Malicious Comms (ASIS)
• Bitcoin Mining
• Outbound DDoS
• Spambot Activity
• Outbound SSH Brute Force
• Unusual Network Port
• Unusual Traffic Volume/Direction
• Unusual DNS Requests
• Domain Generated Algorithms
• Malicious API Call (bad IP)
• Tor API Call (accepted)
• CloudTrail Disabled
• Password Policy Change
• Instance Launch Unusual
• Region Activity Unusual
• Suspicious Console Login
• Unusual ISP Caller
• Mutating API Calls (create, update,
delete)
• High Volume of Describe calls
• Unusual IAM User Added
시그니쳐 기반 상태 비유지 탐지 내역 상태유지 행위 기반 탐지 및 비정상 행동 분석
https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types.html

알려진/알려지지 않은 위협에 대한 대응
내,외부 위협정보 소스 활용
• AWS Security
• Commercial feeds
• Open source feeds
• 고객 제공 정보 활용(STIX)
• 멀웨어에 감염되었다고 보고된 호스트들
• 익명화 프록시(Anonymizing proxies)
• 멀웨어 및 해킹 도구를 호스팅하고 있는
싸이트
• 암호화폐 마이닝 풀과 wallet 싸이트
• 기타 의심스럽거나 위험한 행위에 대한 탐지
비정상 탐지(Anomaly detection)
• 일상적이지 않은 행위를 탐지하는 알고리즘
• 시그니쳐를 찾기 위해 패턴을 조사
• 정상 상태에 대한 프로파일링과 변화의 폭 조사
• Machine Learning 기반 분류
• 전폭적인 R&D 노력
• Raw데이터 분석을 위해 숙련된 data scientist
투입
• 지속적으로 탐지 모델 개발/발전
• 실제와 같은 테스팅, 튜닝 및 검증 싸이클
• 어드밴스 행동 및 기계 학습 탐지는 계정에서
행동 기준선을 설정하는 데 7~14일 소요.
알려진 위협에 대한 대응 알려지지 않은 위협에 대한 대응

GuardDuty 지원 데이터 소스
VPC Flow Logs
VPC flow logs
• VPC Flow Logs 분석. Flow Logs에
대한 별도의 활성화 작업은 필요
없음. 로그데이터에 대한 수집은
독립적인 복제 스트림을 통해
수행됨.
• 별도 SIEM 분석환경이 있는 경우,
기존 대로 VPC Flow Logs를
활성화하여 이용할 것을 권장.
DNS Logs
DNS Logs
• EC2인스턴스가 알려진 타겟
도메인으로 접근했던 DNS 로그 분석.
• Route 53 query log를 포함한 DNS
로그 정보. DNS 기반 분석을 위해
Route 53이 반드시 필요한 것은 아님.
CloudTrail Events
CloudTrail Events
• 관리 콘솔, SDK, CLI등을 통해 발생된
AWS API호출을 기록한 CloudTrail
history 분석.
• API호출에 이용된 소스 IP주소를
포함해서 사용자와 어카운트에 대한
식별.
Capture and save all event data via CWE or API Call for long term retention. Additional charges apply.

목록: 신뢰 및 위협 IP 목록
GuardDuty는 다음 지능형 피드 정보를 활용하고 있습니다. :
• CrowdStrike
• Proofpoint
커스텀 신뢰IP 목록과 알려진 위협 목록을 통해 Finding의 기능을 확장할 수 있습니다.
• 해당 인프라 혹은 어플리케이션과의 안전한 통신을 할 수 있는 신뢰된 IP목록을 탐지
예외처리(Whitelisting, 오탐 방지).
• 알려진 악성 IP주소들에 대한 위협 목록. GuardDuty는 위협 목록을 기반으로 finding을 생성.
• Hard Limits: 어카운트 당 1개의 신뢰 목록 과 6개의 위협 목록까지 관리 가능
• 지원 Format : TXT, STIX, OTX(CSV), Alien_Vault, ProofPoint(CSV), FireEye(CSV)
고객 및 파트너 제공 신뢰 IP 목록 고객 및 파트너 제공 알려진 위협 목록+

GuardDuty 탐지 내역: Console / API
AWS 관리 콘솔 API / JSON 포맷
위협정보의 신속한 확인:
• 심각도
• 리전
• 횟수/빈도
• 위협 유형
• 대상 리소스
• 소스 정보
• Viewable via CloudWatch
Events
추가 분석을 위해 Finding Data를
Export:
• SIEM환경으로 전달
• 대응 방식을 코딩으로 자동화
• 추가 정보
• ARN
• Span of Time
• Resource Info
• 기본적으로 탐지 결과는
90일동안만 보존 (S3 푸쉬
권장)

