Amazon Web Services 한국 블로그
Amazon Detective, 클라우드 보안 조사를 가속화하고 개선하는 새로운 기능 추가
오늘 Amazon Detective에 시간을 절약하고 보안 운영을 강화하는 데 도움이 되는 4가지 기능이 새로 추가되었습니다.
첫 번째 기능인 Detective IAM 조사는 AWS Identity and Access Management(IAM) 객체(예: 사용자 및 역할)에서 침해 지표(IoC)를 조사하여 MITRE ATT&CK 프레임워크의 알려진 전술과 관련되어 있을 가능성을 결정하는 데 도움이 됩니다. 이 자동 조사는 AWS Management Console의 Detective 섹션에서 사용할 수 있으며, 새로운 API를 통해 분석 또는 인시던트 대응을 자동화하거나 이러한 결과를 AWS Security Hub 또는 SIEM과 같은 다른 시스템으로 전송할 수 있습니다.
두 번째 기능인 Detective 조사 결과 그룹 요약은 생성형 인공 지능(AI)을 사용하여 조사를 보강합니다. 이 기능은 조사 결과 그룹을 자동으로 분석하고 자연어로 인사이트를 제공하여 보안 조사의 속도를 높여줍니다. 조사 결과 그룹에 대한 분석을 바탕으로 일반 언어로 된 제목과 관련 인사이트 요약을 제공합니다. 예를 들어 인시던트를 촉발한 활동과 그에 따른 영향(있는 경우)을 설명하는 요약이 포함될 수 있습니다. 조사 결과 그룹 요약은 다수의 AWS 데이터 소스에 걸쳐 구축된 조사 결과 그룹을 분석하는 힘든 작업을 처리하여 비정상적이거나 의심스러운 활동을 더 쉽고 빠르게 조사할 수 있도록 합니다.
이 게시물에서 설명하는 2가지 새로운 기능 외에도 여기서 다루지 않은 2가지 기능이 Detective에 추가됩니다.
- 이제 Detective에서 Amazon GuardDuty ECS 런타임 모니터링을 통해 탐지된 위협에 대한 보안 조사가 지원됩니다.
- 이제 Detective를 Amazon Security Lake와 통합하여 Security Lake에 저장된 로그를 쿼리하고 검색할 수 있습니다.
Amazon Detective를 사용하여 보안 조사 결과나 의심스러운 활동의 근본 원인을 더 쉽게 분석 및 조사하고 신속하게 식별할 수 있습니다. Detective는 기계 학습(ML), 통계 분석 및 그래프 이론을 사용하여 더 빠르고 효율적으로 보안 조사를 수행하고 시각화할 수 있도록 도와줍니다. AWS CloudTrail 로그, Amazon Virtual Private Cloud(VPC) 흐름 로그, Amazon GuardDuty 조사 결과, Amazon Elastic Kubernetes Service(Amazon EKS) 감사 로그 및 AWS 보안 조사 결과와 같은 소스에서 로그 데이터 및 이벤트를 자동으로 수집합니다. Detective에는 최대 1년 분량의 집계된 데이터가 분석 및 조사를 위해 유지됩니다.
클라우드 보안 분야에서 위협 추적 및 인시던트 조사는 리소스 집약적이고 시간 소모적이라고 여겨지는 경우가 많습니다. 클라우드 보안 전문가는 다양한 소스의 데이터를 수동으로 수집하고 분석하여 잠재적인 IAM 관련 위협을 식별해야 합니다. 특히 IAM 조사는 동적인 클라우드 권한 및 보안 인증 정보로 인해 더 문제가 많습니다. 분석가는 다양한 시스템에서 감사 로그, 권한 보고서 및 CloudTrail 이벤트 등 여러 곳에 분산되어 있을 수 있는 데이터를 취합해야 합니다. 클라우드 권한은 온디맨드 방식이나 자동화 스크립트를 통해 부여되는 경우가 많기 때문에 권한 부여의 변경 내용을 추적하기가 어렵습니다. 활동 타임라인을 재구성하고 불규칙한 자격을 식별하려면 복잡성에 따라 몇 시간 또는 며칠이 걸릴 수 있습니다. 레거시 시스템과 불완전한 로그에 대한 가시성이 제한되는 경우 IAM 조사가 더욱 복잡해지고 무단 액세스를 확실하게 파악하기가 어렵습니다.
