AWS 環境での CSIRT ソリューション

Size: px

Start display at page:

Download "AWS 環境での CSIRT ソリューション"

みさえけいれい
5 years ago
Views:

環境での CSIRT ソリューション桐山隼人セキュリティソリューションアーキテクトアマゾンウェブサービスジャパン株式会社 2017 年 6

2 自己紹介氏名桐山隼人役割セキュリティソリューションアーキテクト関心事 Security *by* the Cloud Security Automation Cloud SOC/CSIRT IoT

3 本セッションのポイントクラウド環境での効率的なインシデントレスポンス CSIRT 活動を支援する広範な及びパートナーソリューションクラウドでCSIRTは変化適応力を得る

4 クラウド環境での効率的なインシデントレスポンスインフラ可視性イベント /API 連携プログラマブル IT

5 CSIRT とは Computer Security Incident Response Team コンピュータセキュリティにかかるインシデントに対処するための組織の総称日本シーサート協議会

6 CSIRT の役割経営層外部ステークホルダー説明顧客連携他 CSIRT SOC CSIRT 依頼支援パートナー部門 A 部門 B 部門 C IT 部門セキュリティベンダー

7 CSIRT が提供するサービス品質管理サービス事前対応型サービス事後対応型サービスリスク分析障害回復計画技術動向監視セキュリティ監査インシデント分析インシデント対応アラートと警告コンサルティング意識向上セキュリティ設定ツール開発脆弱性分析脆弱性対応教育 / トレーニング製品評価 / 認定侵入検知サービス関連情報提供アーティファクト分析アーティファクト対応 JPCERT/CC コンピュータセキュリティインシデント対応チーム (CSIRT) のためのハンドブック

8 例 : ランサムウェア WannaCry への対応リスク分析セキュリティ設定インシデント分析インシデント対応障害回復計画全端末の脆弱性診断 FW ポート閉 SMB 停止ログ監視改竄検知端末隔離証跡調査プロビジョニングパッチ適用 CSIRT

9 例 : ランサムウェア WannaCry への対応リスク分析セキュリティ設定インシデント分析インシデント対応障害回復計画全端末の脆弱性診断 FW ポート閉 SMB 停止ログ監視改竄検知端末隔離証跡調査プロビジョニングパッチ適用各部門に通知 / 依頼 NW 担当者に依頼ログが不十分 OS インストールして端末返却診断漏れの確認ユーザーに通知 CSIRT 拠点で端末押収パッチ適用全社通知

10 NIST サイバーセキュリティフレームワーク特定保護検知対応回復資産管理アクセス制御対応計画事業環境ガバナンスリスク評価リスク評価戦略意識向上 / 教育データ保護保護プロセス保守保護技術異常検知継続監視検知プロセスコミュニケーション分析緩和改善回復計画改善コミュニケーションサブカテゴリ (98 のセキュリティ項目 ) Framework for Improving Critical Infrastructure Cybersecurity Version 1.0, National Institute of Standards and Technology

11 代表的なサービス特定保護検知対応回復 Inspector Shield CloudWatch SNS snapshot Config WAF CloudTrail Lambda AMI EC2 Systems Manager Security Group VPC Flow Logs Machine Learning CloudFormation

12 例 : ランサムウェア WannaCry への対応 Inspector EC2 Systems Manager Security Group VPC Flow Logs CloudWatch Lambda snapshot AMI CloudFormation 全端末の脆弱性診断 FW ポート閉 SMB 停止ログ監視改竄検知端末隔離証跡調査プロビジョニングパッチ適用 API コール API コールイベント通知 API コール API コール CSIRT イベント API 連携

13 特定フェーズ : 脆弱性診断ホスト型脆弱性診断サービス EC2 インスタンスが対象 CVE( 共通脆弱性識別子 ) や CIS ベンチマークに基づいたリスク評価 Inspector Inspector CVE ルールに基づいた脆弱性診断結果画面インフラ可視性 EC2 instance