GuardDuty 탐지 내역: Severity Levels
LOW MEDIUM HIGH
• 의심스럽거나 악의적인
행위가 리소스를 탈취하기
전에 차단됨.
• Severity : 0.1 ~ 3.9 범위
• 평상시 행동 패턴과 다른
의심스러운 행위 탐지.
• Severity : 4.0 ~ 6.9
• 리소스가 이미 탈취되어
허락되지 않은 행동을
수행하고 있음.
• Severity : 7.0 ~ 8.9
대처방안:
즉각적인 대처 필요
• 인스턴스 터미네이트
• IAM access key 교체
대처 방안:
추가 조사 필요
• 리소스의 행위를 변화시킨 신규
설치 소프트웨어가 있는지 확인
• 설정 내역의 변경 확인
• 리소스에 대한 AV 스캐닝
수행(허락되지 않은 소프트웨어
탐지)
• IAM 주체에 부여된 권한 확인
대처 방안:
• 즉각 대응할 필요는 없음. 향후
정보 차원의 활용 용도
심각도 9 이상은 향후 사용을 위해 예약됨.

탐지 내역 처리: 자동화
• 탈취된 인스턴스에 대한 처리
• 유출된 AWS 자격증명에 대한 처리
자동 대응
GuardDuty CloudWatch Events Lambda
Amazon GuardDuty
Amazon CloudWatch
CloudWatch Event Lambda Function
AWS Lambda
• Lambda Function 이용:
• 현재 Security Group에서 제외하고
양방향 통신을 차단
• EBS volume(s)에 대한 스냅샷
• 보안팀에 경보

Frequently Asked Questions
Q: 내 계정에서 Amazon GuardDuty를 활성화하면 성능이나 가용성에 영향을 미치게 됩니까?
아니요. Amazon GuardDuty는 고객의 AWS 리소스와 완전히 독립적으로 운영되며, 계정이나 워크로드에 영향을 줄 위험이
전혀 없습니다. 따라서 기존 운영에 영향을 주지 않고 조직 내 여러 계정에 걸쳐 GuardDuty를 손쉽게 활성화할 수 있습니다.
Q: Amazon GuardDuty에서 작업을 하려면 AWS CloudTrail, VPC 흐름 로그 및 DNS 로그를 활성화해야 합니까?
아니요. Amazon GuardDuty에서는 AWS CloudTrail, VPC 흐름 로그 및 DNS 로그에서 직접 독립적인 데이터 스트림을
끌어옵니다. Amazon S3 버킷 정책을 관리하거나 로그를 수집 및 저장하는 방법을 수정할 필요가 없고, GuardDuty
서비스의 운영이 AWS IAM 권한 변경 또는 S3 버킷 정책 변경의 영향을 받을 위험이 없습니다. 따라서 복잡한 구성 없이
손쉽게 서비스를 활성화할 수 있습니다.
Q: Amazon GuardDuty에서 내 로그를 관리하거나 유지합니까?
아니요. Amazon GuardDuty는 로그를 관리하거나 유지하지 않습니다. GuardDuty에서 소비하는 모든 데이터는 거의
실시간으로 분석된 후 폐기됩니다.
Q: GuardDuty는 작업을 시작하는 데 얼마나 걸립니까?
일단 활성화되면, Amazon GuardDuty는 즉시 악의적 또는 무단 활동에 대한 분석을 시작합니다. GuardDuty는 기록
데이터는 확인하지 않으며 서비스가 활성화된 이후에 시작된 활동만 확인합니다.
Q: 기계 학습과 이상 행동 탐지는 어떻게 작동합니까?
고도화된 이상 행동 탐지는 계정에서 행동 기준선을 설정하는 데 7~14일이 걸립니다. 그 후에는 이상 행동 탐지가 학습
모드에서 활성 모드로 전환되고, 위협으로 보이는 행동을 관찰하는 경우 해당 탐지에서 생성한 결과가 표시됩니다.
https://aws.amazon.com/ko/guardduty/faqs/?nc1=h_ls

AWS Config & Config Rules
• Config : AWS리소스의 변경사항을 추적하고 감사하는 서비스
• Config Rules : 해당 변경 사항이 기준 정책에 위반될 때, 대응 규칙
실행(경보, 차단 등 AWS Lambda활용).
변경된 리소스들
AWS Config
Config Rules
이력, 스냅샷
통지
API 접근
정규화
AWS Config는 다음 질문에 대한 해답을 드리는 일종의 렌즈역할을 합니다
è 나의 리소스들이 시간이 흐르면서 어떤식으로 설정되어 지고 있는가?

