Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon Detective를 활용하여
AWS 환경에서 보안사고 원인 분석하기
임 기...
강연 중 질문하는 방법
오른쪽의 “Questions/질문” 창에 질문을
남겨주세요. 본인만 답변을 받고 싶으신 경우,
(비공개)라고 하고 질문해 주시면 됩니다.
본 컨텐츠는 고객의 편의를 위해 AWS 서비스 설명을 위해...
Agenda
• Amazon Detective 개요
• 서비스 동작 방식
• 서비스 상세 소개
• 스크린 샷 데모
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
보안 사고 발생에 활용되는 AWS 서비스들
자산 식별 보호 탐지 대응 복구
AWS Security
Hub
Amazon
Macie
수동 조사
자동화
AWS Lambda
Snapshot Archive
AWS
CloudTra...
보안 사고 조사의 어려움
조사 숙련도
부족
복잡도 증가
막대한
노이즈
시그널 비율
비용
Amazon Detective
신속하게 보안 사고의 원인을 분석, 조사, 규명
빌트인 데이터 수집 자동화된 분석 과정 가시화
Amazon Detective 주요 사용 케이스
사고 조사
Amazon Detective 주요 사용 케이스
탐지건 들에 대한
정탐 / 오탐 분류
Amazon Detective 주요 사용 케이스
사고 조사
보안 사고의 범위,
영향, 근본 원인 규정
숨겨진 지표 탐색
(예방 통제)
Amazon Detective 주요 사용 케이스
이 의심스러운 user agent로 부터
API 요청이 발생했었는지?
위협 리포트에 속한 이 IP주소와 작년
한해 동안 통신했던 인스턴스가...
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Amazon Detective 동작
AWS
리소스들로부
터 원격정보
수집
활동과
컨텍스트를
가시화
데이터 분석
과정
그래프 모델
상에
계속적으로
반영
Detective
Extraction
보안 활동 그래프 상의 엔터티 활동 내역에
대한 Insight를 제공하는 알고리즘들을
적용(예, 해당 자격증명이 과거이력이 없는
API를 호출한 건이나 비정상적인 호출
볼륨을 탐지)...
보안 활동 그래프(Behavior Graph)
AwsRole
AwsUser
Ec2Instance
버킷
Finding A
Public
Open
탐색
기
동
trigger
Finding B
수
임
trigger
IpAddr...
보안 활동 그래프(Behavior Graph)
엔터티 유형 주요 제공 정보 예시
AwsAccount
• 해당 어카운트에서 호출된 API 요청들은?
• 해당 어카운트가 사용한 user agent들은?
• 어떤 ASO(au...
특정 IP 주소와 인스턴스 간의 트래픽 플로우를 볼
수 있나요?
멀티 어카운트 원격 정보 수집
Account
User 1
User 2
User 3
AWS CloudTrail
AccountUser 1
User 2
User 3
VPC Flow Logs
Account
User 1
User...
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
시작하기
멀티 어카운트 관리
https://github.com/aws-
samples/amazon-detective-
multiaccount-scripts
Detective를 이용한 전형적인 조사 절차
• Finding Profile
비정상적인 API 호출 발생
비정상적인 API
호출 볼륨
API 호출 추이 변화 조사
급격한 실패건
스파이크 및 감소 추세
호출 성공건 증가
추세
연관된 탐지 내역 조사
연관된 암호화폐
관련 활동 탐지건
외부 IP 주소 추적
해당 IP 주소와의 인바운드
통신 조사
해당 IP 주소와의 아웃바운드
통신 조사
식별된 리모트
IP 주소들
Scope time 변경
Amazon Detective 워크플로 연동
SIEM / Alert
Console
Orchestration /
Ticketing System
가격
포함 내역
• 데이터 소스
Amazon VPC Flow Logs
CloudTrail 관리 이벤트
GuardDuty 탐지건들
• 1년치 보안 활동 그래프
Price (서울리전 기준)
First 1000 GB/mont...
지원 리전
US East
(N. Virginia)
US West
(Oregon)
South America
(Sao Paulo)
EU
(Ireland)
EU (Frankfurt)
Asia Pacific (Tokyo)
As...