14 特定フェーズ : パッチ管理 EC2 Systems Manager EC2 instance ホスト型サーバー管理サービス EC2 インスタンス及びオンプレミスサーバーが対象ソフトウェアインベントリ収集 OS パッチ適用 OS 構成変更などをリモートから実施可インベントリ設定画面 EC2 Systems Manager インフラ可視性オンプレサーバー

15 保護フェーズ : ポート制限 Security Group 443 IN 3128 OUT 443 IN 3128 OUT 445/tcp ブロック EC2 インスタンスの仮想ファイヤーウォールステートフルデフォルトで全ての通信は禁止複数の EC2 インスタンスをグルーピング可 VPC のセキュリティグループ

16 検知フェーズ : 通信ログによるアラーム VPC Flow Logs VPC フローログレコード例 : eni-1235b8ca REJECT OK 作成する CloudWatch メトリクスフィルタ : [version, account, eni, source, destination, srcport, destport= 445", protocol="6", packets, bytes, windowstart, windowend, action="reject", flowlogstatus] フローログの CloudWatch メトリクスフィルタとアラームの作成

検知フェーズ : 通信ログによるアラーム CloudWatch フローログの CloudWatch メトリクスフィルタとアラームの作成 http://docs.

17 検知フェーズ : 通信ログによるアラーム CloudWatch フローログの CloudWatch メトリクスフィルタとアラームの作成

18 対応フェーズ : フォレンジックと隔離本番環境 443 IN 3128 OUT Lambda Web サーバー EBS CloudWatch Lambda プログラマブル IT

19 対応フェーズ : フォレンジックと隔離本番環境 443 IN 3128 OUT Lambda Web サーバー EBS メモリダンプ snapshot CloudWatch Lambda プログラマブル IT

20 対応フェーズ : フォレンジックと隔離本番環境 443 IN 3128 OUT クリーンルーム Lambda Web サーバーフォレンジックサーバーメモリダンプ調査用イメージ作成 EBS snapshot EBS CloudWatch Lambda プログラマブル IT

21 対応フェーズ : フォレンジックと隔離本番環境クリーンルーム 443 IN 3128 OUT n/a IN n/a OUT Lambda Web サーバー隔離フォレンジックサーバー EBS メモリダンプ snapshot 調査用イメージ作成 EBS CloudWatch Lambda プログラマブル IT

22 回復フェーズ : プロビジョニング & 復旧仮想インスタンスの復旧 AMI EC2 instance EC2 インスタンスの仮想イメージ起動に必要な情報を提供する AMI CloudFormation Marketplace に登録でき購入共有販売が可能システムの復旧 CloudFormation リソース群のデプロイ依存関係実行時パラメータ記述可 API によるデプロイ更新プログラマブル IT

23 サービスを使ったインシデントレスポンス CSIRT サービスリスク分析セキュリティ設定インシデント分析インシデント対応障害回復計画特定保護検知対応回復サービスインフラ可視性イベント API 連携 + + プログラマブル IT クラウドが提供する 3 つの要素でインシデントレスポンスを効率化

24 CSIRT 活動を支援する広範な及びパートナーソリューション自動化再利用スモールスタート標準

25 インシデントに対処する力を上げるには?

26 インシデントに対処する力を上げるには? 試す

27 インシデントに対処する力を上げるには? 試す 1 過去やったことを再度試す 2 効果がありそうなら何でも試す 3 他人をお手本に試す

28 インシデントに対処する力を上げるには? 試す 1 過去やったことを再度試す自動化再利用 2 効果がありそうなら何でも試すスモールスタート 3 他人をお手本に試す標準を使う

29 代表的なサービス ( 再掲 ) 特定保護検知対応回復 Inspector Shield CloudWatch SNS snapshot Config WAF CloudTrail Lambda AMI EC2 Systems Manager Security Group VPC Flow Logs Machine Learning CloudFormation

30 サービスの特徴特定保護特徴 1 プログラマブルな Shield Inspector ITインフラ検知 CloudWatch 対応回復特徴 2 セキュリティ snapshot SNS サービスも従量課金 WAF 自動化再利用 Config できる環境 EC2 Systems Manager Security Group CloudTrail VPC Flow Logs Lambda Machine Learning AMI スモールスタートしやすい環境 CloudFormation

