【要点抽出】AWS-Blueprint-for-Ransomware-Defense

AWSからランサムウェア対策のドキュメントが出ていたので読んでみます。

https://d1.awsstatic.com/whitepapers/compliance/AWS-Blueprint-for-Ransomware-Defense.pdf

何の本?

米政府が2021年に立ち上げたRasomware Task Forceが、CIS Controls v8をもとにランサムウェア対策虎の巻的なドキュメント「Blueprint for Ransomeware Defenseを2022年に作成しました。
これを実現するためにAWSのサービスや機能ならどんなものが役立つか?をまとめたのが本書です。


構成は?

ざっくり言えば以下の構成です。
このうち8つの観点について、今回はまとめます。

  • 前書き

  • 8つの観点での対策

  • 後書き

なお、先に書いておきますが、ランサムウェア対策は、そのほとんどが普通のマルウェア対策や標的型攻撃対策と同じです。
最も違いがあるのはリカバリの部分ですので、8.だけ読んでも良いと思います。


活用できるAWSサービスや機能

本書ではCIS Conrolsとのマッピングとか各サービスにコストがかかるかどうかも表形式でまとめられていますが、このnoteでは全て割愛し挙げられているAWSサービスや機能と使い道だけを抽出します。また、各サービスの説明は割愛します。

各AWSサービスや機能の紹介の前に、何よりもAWS OrganizationsかAWS Conrol Tower、そしてAWS IAM Identity Center(旧AWS SSO)の活用を推奨しています。

1.Know your environment

まずは自分が守るべき環境や資産を把握する必要があります。
このために活用できるサービスは以下です。

  • AWS Configを用いたリソースや設定状況の把握

  • AWS Systems ManagerのInventory機能を用いたEC2インスタンスおよびインスタンス上のソフトウェアの構成の把握

  • タグ付けを活用したリソースの分類

  • Amazon Macieを用いた個人情報などを保持するリソースの把握

  • IAM Identity Centerを用いたユーザIDの一元管理

  • S3のライフサイクル設定を活用
    #おそらく不要なデータの定期消去により管理対象を肥大化させない意図と思われる

2.Secure configurations

次にセキュアな環境作りです。
必須ではないと前置きしつつも、AWS Control Towerを激推ししています。

  • AWS Control Towerを用いたベストプラクティスにそった環境の展開と維持

  • AWS Configを用いた設定変更の監視と、Config Rulesを用いた設定内容の評価

  • EC2 Image Builderを用いたセキュアなAMIの作成と維持

  • Amazon Inspectorを用いたEC2やLambda、コンテナの脆弱性の確認

  • AWS Firewall Managerを用いたマルチアカウントでのAWS WAF、Shield Advance、Security Group、Network Firewall等の設定の一元管理

  • AWS Network Firewallを用いた通信の監視や制御

  • Amazon Route 53 Resolver DNS Firewallを用いた名前解決できるドメインの制御

  • Network ACLやSecurity Groupを用いた通信制御

  • AWS Secrets ManagerやAWS Systems Manager Parameter Store を用いたシークレットの保護

  • AWS IAMを用いた最小権限の管理

  • AWS IAM Access Analyzerを用いた外部と共有状態にあるリソースの可視化

  • AWS Shieldを用いたDDoS対策

  • AWS WAFを用いたWebアプリケーションの保護

3.Account and access management

このテーマはAWSコンソール、CLI、SDKという3つの観点で守る必要があります。
実現方法としてAWS IAM、IAM Identity Center、AWS Configが挙げられていますが、それぞれ既出のため割愛します。
この他に、Active Directory、Okta、PingOneといったIdPの活用や、Amazon Cognitoによるアクセス権の管理も紹介されています。

4.Vulnerability management planning

OSやソフトウェアの脆弱性管理だけでなく、AWS環境の設定監査(CSPMの領域)もここにまとめられます。

  • Security Hubを用いた危険な設定状況の監視

  • AWS Systems ManagerのPatch manager機能を用いた複数サーバへの自動パッチ適用

  • Amazon ECR イメージスキャンを用いたコンテナイメージの脆弱性の確認

  • AWS Security Bulletinsを用いたAWSサービスの脆弱性情報の確認

この他に、AWS ConfigやAmazon Inspectorが挙げられていますが、それぞれ既出のため割愛します。
また、Marketplaceにも言及していますが、パートナーツールまで含めるとキリがないのでここには載せません。

5.Data recovery and incident response

8.と同じタイトルなので紛らわしいですが、こちらは「response」に焦点をあてており、ここでいうresponseはログを用いた調査を指しています。
(responseというと通信の遮断等の止血対応も含む気がしますが、本書ではそこは触れられていません)

ログはコントロールプレーン(AWSサービスAPIやCLI、管理コンソールの操作ログ)、データプレーン(S3上のオブジェクト等へのアクセスログ)、ネットワークプレーン(VPC内のNWレベルのログ)の3種類全てを考慮する必要があります。
また、ログ自体を保護するために、ログへのアクセス権の最小化とともに、ログアーカイブアカウントなどの専用のAWSアカウントに保存することを推奨しています。

