* 발표 동영상: https://youtu.be/h4Q8t1OZCsU
점점 복잡해져 가는 AWS 워크로드 상에서 발생한 보안사고의 원인을 분석하기 위해선 막대한 노이즈 시그널들 속에서 중요한 단서를 정확하게 찾아낼 수 있는 숙련된 경험이 필요합니다. 또한 잠재적인 보안 위협과 의심스러운 활동들을 신속하게 조사하여 식별하는 일은 예방통제 측면에서 더욱 중요하게 부각되고 있습니다. 본 세션에서는 Amazon Detective의 기능과 주요 활용처를 설명하고, 보안 사고의 원인을쉽고 빠르게 분석하는 과정을 데모를 통해 소개합니다.
2. 강연 중 질문하는 방법
오른쪽의 “Questions/질문” 창에 질문을
남겨주세요. 본인만 답변을 받고 싶으신 경우,
(비공개)라고 하고 질문해 주시면 됩니다.
본 컨텐츠는 고객의 편의를 위해 AWS 서비스 설명을 위해 온라인 세미나용으로 별도로 제작, 제공된 것입니다. 만약 AWS
사이트와 컨텐츠 상에서 차이나 불일치가 있을 경우, AWS 사이트(aws.amazon.com)가 우선합니다. 또한 AWS 사이트
상에서 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다.
AWS는 본 컨텐츠에 포함되거나 컨텐츠를 통하여 고객에게 제공된 일체의 정보, 콘텐츠, 자료, 제품(소프트웨어 포함) 또는 서비스를 이용함으로 인하여 발생하는 여하한 종류의 손해에
대하여 어떠한 책임도 지지 아니하며, 이는 직접 손해, 간접 손해, 부수적 손해, 징벌적 손해 및 결과적 손해를 포함하되 이에 한정되지 아니합니다.
고지 사항(Disclaimer)
14. Detective
Extraction
보안 활동 그래프 상의 엔터티 활동 내역에
대한 Insight를 제공하는 알고리즘들을
적용(예, 해당 자격증명이 과거이력이 없는
API를 호출한 건이나 비정상적인 호출
볼륨을 탐지)
소스 데이터 처리 과정
보안 활동
그래프
15. 보안 활동 그래프(Behavior Graph)
AwsRole
AwsUser
Ec2Instance
버킷
Finding A
Public
Open
탐색
기
동
trigger
Finding B
수
임
trigger
IpAddress
할당
엔
터
티
Relationship
https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html
16. 보안 활동 그래프(Behavior Graph)
엔터티 유형 주요 제공 정보 예시
AwsAccount
• 해당 어카운트에서 호출된 API 요청들은?
• 해당 어카운트가 사용한 user agent들은?
• 어떤 ASO(autonomous system organization)에서 해당 어카운트를
이용하였는가?
• 어느 지역에서 해당 어카운트가 활발히 이용되고 있었나?
AwsUser
• 해당 사용자가 호출한 API 요청들은?
• 해당 사용자가 이용한 user agent들은?
• 어느 지역에서 해당 user가 활발히 이용되고 있었나?
AwsRole
• 해당 Role이 호출한 API 요청들은?
• 해당 Role이 이용한 user agent들은?
• 어떤 ASO에서 해당 Role을 이용하였는가?
• 어느 지역에서 해당 Role이 활발하게 이용되고 있었나?
Finding
• 가드 듀티 탐지 내역으로, finding type, origin, 탐지 내역의 발생 시간대를 추적 관리함.
• 탐지 내역에 포함된 IP 주소, Role 등 부가 정보도 함께 저장됨
Ec2Instance
• 해당 인스턴스와 통신한 IP 주소들은?
• 해당 인스턴스가 통신에 이용한 포트들은?
• 해당 인스턴스로부터의 인/아웃 바운드 트래픽 볼륨은?
• 해당 인스턴스가 위치한 VPC는?
IpAddress
• 해당 IP 주소에서 호출된 API 요청들은?
• 해당 IP 주소에서 이용된 포트들은?
• 해당 IP주소를 이용했던 user, user agent는?
• 해당 IP주소를 활발하게 이용했던 지역은?
UserAgent
• 해당 user agent에서 호출된 API 요청들은?
• 해당 user agent를 이용한 user 또는 Role은?