Configuration Item
§ 리소스의 모든 구성속성들에 대해, 변경될 때 마다, 변경된 구성정보들을
담고 있는 새로운 Configuration item이 생성됨.
Component Description 전형적인 예
Metadata 해당 configuration item에 대한 정보 Version ID, Configuration item ID, 수집
시간, State ID(상태 순서), MD5Hash, 등.
Common
Attributes
Resource 속성값 리소스 아이디, 태그, 리소스타입, Amazon
Resource Name (ARN), 가용영역 등
Relationships 해당 account 내에 다른 리소스와의
어떤 관계가 있는지를 설명.
EBS 볼륨(vol-1234567)이 EC2 인스턴스(i-
a1b2c3d4)에 붙어 있음
Current
Configuration
해당 리소스의 ‘Describe’, ‘List’ API 콜의
리턴 결과
EBS 볼륨 타입(GP2, PIOPS, Magnetic),
볼륨 구성 상태(DeleteOnTermination flag
등)
Related Events 해당 리소스의 현재 구성상태를
발생시킨 작업의 CloudTrail event 정보
AWS CloudTrail event ID

Relationships
• 자동으로 할당되는 의존 관계의 양방향 맵핑.
• 리소스 변경으로 인해 관계된 리소스들의 Configuration Items들이 생성됨.
EC2 Elastic IP

관리 영역의 리소스에 대한 overview와 AWS Config rules를 통한 규정 위배 내역 출력
AWS Config Dashboard

Config Rules
• AWS Managed Rules
• AWS가 정의
• minimal (or no) configuration 필요
• AWS에 의해 관리되는 Rules
• Custom Rules
• 고객이 정의 및 관리
• AWS 람다를 사용하여 정의
잠재적인 보안 취약성을 찾기 위해 검증하는데 활용.

Custom Rules
• 고객사 프랙티스를 자동화 하기
위해 코드로 구현하고 AWS
람다 활용
• Config Rules Git hub 저장소:
https://github.com/awslabs/aws-config-rules

AWS Inspector 란 무엇인가?
• 취약점 평가 서비스
§ DevSecOps를 구현하기 위한 기반 서비스로 제작됨
§ Agent 기반 - 어플리케이션 보안 수준 진단
§ CI/CD 도구와 연계
§ 사용량 기반 요금체계
§ 빌트인 진단규칙 패키지
§ 보안 진단 결과 – 가이드 제공
§ API를 통한 탐지내역 대응 자동화
§ SNS, CloudFormation, CloudWatch Event 와 연계
§ HIPAA 적격 서비스 : AWS와 BAA 체결시 PHI 환경 적용 가능

§ 간단한 구성(Admin/Root권한)
§ 리눅스(실행파일/커널모듈)
§ 윈도(Updater/커널 드라이버)
§ 1 Way TLS 통신 : Agent è Inspector
§ Inspector, S3로의 Outbound Path 필요(*)
§ inspector.<region>.amazonaws.com(**)
§ s3.dualstack.<region>.amazonaws.com(**)
§ Proxy 구성 지원
§ HTTPS proxy (Linux)
§ WinHTTP proxy (Windows)
Inspector Agents
EC2 EC2
Agent Agent
Inspector 버킷
Inspector
Heartbeat
또는
수집내역(JSON) JSON
Commands
Heartbeat
또는
수집내역(JSON)
(* NAT, Security Group Outbound 등의 설정 필요)
(** AWS IP 주소 변경 통지 설정 필요)

Targeting
• 태깅된 인스턴스만 지정 가능

Rule Packages
§ 규칙 패키지
1. Common Vulnerabilities & Exposures(*1,2)
2. CIS Secure Configuration Benchmarks
3. Security Best Practices
4. Runtime Behavior Analysis
5. Network Reachability(* 3)
§ 패키지 관리자(yum, apt, installer) 설치 애플리케이션만 진단 가능 : make 설치나 puppet,
ansible 배포 바이너리는 불가
1. https://cve.mitre.org/
2. https://s3-us-west-2.amazonaws.com/rules-engine/CVEList.txt
3. Agent 필요 없음