Detective IAM 조사는 조사 결과를 선별하고 가장 중요하고 의심스러운 문제만 표면화합니다. 따라서 보안 분석가는 상위 수준의 조사에 집중할 수 있습니다. Detective는 AWS 환경의 리소스를 자동으로 분석하고 기계 학습 및 위협 인텔리전스를 사용하여 침해나 의심스러운 활동의 잠재적 지표를 식별합니다. 분석가는 패턴을 식별하고 보안 이벤트의 영향을 받는 리소스를 파악하는 사전 예방적 접근 방식으로 위협을 식별하고 완화할 수 있습니다.
콘솔에서만 조사를 사용할 수 있는 것은 아닙니다. 새로운StartInvestigation API를 사용하여 문제 해결 워크플로를 자동화하거나 관련된 모든 IP 또는 손상된 AWS 리소스에 대한 정보를 수집할 수 있습니다. 또한 API를 사용하여 데이터를 다른 시스템에 공급함으로써 보안 태세에 대한 통합 보기를 구축할 수 있습니다.
조사 결과 그룹 요약은 환경 전반의 보안 이벤트 간의 연관성을 평가하고 관련된 위협, 손상된 리소스 및 악의적인 행위자 동작을 연결하는 인사이트를 자연어로 제공합니다. 보안 분석가는 이 설명을 통해 보안 인시던트와 관련하여 개별 서비스 보고서를 넘어서는 포괄적인 개요를 얻을 수 있습니다. 조사 결과 그룹 요약은 여러 소스의 데이터를 그룹화하고 컨텍스트화하는 방법으로 인사이트가 분리되어 있을 경우 알아채지 못할 수 있는 위협을 식별합니다. 이 접근 방식은 조사 및 대응의 속도와 효율성을 개선합니다. 보안 분석가는 조사 결과 그룹 요약을 활용하여 보안 이벤트와 그 상호 관계를 총체적으로 이해함으로써 억제 및 해결과 관련하여 정보에 입각한 의사 결정을 내릴 수 있습니다.
이 두 기능이 실제로 작동하는 모습을 살펴보겠습니다.
이 데모에서는 콘솔의 Detective 섹션에서 Detective IAM 조사 기능을 먼저 시작합니다. Detective 대시보드에는 수행된 조사 건수와 의심스러운 활동에 연루된 IAM 역할 및 사용자 수가 표시됩니다.
여기에서 조사 목록을 자세히 살펴봅니다.
특정 조사 1건을 선택하여 세부 정보를 불러옵니다. 먼저 요약이 표시됩니다.
페이지를 아래로 스크롤하여 관련된 IP 주소와 활동 유형을 확인합니다. 이 예에는 물리적으로 불가능한 상황이 나옵니다. 동일한 IP가 오스트레일리아와 일본 두 곳에서 짧은 시간 동안 사용되었습니다.
이 페이지에서 가장 흥미로운 섹션은 전술, 기법 및 절차(TTP)에 대한 매핑인 것 같습니다. 모든 TTP는 심각도에 따라 분류됩니다. 콘솔에 사용된 기법과 행동이 표시됩니다. 특정 TTP를 선택하면 오른쪽 패널에서 세부 정보를 볼 수 있습니다. 이 예제에서는 이 의심스러운 IP 주소에서 IAM 역할의 신뢰 정책을 변경하려는 시도를 2,000회 이상 시도했고 실패했습니다.
마지막으로 지표 탭으로 이동하여 지표 목록을 확인합니다.
조사 결과 그룹 요약은 결과 그룹에서 사용할 수 있습니다. 조사 결과 그룹을 선택하여 조사 결과 및 관련 위험에 대한 자연어 설명을 표시합니다.
요금 및 가용성
이제 모든 AWS 고객이 이 2가지 새로운 기능을 사용할 수 있습니다.
Detective IAM 조사 기능은 Detective가 제공되는 모든 AWS 리전에서 이용할 수 있습니다. 조사 결과 그룹 요약은 미국 동부(버지니아 북부), 미국 서부(오레곤), 아시아 태평양(싱가포르, 도쿄) 및 유럽(프랑크푸르트)의 5개 AWS 리전에서 사용할 수 있습니다.