オープンソース 3 rd Party マネージドサービス 3 rd Party 診断サービス 3 rd Party

31 特徴 3 標準を利用するソリューション特定保護検知対応回復サービス Professional Services Well- Architected Shield DDoS レスポンスチーム Managed Services 商用オープンソース 3 rd Party マネージドサービス 3 rd Party 診断サービス 3 rd Party システムインテグレータ 3 rd Party SOC サービス 3 rd Party MSSP 3 rd Party フォレンジックサービス

関連のベストプラクティス Cloud Adoption Framework (CAF) セキュリティベストプラクティス Center for

ベストプラクティスを記載した数多くのホワイトペーパー業界ベンチマークに基づいた詳細な推奨設定 [ Cloud Adoption

com/whitepapers/aws_cloud_adoption_framework.

32 関連のベストプラクティス Cloud Adoption Framework (CAF) セキュリティベストプラクティス Center for Internet Security (CIS) ベンチマーククラウド移行に必要なスキルプロセスのガイダンスベストプラクティスを記載した数多くのホワイトペーパー業界ベンチマークに基づいた詳細な推奨設定 [ Cloud Adoption Framework] [ ホワイトペーパー ] [CIS Foundations Benchmark]

33 Well-Architected Well- Architected 優れたアーキテクチャにするためのフレークワークセキュリティ信頼性パフォーマンスコスト最適化オペレーションの 5 つの柱ソリューションアーキテクトによる支援セキュリティ質問例 : 分類項番質問発見的統制 4 インフラのログを蓄積し分析していますか? インフラの保護 5 どのようにネットワークやホストベースの境界防御をしていますか? 7 どのようにEC2 上のOSを保護していますか? インシデント対応 12 どのようにして適切にインシデント対応できるようにしていますか? Well-Architected Framework

のNIST関連情報 NIST CSF ホワイトペーパークイックスタート - NIST Compliance on https://d0.awsstatic.

34 のNIST関連情報 NIST CSF ホワイトペーパークイックスタート - NIST Compliance on

35 Shield DDoS レスポンスチーム 24x7 でアクセス可能な DDoS 専門家チームセルフサービス助言フルマネージドの 3 形態 Shield インシデント前アーキテクチャレビューインシデント中ニアリアルタイム検知インシデント後カスタムランブック

Managed Services Managed Services 専門家によるインフラ運用のフルマネージドサービスお客様はアプリやサービスに設計 / 開発 / 運用に集中できる SNS Change Management Provisioning & Configuration Management S3 CloudFront EBS Event and Incident

36 Managed Services Managed Services 専門家によるインフラ運用のフルマネージドサービスお客様はアプリやサービスに設計 / 開発 / 運用に集中できる SNS Change Management Provisioning & Configuration Management S3 CloudFront EBS Event and Incident Management Security Management EC2 Elastic Load Balancing Route 53 VPC Direct Connect Patch Management Continuity Management (Backup/Restore) IAM CloudFormation Config CloudTrail CloudWatch Reporting RDS ElastiCache マネージドサービス SQS

Marketplace One-click launch Ready-to-run on Pay only for what you use INFRASTRUCTURE SECURITY LOGGING & MONITORING CONFIGURATION & VULNERABILITY ANALYSIS DATA

Application Firewall VM-Series Next- Generation Firewall Bundle 2 Cost & Security Management Security Platform (ESP) for Transparent Encryption for Security

37 Marketplace One-click launch Ready-to-run on Pay only for what you use INFRASTRUCTURE SECURITY LOGGING & MONITORING CONFIGURATION & VULNERABILITY ANALYSIS DATA PROTECTION IDENTITY & ACCESS MANAGEMENT Deep Security-as-a-Service vsec Log Management & Analytics CloudInsight DataControl Identity & Access Management or Web Application Firewall VM-Series Next- Generation Firewall Bundle 2 Cost & Security Management Security Platform (ESP) for Transparent Encryption for Security Manager Unified Threat Management 9 OneLogin for FortiGate-VM Enterprise SecOps SafeNet ProtectV SecureSphere WAF Identity Management for the Cloud aws.amazon.com/mp/security