지원되는 운영 체제 CVE
Network
Reachability
CIS
Benchmarks
Security Best
Practices
Runtime Behavior
Analysis
Amazon Linux 2018.03, 2017.09, 2017.03,
2016.09, 2016.03, 2015.09, 2015.03
지원 지원 지원 지원 지원
Amazon Linux 2 LTS 2017.12 지원 지원 지원 지원
Amazon Linux 2014.09, 2014.03, 2013.09,
2013.03, 2012.09, 2012.03
지원 지원 지원
Ubuntu 18.04 LTS 지원 지원 지원 지원
Ubuntu 16.04 LTS, 14.04 LTS 지원 지원 지원 지원 지원
Debian 9.0 - 9.5, 8.0 ~ 8.7 지원 지원 지원
RHEL 6.2 - 6.9 및 7.2 - 7.5 지원 지원 지원 지원 지원
RHEL 7.6 지원 지원 지원 지원
CentOS 6.2 - 6.9 및 7.2 - 7.5 지원 지원 지원 지원 지원
CentOS 7.6 지원 지원 지원 지원
Windows Server 2012 R2, 2012, 2008 R2 지원 지원 지원 지원
Windows Server 2016 Base 지원 지원 지원
https://docs.aws.amazon.com/inspector/latest/userguide/inspector_rule-packages_across_os.html
Rule 패키지 Support

AWS Security Hub 개요
AWS 환경에 대한 보안과
규정 준수 현황에 대한 이해
Compliance
Checks
침입 탐지
내역
취약점 탐지
내역
정보 유출
탐지 내역
규정 위반
탐지 내역
보안 파트너
탐지 내역

© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Security HUB Finding 파트너
Firewalls
Vulnerability
SOAR
SIEM
Endpoint
Compliance
MSSP
Other
http://gaianab.aka.corp.amazon.com/workspaces/docs/src/AWSOverbridgeDocs/build/server-root/securityhub/latest/userguide/securityhub-findings-providers.html

Security Hub 제공 기능
수많은 보안 툴들이
서로 다른 형태로 탐지
내역을 생성
1
과다한 경보 발생으로
인한 우선 순위 대응
필요
2
AWS 환경의 보안 및
규정준수 여부를
확인할 수 있는 기능
필요
3
• 표준화된 Amazon
Finding Format
• AWS 및 파트너보안 툴
들과 Built-in 연계
• 중요한 탐지 식별을
위한 “Insight”.
• CW Event를 통한 SIEM,
Ticketing, Chat, SOAR
환경과 연계
• 규정 위반 사항 체크
자동화 및 표준 가이드
제공
보안 및 규정 관련
상태를 간단히 확인할
수 있는 단일 환경 필요
4
• 보안 및 규정 준수
상태 대쉬보드
• 멀티 어카운트 환경
지원

AWS Security Hub Insights
연관관계, 필터, 우선순위 등을 주어 Correlation시킨 Finding들의 집합
• AWS 및 파트너들이 100여개 Insight 제공
• Custom Insight 정의 지원
• Top 탐지 내역을 한번에 보여주는 대시보드 제공

Compliance Standards
• CIS AWS Foundations Benchmark의 43개 점검 항목 기반 + 조치 사항 제공
• Config Rules을 통해 체크(Config 활성화 필수, 별도 과금)
Compliance Standards

AWS Security Hub Outbound 연계
Custom Action 정의
Chat Ticketing SOARSIEM

참고 사항
• 멀티 계정 지원( ~ 1,000) + 리젼별 활성화
• 현재 Public Preview(고객이 직접 프리뷰 활성화) : 기간 중에는 무료
• 과금 체계 미확정, GA후에는 30일 Free Trial 제공 예정
• Standards를 위해, Config 활성화 필수(별도 과금)
• 활성화 이전에 생성된 탐지 내역에 대해선 적용 불가
• API/CLI/SDK 지원 - C++, Go, Java, JS, .Net, PHP, Python, Ruby
• Re:Invent - https://www.youtube.com/watch?v=TdT8ds_C8Gs

AWS Security Value Chain
방어 탐지 대응
자동화
조사
복구자산 식별
ArchiveSnapshot

더 나은 세미나를 위해
여러분의 의견을 남겨주세요!
▶ 질문에 대한 답변 드립니다.
▶ 발표자료/녹화영상을 제공합니다.
http://bit.ly/awskr-webinar

[AWS Builders] AWS상의 보안 위협 탐지 및 대응

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to [AWS Builders] AWS상의 보안 위협 탐지 및 대응

Similar to [AWS Builders] AWS상의 보안 위협 탐지 및 대응 (20)

More from Amazon Web Services Korea

More from Amazon Web Services Korea (20)

[AWS Builders] AWS상의 보안 위협 탐지 및 대응