  • AWS CloudTrailによるコントロールプレーンのログ取得
    ※1.データイベントのログを取ることで、S3やDynamo DB等のデータプレーンのログも取得可能
    ※2.AWS Organizationsの組織の証跡を有効化することで複数のAWSアカウントのログを一括で取得可能

  • S3ライフサイクル管理ポリシーを用いたコスト効率とログの長期保存の両立

  • Amazon CloudWatchを用いたログの長期保管

  • AWSの主要連絡先やセキュリティの代替連絡先を設定し、AWSの不正使用対策チームからの連絡を受け取れるようにする

  • VPC Flow Logsを用いたネットワークプレーンのログ取得

  • CloudTrail Lakeを用いたログの集約と保護、および調査への活用

  • Amazon Security Lakeを用いたセキュリティ関連データ(ログやアラート類)の集約と分析

セキュリティ調査の際に、上述のCloudtrailログとVPC Flowログに加えてAmazon Route53 Resolverクエリログの3つが最も重要とされています。
この他に、ELBログ、AWS WAFログ、AWS Config recoderログ(AWS Config 自体の設定変更のログ)、GuardDutyのfindings、EKSの監査ログ、EC2上のOSやアプリログが追加で役立つものとして挙げられています。
また、ログの調査や分析に使えるサービスとして、上述のAmazon Security Lake以外にCloudWatch Logs Insights、Amazon Athena、Amazon OpenSearch Serviceも紹介されています。

6.Malware defense

名前の通りマルウェア対策です。
従来、AWS上のマルウェア対策はサードパーティ製品を持ち込むのが一般的でしたが、一部はAWSサービスでも役立つものがあります。

  • AWS Systems Manager Inventoryを用いたソフトウェアの構成管理

  • Amazon Route53 Resolver DNS Firewallを用いた悪性と判定されたドメインへの名前解決の監視と拒否

  • Amazon Guardduty Malware Protectionを用いたEC2(EBS)やコンテナ上のマルウェア検出

AWS Systems Managaer Inventoryはどうマルウェア対策に繋がるのか?と思いましたが、CIS Contorlsの9.1「サポートされたメールソフトやブラウザを利用する」コントロールに役立つAWSサービスとして書かれたようです。

7.Security awareness and skills training

従業員のセキュリティ意識向上や、リスクへの対処に必要なスキル向上に役立つサービスが挙げられています。
といっても全社員向けではなく、AWS上にシステムを構築するメンバやそれを守るセキュリティ担当向けの話かと思います。

  • AWS Skill BuilderやAWS Workshopsを用いたAWSツールの学習

  • AWS Well-Architected Toolを用いたAWS環境上のリスクの高い問題点の検出

8.Data recovery and incident response

いよいよランサムウェア対策として最も重要なバックアップの取得と復旧の話です。
本書では、サイバー攻撃を受ける可能性がある業務領域とバックアップの取得領域をアカウントレベルで分離することを推奨しています。
また、以下にもCloud FormationやCodeCommitが登場するように、IaCを推奨しています。

  • AWS Backupを用いたバックアップの取得、バックアップポリシーの一元管理、取得状況の可視化

  • AWS EBS Snapshotsを用いたEBSボリュームのバックアップ取得

  • AWS Elastic Disaster Recoveryを用いたサーバのバックアップ取得とリカバリテスト

  • AWS CodeCommitを用いたCloudformationテンプレート等のバックアップ取得

  • Amazon S3 Object Lockを用いたS3上の資産の破壊防止(書き込み禁止化)

  • AWS Backup Vault Lockを用いたバックアップの破壊防止(書き込み禁止化)

  • AWS Cloud Formationを用いた環境のコード管理と、それによるリカバリの迅速化

AWS OrganizationsとAWS Control Towerも挙げられていましたが、それぞれサービス概要の説明に留まっており、リカバリフェーズにどう寄与する意図での記載か不明でした。おそらく、AWS Backupの設定の集中管理に役立つと言いたいのかなと思います。


ここまで様々なサービスや機能が紹介されていますが、これを全部使えというわけではありません
また、逆にこれを使えば全部の攻撃を防げるわけでもありません
本書の元となるBlueprint for Ransomware Defenseには40のコントロールがありますが、それらは「ランサムウェアに関連する技術を70%低減した」と書かれています。
サービスを有効化して終わりではなく運用面の整備も必須ですし、より強固に守るためにサードパーティ製品を組み合わせた多層防御も必要だと思います。

個人的には、本書は対策の内容よりも最近出たサービスなど「こんなことができるんだ」といった知らないサービスを学ぶ良いきっかけとなりました。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。
これまでにまとめたガイドライン類の一覧はこちら

この記事が気に入ったらサポートをしてみませんか?