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
클릭
클릭
해당 리모트 IP와의 통신 내역
프로토콜 별 트래픽 볼륨
탐지 시점의 SSH 볼륨
리모트 IP조사를 위해 클릭
클릭
GuardDuty에 위협IP목록에 포함된 IP주소
해당 IP와 연계된
IAM Role 확인 (클릭)
해당 기간동안 Role을
이용하여 API 호출을 한 IP와
실행된 API 목록 확인
직전 내역과 비교하여 동일
IP와 내역 임을 확인
클릭
해당 Role이 한 지역에서 지속적으로
동일한 API들을 호출해왔다는 것을 확인
클릭
클릭
해당 Role과 연관된 IP를
추가 조사하기 위해 클릭
클릭
해당 IP주소와 관련된 그동안의
GuardDuty 탐지 내역
è 특정 인스턴스의 이상징후 포착
클릭
해당 인스턴스와 통신 했던
IP들에 대해 추가조사하여 위협 IP
목록으로 처리
클릭
유입 트래픽 볼륨 스파이크 확인
멀티 어카운트 관리
클릭
연관된 IP주소 확인(클릭)
해당 IP에서의 API
호출 이력 확인
클릭
해당 IP주소와 관련된 AWS
리소스 유무 확인
멀티 어카운트 관리
연관 인스턴스 조사(클릭)
현재 트래픽 볼륨 상태 확인
해당 인스턴스와 연관된 GuardDuty 탐지
내역 확인
è Tor Client 등 멀웨어 조사 대상으로 판정
최초 탐지 목록에서 SSH
BruteForce 공격건 클릭
SSH Bruteforce트래픽
발생 추이
클릭
공격기간 끝에 특정 IP와
수상한 트래픽 발생 포착
최초 확인했던 GuardDuty 악성 IP
공격기간 동안
베이스라인과 상이한
이상징후 포착
조사 내역
1. i-07a01815a99dac4f1 인스턴스가 가드듀티 악성IP(18.209.14.125)와 통신
• VPC flow log 조사 - HTTP(80)트래픽 감소 확인 - 웹서버 환경 조사 필요, SSH ...
맺음말 : Amazon Detective 기대 효과
간편하게
사용하기 좋은
시각화 도구
신속하고
효율적인 조사
계속적인 데이터
업데이트에 따른
시간과 노력 절감
AWS 온라인 이벤트 – 클라우드 보안 특집에
참석해주셔서 대단히 감사합니다.
저희가 준비한 내용, 어떻게 보셨나요?
더 나은 세미나를 위하여 설문을 꼭 작성해 주시기 바랍니다.
aws-korea-marketing@am...
Thank you!
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
임 기 성
Security SA
AWS Korea
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
Upcoming SlideShare
Loading in …5
×

Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집

210 views

Published on

* 발표 동영상: https://youtu.be/h4Q8t1OZCsU
점점 복잡해져 가는 AWS 워크로드 상에서 발생한 보안사고의 원인을 분석하기 위해선 막대한 노이즈 시그널들 속에서 중요한 단서를 정확하게 찾아낼 수 있는 숙련된 경험이 필요합니다. 또한 잠재적인 보안 위협과 의심스러운 활동들을 신속하게 조사하여 식별하는 일은 예방통제 측면에서 더욱 중요하게 부각되고 있습니다. 본 세션에서는 Amazon Detective의 기능과 주요 활용처를 설명하고, 보안 사고의 원인을쉽고 빠르게 분석하는 과정을 데모를 통해 소개합니다.