38 IR オープンソースのインシデントレスポンスツールインスタンスやアクセスキーへのセキュリティ侵害の対応 IR

39 クラウドで CSIRT は変化適応力を得る説明力連携力管理力の向上

40 事業環境の変化外部環境パートナー環境内部環境ステークホルダーの多様化サプライチェーンの分業と統合企業買収合弁リストラクチャ

41 セキュリティに求められるもの外部環境パートナー環境内部環境ステークホルダーの多様化正当性と説明力サプライチェーンの分業と統合コミュニティ連携企業買収合弁リストラクチャ統制から管理へ

42 セキュリティに求められるもの外部環境パートナー環境内部環境ステークホルダーの多様化正当性と説明力サプライチェーンの分業と統合コミュニティ連携企業買収合弁リストラクチャ統制から管理へ CSIRT は事業環境変化に合わせたセキュリティ実現の要

43 CSIRT の役割経営層外部ステークホルダー説明顧客連携他 CSIRT SOC CSIRT 依頼支援パートナー部門 A 部門 B 部門 C IT 部門セキュリティベンダー

44 これからの CSIRT に求められるもの経営層外部ステークホルダー説明力の向上顧客 SOC 連携力の向上他 CSIRT CSIRT 管理力の向上パートナー部門 A 部門 B 部門 C IT 部門セキュリティベンダー

45 クラウドが CSIRT にもたらす価値経営層外部ステークホルダー説明力の向上顧客 SOC 連携力の向上他 CSIRT CSIRT 管理力の向上パートナー部門 A 部門 B 部門 C IT 部門セキュリティベンダー

46 クラウドが CSIRT にもたらす価値経営層外部ステークホルダーインフラ可視性説明力の向上顧客 API 連携 SOC プログラマブル IT 連携力の向上他 CSIRT CSIRT 管理力の向上パートナー部門 A 部門 B 部門 C IT 部門セキュリティベンダー

47 クラウドが CSIRT にもたらす価値インフラ可視性説明力の向上 API 連携変化適応力連携力の向上プログラマブル IT 管理力の向上

48 ビジネスセキュリティと CSIRT ビジネスセキュリティとは組織の中の様々な事業活動が滞りなく循環しダイナミックな平衡状態を保つこと CSIRT はセキュリティインシデントにより瞬間的に平衡状態が崩れても再び平衡を取り戻す変化に適応する組織でなければならない

49 本セッションのポイント ( 再掲 ) クラウド環境での効率的なインシデントレスポンス CSIRT 活動を支援する広範な及びパートナーソリューションクラウドでCSIRTは変化適応力を得る

50 関連セッション D2T1-1( Tech トラック 1)2017/5/31 12:20 ~ 13:00 Well-Architected フレームワークによるクラウドベストプラクティス D3T2-5( Tech トラック 2)2017/6/1 16:20 ~ 17:00 で実現するセキュリティオートメーション D4T1-1( Tech トラック 1)2017/6/2 12:20 ~ 13:00 Cloud Adoption Framework で作成するクラウド導入ロードマップ

51 ありがとうございました

52 本セッションの Feedback をお願いします受付でお配りしたアンケートに本セッションの満足度やご感想などをご記入くださいアンケートをご提出いただきました方にはもれなく素敵なオリジナルグッズをプレゼントさせていただきますアンケートは受付パミール 3F の EXPO 展示会場内にて回収させて頂きます

AWS で実現するセキュリティ・オートメーション

AWS で実現するセキュリティ・オートメーションで実現するセキュリティオートメーション桐山隼人セキュリティソリューションアーキテクトアマゾンウェブサービスジャパン株式会社 2017年6月1日 2017, Web Services, Inc. or its Affiliates. All rights reserved. 自己紹介氏名桐山隼人役割セキュリティソリューションアーキテクト関心事 Security *by* the