とある診断員とSecurity-JAWS#02

イベント趣旨

AWSではセキュリティに関する様々なサービスがあります。 CloudTrailやConfig、GuardDutyにDetective、IAMももちろん大切ですね。 これらのサービスは非常に便利で積極的に利用すべきですが、その効果を実感する機会は、多数の実環境に触れていないと少ないかもしれません。 このイベントでは実際のAWS環境で起きたインシデントをもとに作られた環境を実際に触り、AWS環境における実践的なインシデントレスポンスを経験してもらうことにより、AWSの優れたサービスについて理解を深めてもらうこととともに、インシデントレスポンス自体の勘所を掴むことが可能です。 本内容はセキュリティ・キャンプ全国大会2020オンラインにて開催した「なぜ、Webサイトは乗っ取られたのか？AWS環境における実践的なインシデントレスポンス」を一般向けにアレンジして実施します。

参加対象者

• AWSのセキュリティを勉強したい方
• AWS環境のインシデントレスポンスを経験したい方
• 実際のAWS環境を触りながら学習できる方
• AWSの基本的な操作が可能な方

事前にご用意頂く必要があるもの

当日のハンズオンでは以下2点の調査を実施します。

1. ハンズオン用に発行したIAMユーザーを利用して、開催側が用意したAWS環境にログインしていただき、侵害されたAWS環境の状況確認や各種ログの調査を実施
2. 侵害されたEC2環境のディスクイメージを手元にダウンロードしていただき、参加者のローカル環境で解析を実施

1に関してはマネジメントコンソールを操作できるブラウザ環境があれば問題ありません。 2に関しては解析用にWindows環境もしくはLinux環境をご用意いただく必要があります。解析の準備については別途事前に資料を展開いたします。

後は以下をご準備いただければOKです！

• 配信を閲覧できる環境
• 手を動かして実際のインシデントレスポンスに取り組む気持ち(一日中ログを眺める覚悟)

推奨する事前学習の内容(知っているとスムーズに進められます)

当日は以下のような環境を扱います。 そのため、以下のような内容を理解しておくことを推奨します。

必要なセキュリティサービスについての学習

• CloudTrail(役割とログの見方を学ぶ):
  • https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-tutorial.html
• AWS Config(変更履歴のたどり方を学ぶ):
  • https://dev.classmethod.jp/articles/cm-advent-calendar-2015-aws-re-entering-aws-config/
• Athena(高度なログの分析方法を学ぶ、CloudTrailのログを詳細に調査できるようになる):
  • https://docs.aws.amazon.com/ja_jp/athena/latest/ug/cloudtrail-logs.html
  • https://dev.classmethod.jp/articles/cloudtrail-athena/
• GuardDuty(脅威検知の仕組み・見方を学ぶ):
  • https://dev.classmethod.jp/articles/guardduty-summary/
• Detective(脅威の調査方法を学ぶ):
  • https://dev.classmethod.jp/articles/amazon-detective-investigation-demo/

AWSセキュリティに関する知識

• AWSセキュリティ(全般とか考え方):
  • https://dev.classmethod.jp/articles/enhanced-aws-security-in-cloud-shift/
• PenTesterが知っている危ないAWS環境の共通点:
  • https://www.slideshare.net/zaki4649/pentesteraws
• AWS EC2 のHDD解析（フォレンジック）:
  • https://ierae.co.jp/blog/awsec2-hdd-analytics/

AWSへの攻撃手法の学習

• flaws 全6問 (url: http://flaws.cloud/, flaws2ではない)
  • 参考：flaws.cloudに挑戦しよう！:
  • https://www.slideshare.net/zaki4649/flawscloud
• SSRF(Server Side Request Forgery)徹底入門:
  • https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-forgery.html

イベントの流れ(あくまで目安であり、必ずしも以下スケジュールどおりに進行するとは限りません)

Speakers

洲崎俊

三井物産セキュアディレクション株式会社に所属 ペネトレーションテストなどを中心としたセキュリティサービス提供に従事する、とあるセキュリティエンジニア

臼田佳祐

クラスメソッド株式会社AWS事業本部ソリューションアーキテクトセキュリティチームリーダー Security-JAWS運営 好きなサービス:AWS WAFマネージドルール

JAWS-UG

JAWS-UGはAWS( http://aws.amazon.com/jp/ ) を多くの方に知っていただき、活用を推進するために活動をしているユーザーグループです。

Security-JAWS

AWSを活用する上でセキュリティは重要な要素となります。攻撃系・監査系・暗号化認証系など、様々な分野のスペシャリスト達が、どのようにしてAWSを活用しているのか情報を共有し、より一層AWSを安全に使えるようにしていく為のコミュニティです。

※本活動はリクルーティングの場ではなく交流や情報交換の場です。ご理解の程よろしくお願い致します。

※通常の勉強会開催は以下のページにて勉強会告知が行われます。

https://s-jaws.doorkeeper.jp/