Published in: Technology
  • Be the first to comment

Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집

  1. 1. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 임 기 성 Security SA AWS Korea AWS 온라인 이벤트 – 클라우드 보안 특집
  2. 2. 강연 중 질문하는 방법 오른쪽의 “Questions/질문” 창에 질문을 남겨주세요. 본인만 답변을 받고 싶으신 경우, (비공개)라고 하고 질문해 주시면 됩니다. 본 컨텐츠는 고객의 편의를 위해 AWS 서비스 설명을 위해 온라인 세미나용으로 별도로 제작, 제공된 것입니다. 만약 AWS 사이트와 컨텐츠 상에서 차이나 불일치가 있을 경우, AWS 사이트(aws.amazon.com)가 우선합니다. 또한 AWS 사이트 상에서 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다. AWS는 본 컨텐츠에 포함되거나 컨텐츠를 통하여 고객에게 제공된 일체의 정보, 콘텐츠, 자료, 제품(소프트웨어 포함) 또는 서비스를 이용함으로 인하여 발생하는 여하한 종류의 손해에 대하여 어떠한 책임도 지지 아니하며, 이는 직접 손해, 간접 손해, 부수적 손해, 징벌적 손해 및 결과적 손해를 포함하되 이에 한정되지 아니합니다. 고지 사항(Disclaimer)
  3. 3. Agenda • Amazon Detective 개요 • 서비스 동작 방식 • 서비스 상세 소개 • 스크린 샷 데모
  4. 4. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  5. 5. 보안 사고 발생에 활용되는 AWS 서비스들 자산 식별 보호 탐지 대응 복구 AWS Security Hub Amazon Macie 수동 조사 자동화 AWS Lambda Snapshot Archive AWS CloudTrail Amazon VPC
  6. 6. 보안 사고 조사의 어려움 조사 숙련도 부족 복잡도 증가 막대한 노이즈 시그널 비율 비용
  7. 7. Amazon Detective 신속하게 보안 사고의 원인을 분석, 조사, 규명 빌트인 데이터 수집 자동화된 분석 과정 가시화
  8. 8. Amazon Detective 주요 사용 케이스 사고 조사
  9. 9. Amazon Detective 주요 사용 케이스 탐지건 들에 대한 정탐 / 오탐 분류
  10. 10. Amazon Detective 주요 사용 케이스 사고 조사 보안 사고의 범위, 영향, 근본 원인 규정
  11. 11. 숨겨진 지표 탐색 (예방 통제) Amazon Detective 주요 사용 케이스 이 의심스러운 user agent로 부터 API 요청이 발생했었는지? 위협 리포트에 속한 이 IP주소와 작년 한해 동안 통신했던 인스턴스가 있는지?
  12. 12. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  13. 13. Amazon Detective 동작 AWS 리소스들로부 터 원격정보 수집 활동과 컨텍스트를 가시화 데이터 분석 과정 그래프 모델 상에 계속적으로 반영
  14. 14. Detective Extraction 보안 활동 그래프 상의 엔터티 활동 내역에 대한 Insight를 제공하는 알고리즘들을 적용(예, 해당 자격증명이 과거이력이 없는 API를 호출한 건이나 비정상적인 호출 볼륨을 탐지) 소스 데이터 처리 과정 보안 활동 그래프
  15. 15. 보안 활동 그래프(Behavior Graph) AwsRole AwsUser Ec2Instance 버킷 Finding A Public Open 탐색 기 동 trigger Finding B 수 임 trigger IpAddress 할당 엔 터 티 Relationship https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html
  16. 16. 보안 활동 그래프(Behavior Graph) 엔터티 유형 주요 제공 정보 예시 AwsAccount • 해당 어카운트에서 호출된 API 요청들은? • 해당 어카운트가 사용한 user agent들은? • 어떤 ASO(autonomous system organization)에서 해당 어카운트를 이용하였는가? • 어느 지역에서 해당 어카운트가 활발히 이용되고 있었나? AwsUser • 해당 사용자가 호출한 API 요청들은? • 해당 사용자가 이용한 user agent들은? • 어느 지역에서 해당 user가 활발히 이용되고 있었나? AwsRole • 해당 Role이 호출한 API 요청들은? • 해당 Role이 이용한 user agent들은? • 어떤 ASO에서 해당 Role을 이용하였는가? • 어느 지역에서 해당 Role이 활발하게 이용되고 있었나? Finding • 가드 듀티 탐지 내역으로, finding type, origin, 탐지 내역의 발생 시간대를 추적 관리함. • 탐지 내역에 포함된 IP 주소, Role 등 부가 정보도 함께 저장됨 Ec2Instance • 해당 인스턴스와 통신한 IP 주소들은? • 해당 인스턴스가 통신에 이용한 포트들은? • 해당 인스턴스로부터의 인/아웃 바운드 트래픽 볼륨은? • 해당 인스턴스가 위치한 VPC는? IpAddress • 해당 IP 주소에서 호출된 API 요청들은? • 해당 IP 주소에서 이용된 포트들은? • 해당 IP주소를 이용했던 user, user agent는? • 해당 IP주소를 활발하게 이용했던 지역은? UserAgent • 해당 user agent에서 호출된 API 요청들은? • 해당 user agent를 이용한 user 또는 Role은? • 해당 user agent를 이용했던 IP주소는? https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html
  17. 17. 특정 IP 주소와 인스턴스 간의 트래픽 플로우를 볼 수 있나요?