• 해당 user agent를 이용했던 IP주소는?
https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html
18. 멀티 어카운트 원격 정보 수집
Account
User 1
User 2
User 3
AWS CloudTrail
AccountUser 1
User 2
User 3
VPC Flow Logs
Account
User 1
User 2
User 3
VPC Flow Logs
VPC Flow logs
AWS CloudTrail
보안 활동 그래프
Amazon GuardDuty
AWS CloudTrail
Amazon GuardDuty
29. 가격
포함 내역
• 데이터 소스
Amazon VPC Flow Logs
CloudTrail 관리 이벤트
GuardDuty 탐지건들
• 1년치 보안 활동 그래프
Price (서울리전 기준)
First 1000 GB/month $2.3 / GB / 리전
Next 4000 GB/month $1.15 / GB / 리전
Next 5000 GB/month $0.58 / GB / 리전
Above 10000 GB/month $0.29 / GB / 리전
Internet Explorer 11 미 지원
Example
Amazon Detective processes, 12,000 GB of data ingested from AWS CloudTrail, VPC Flow Logs, & Amazon GuardDuty findings in the US-East (N. Virginia) Region
Charges =
1,000 x $2.30 (first 1,000 GB/account/region/month)
+ 4,000 x $1.15 (next 4,000 GB/account/region/month)
+ 5,000 x $0.58 (next 5,000 GB/account/region/month)
+ 2,000 x $0.29 (over 10,000 GB/account/region/month)
= $10,380 per month
30. 지원 리전
US East
(N. Virginia)
US West
(Oregon)
South America
(Sao Paulo)
EU
(Ireland)
EU (Frankfurt)
Asia Pacific (Tokyo)
Asia Pacific (Sydney)
Asia Pacific (Singapore)
Asia Pacific (Seoul)
Asia Pacific
(Mumbai)
EU (London)
US East
(Ohio)
EU (Paris)
EU (Stockholm)
US West
(N.California)
Africa
(Cape Town)
Middle East
(Bahrain)
EU (Milan)
76. 조사 내역
1. i-07a01815a99dac4f1 인스턴스가 가드듀티 악성IP(18.209.14.125)와 통신
• VPC flow log 조사 - HTTP(80)트래픽 감소 확인 - 웹서버 환경 조사 필요, SSH 포트 통신 확인
2. 악성 IP(18.209.14.125)조사 - 7개월 동안의 AttackerRole과 연관성 확인.
3. AttackerRole 조사 - 생성 관련 정보 삭제 확인 - CloudTrail 로깅 조사 필요.
• 외부 IP(18.212.244.30)에서 API 호출 내역 확인 - 동일한 API 호출과 일정한 호출 볼륨을 보이는 것을 토대로 스크립트 성 작업으로 추정.
• 외부 IP의 API 호출 지역 확인 - 미국 동부.
• 이용된 agent 목록 - EMR, CloudFormation등 이용. 의심 agent 확인됨
4. 의심 Agent 조사
• IAM 롤 3개 연관성 파악됨. - 추가 조사 대상.
5. 외부 IP조사
• 연관 탐지건에서 i-0be0810720e5b6a8c 인스턴스 관련 탐지 건 3건 확인.
6. 연관 탐지건 조사
• 토르 엔트리 노드 통신 - 리모트 IP 목록 확인
• 비정상 22번 아웃바운드 통신 - 외부 IP 식별(31.31.196.251) 추가조사에서 특별한 혐의점 없음
7. i-0be0810720e5b6a8c 인스턴스 조사
• 멀웨어, 취약점 등을 조사하기 위한 포렌식 대상으로 판정. - 추가 조사 부분
8. i-07a01815a99dac4f1 인스턴스의 마지막 탐지건 조사 - SSH 부르트포스
• 통신 IP 목록에서 최초 확인했던 가드듀티 악성 IP를 확인함.
• 최종적으로 포렌식 대상으로 판정
77. 맺음말 : Amazon Detective 기대 효과
간편하게
사용하기 좋은
시각화 도구
신속하고
효율적인 조사
계속적인 데이터
업데이트에 따른
시간과 노력 절감
78. AWS 온라인 이벤트 – 클라우드 보안 특집에
참석해주셔서 대단히 감사합니다.
저희가 준비한 내용, 어떻게 보셨나요?
더 나은 세미나를 위하여 설문을 꼭 작성해 주시기 바랍니다.
aws-korea-marketing@amazon.com
twitter.com/AWSKorea
facebook.com/amazonwebservices.ko
youtube.com/user/AWSKorea
slideshare.net/awskorea
twitch.tv/aws