【AWS re:Invent 2024】Uncovering sophisticated cloud threats with Amazon GuardDuty(講演レポート)
AWS re:Invent とは?
re:Inventとは、Amazon Web Services(以下、AWS)が主催するAWSに関する技術的なセッションや、展示ブース、試験準備のためのブートキャンプ、ゲーム化された演習などを通じて、参加者が主体的に学習できるAWS最大のイベントです。
2024年は12月2日から6日までの5日間開催されており、日本をはじめ世界中から多くの人が参加しています。
セッション情報
| セッション名 | Uncovering sophisticated cloud threats with Amazon GuardDuty(Amazon GuardDutyによる高度なクラウド脅威の発見) |
|---|---|
| セッション概要 | クラウドの採用が加速する中、クラウド環境を標的としたサイバーリスクの洗練度と持続性が高まっています。このセッションでは、Amazon GuardDutyの最新機能を共有し、クラウドワークロードとデータをより良く保護する方法を学びます。GuardDutyは、AWS環境全体にわたるエンドツーエンドの可視性を提供する完全に管理された脅威検出を提供します。GuardDutyの独自の検出機能は、AWSのクラウド脅威の状況に対する可視性に基づいており、対応者が問題に迅速に対処できるようにし、MTTRを最小限に抑え、セキュリティリソースを最適化します。これにより、チームはセキュリティリスクを追いかける時間を減らし、イノベーションにもっと時間を費やすことができます。 (※公式サイトより翻訳) |
| 登壇者 | Matt Meck Baris Coskun Shachar Hirshberg |
セッション詳細
高度なクラウドセキュリティの課題
GuardDutyは数えきれないほど多くのS3バケットやEC2インスタンスを使用する何百ものAWSアカウントに使用されています。このような大規模なクラウドセキュリティを扱うためには様々な課題が存在します。
- クラウドリソースおよびアカウント全体での大量の個別アラート
- 多段階の進行中の攻撃における関連性を見つける難しさ
- セキュリティアラートや信号の手動分析への依存
これらあげられた問題を解決するためのGuardDutyの最新機能についての説明がありました。
- 複数のリソースやデータソースにまたがる連続的な攻撃を一意に特定し、専用の調査結果として長期間にわたって記録する
- 洗練されたクラウド攻撃の一次分析にかかる時間を大幅に削減する
- 最も緊急のアクティブな脅威に集中する
マルチステージ攻撃
マルチステージ攻撃とは攻撃者が複数の段階を経てターゲットに侵入し、最終的に目的を達成するための攻撃手法です。以下の重要なポイントがまとめられています。
- デフォルトで適応
- 追加コストや設定は必要ありません。
- 統合セキュリティ価値
- 調査結果と弱い信号は、データソース間で相関しており、主要な脅威を検出します。
- 広範囲な可視性
- AWSのユニークな視点を利用して、一般的および新たな脅威を把握します。
- シームレスに統合
- 既に存在するワークフローにも新たな検出タイプが追加されます。
対応のための情報
GuardDutyによって得た情報を実際に使用できるために出力される情報には下記が含まれています。
- 出来事のタイムライン、関連するリソース、および指標
- MITRE ATT&CKフレームワークの戦略と技術への関連付け
- AWSのベストプラクティスと学びに基づく対応指針
GuardDutyにおけるランキングを作成するための機械学習の仕組みについての説明がありました。
ランキングの機械学習のモデルは以下のようになっているようです。
- データからマーカーを集約する方法を学習
- 他のマーカーと矛盾する傾向のあるマーカーを排除する
- 互いに一致する傾向のあるマーカーを評価する
- 常にオンになっているマーカーを排除する
- 既知のインシデントに一致する傾向のあるマーカーの寄与を評価する
まとめ
以前GuardDutyを使用する仕事をしていたため、今回このセッションに参加してみましたが、今後も様々な検出タイプやGuardDutyがより使いやすくなりそうでワクワクしました。
この記事をシェア