  18. 18. 멀티 어카운트 원격 정보 수집 Account User 1 User 2 User 3 AWS CloudTrail AccountUser 1 User 2 User 3 VPC Flow Logs Account User 1 User 2 User 3 VPC Flow Logs VPC Flow logs AWS CloudTrail 보안 활동 그래프 Amazon GuardDuty AWS CloudTrail Amazon GuardDuty
  19. 19. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  20. 20. 시작하기
  21. 21. 멀티 어카운트 관리 https://github.com/aws- samples/amazon-detective- multiaccount-scripts
  22. 22. Detective를 이용한 전형적인 조사 절차 • Finding Profile
  23. 23. 비정상적인 API 호출 발생 비정상적인 API 호출 볼륨
  24. 24. API 호출 추이 변화 조사 급격한 실패건 스파이크 및 감소 추세 호출 성공건 증가 추세
  25. 25. 연관된 탐지 내역 조사 연관된 암호화폐 관련 활동 탐지건
  26. 26. 외부 IP 주소 추적 해당 IP 주소와의 인바운드 통신 조사 해당 IP 주소와의 아웃바운드 통신 조사 식별된 리모트 IP 주소들
  27. 27. Scope time 변경
  28. 28. Amazon Detective 워크플로 연동 SIEM / Alert Console Orchestration / Ticketing System
  29. 29. 가격 포함 내역 • 데이터 소스 Amazon VPC Flow Logs CloudTrail 관리 이벤트 GuardDuty 탐지건들 • 1년치 보안 활동 그래프 Price (서울리전 기준) First 1000 GB/month $2.3 / GB / 리전 Next 4000 GB/month $1.15 / GB / 리전 Next 5000 GB/month $0.58 / GB / 리전 Above 10000 GB/month $0.29 / GB / 리전 Internet Explorer 11 미 지원 Example Amazon Detective processes, 12,000 GB of data ingested from AWS CloudTrail, VPC Flow Logs, & Amazon GuardDuty findings in the US-East (N. Virginia) Region Charges = 1,000 x $2.30 (first 1,000 GB/account/region/month) + 4,000 x $1.15 (next 4,000 GB/account/region/month) + 5,000 x $0.58 (next 5,000 GB/account/region/month) + 2,000 x $0.29 (over 10,000 GB/account/region/month) = $10,380 per month
  30. 30. 지원 리전 US East (N. Virginia) US West (Oregon) South America (Sao Paulo) EU (Ireland) EU (Frankfurt) Asia Pacific (Tokyo) Asia Pacific (Sydney) Asia Pacific (Singapore) Asia Pacific (Seoul) Asia Pacific (Mumbai) EU (London) US East (Ohio) EU (Paris) EU (Stockholm) US West (N.California) Africa (Cape Town) Middle East (Bahrain) EU (Milan)
  31. 31. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  32. 32. 클릭
  33. 33. 클릭
  34. 34. 해당 리모트 IP와의 통신 내역
  35. 35. 프로토콜 별 트래픽 볼륨 탐지 시점의 SSH 볼륨
  36. 36. 리모트 IP조사를 위해 클릭
  37. 37. 클릭 GuardDuty에 위협IP목록에 포함된 IP주소
  38. 38. 해당 IP와 연계된 IAM Role 확인 (클릭)
  39. 39. 해당 기간동안 Role을 이용하여 API 호출을 한 IP와 실행된 API 목록 확인
  40. 40. 직전 내역과 비교하여 동일 IP와 내역 임을 확인
  41. 41. 클릭
  42. 42. 해당 Role이 한 지역에서 지속적으로 동일한 API들을 호출해왔다는 것을 확인
  43. 43. 클릭
  44. 44. 클릭
  45. 45. 해당 Role과 연관된 IP를 추가 조사하기 위해 클릭
  46. 46. 클릭 해당 IP주소와 관련된 그동안의 GuardDuty 탐지 내역 è 특정 인스턴스의 이상징후 포착
  47. 47. 클릭
  48. 48. 해당 인스턴스와 통신 했던 IP들에 대해 추가조사하여 위협 IP 목록으로 처리
  49. 49. 클릭
  50. 50. 유입 트래픽 볼륨 스파이크 확인
  51. 51. 멀티 어카운트 관리 클릭
  52. 52. 연관된 IP주소 확인(클릭)
  53. 53. 해당 IP에서의 API 호출 이력 확인
  54. 54. 클릭
  55. 55. 해당 IP주소와 관련된 AWS 리소스 유무 확인
  56. 56. 멀티 어카운트 관리 연관 인스턴스 조사(클릭)
  57. 57. 현재 트래픽 볼륨 상태 확인
  58. 58. 해당 인스턴스와 연관된 GuardDuty 탐지 내역 확인 è Tor Client 등 멀웨어 조사 대상으로 판정
  59. 59. 최초 탐지 목록에서 SSH BruteForce 공격건 클릭
  60. 60. SSH Bruteforce트래픽 발생 추이
  61. 61. 클릭
  62. 62. 공격기간 끝에 특정 IP와 수상한 트래픽 발생 포착 최초 확인했던 GuardDuty 악성 IP
  63. 63. 공격기간 동안 베이스라인과 상이한 이상징후 포착
  64. 64. 조사 내역 1. i-07a01815a99dac4f1 인스턴스가 가드듀티 악성IP(18.209.14.125)와 통신 • VPC flow log 조사 - HTTP(80)트래픽 감소 확인 - 웹서버 환경 조사 필요, SSH 포트 통신 확인 2. 악성 IP(18.209.14.125)조사 - 7개월 동안의 AttackerRole과 연관성 확인. 3. AttackerRole 조사 - 생성 관련 정보 삭제 확인 - CloudTrail 로깅 조사 필요. • 외부 IP(18.212.244.30)에서 API 호출 내역 확인 - 동일한 API 호출과 일정한 호출 볼륨을 보이는 것을 토대로 스크립트 성 작업으로 추정. • 외부 IP의 API 호출 지역 확인 - 미국 동부. • 이용된 agent 목록 - EMR, CloudFormation등 이용. 의심 agent 확인됨 4. 의심 Agent 조사 • IAM 롤 3개 연관성 파악됨. - 추가 조사 대상. 5. 외부 IP조사 • 연관 탐지건에서 i-0be0810720e5b6a8c 인스턴스 관련 탐지 건 3건 확인. 6. 연관 탐지건 조사 • 토르 엔트리 노드 통신 - 리모트 IP 목록 확인 • 비정상 22번 아웃바운드 통신 - 외부 IP 식별(31.31.196.251) 추가조사에서 특별한 혐의점 없음 7. i-0be0810720e5b6a8c 인스턴스 조사 • 멀웨어, 취약점 등을 조사하기 위한 포렌식 대상으로 판정. - 추가 조사 부분 8. i-07a01815a99dac4f1 인스턴스의 마지막 탐지건 조사 - SSH 부르트포스 • 통신 IP 목록에서 최초 확인했던 가드듀티 악성 IP를 확인함. • 최종적으로 포렌식 대상으로 판정
  65. 65. 맺음말 : Amazon Detective 기대 효과 간편하게 사용하기 좋은 시각화 도구 신속하고 효율적인 조사 계속적인 데이터 업데이트에 따른 시간과 노력 절감
  66. 66. AWS 온라인 이벤트 – 클라우드 보안 특집에 참석해주셔서 대단히 감사합니다. 저희가 준비한 내용, 어떻게 보셨나요? 더 나은 세미나를 위하여 설문을 꼭 작성해 주시기 바랍니다. aws-korea-marketing@amazon.com twitter.com/AWSKorea facebook.com/amazonwebservices.ko youtube.com/user/AWSKorea slideshare.net/awskorea twitch.tv/aws
  67. 67. Thank you! © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 임 기 성 Security SA AWS Korea

×