[神アップデート]GuardDutyがEC2やECSのマルウェア検知時のスキャンに対応したので実際にスキャンさせてみた #reinforce | DevelopersIO
[神アップデート]GuardDutyがEC2やECSのマルウェア検知時のスキャンに対応したので実際にスキャンさせてみた #reinforce 神機能が提供されました。EC2やコンテナでマルウェア感染の挙動を検知したら、GuardDutyがマルウェアスキャンを実施できるようになりました。ユーザーが頑張ることが1つ減りました。控えめに言って最高ですね。 こんにちは、臼田です。 みなさん、AWSで脅威検知してますか?(挨拶 神機能がリリースされました!現在開催されているAWSのセキュリティカンファレンスre:InforceにてEC2やECS/EKSなどのコンテナワークロード上でマルウェアを検知した際にスキャンする機能が発表されました! New for Amazon GuardDuty – Malware Detection for Amazon EBS Volumes | AWS News Bl
![[神アップデート]GuardDutyがEC2やECSのマルウェア検知時のスキャンに対応したので実際にスキャンさせてみた #reinforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/15ee2fd3d857b7a8f5946b7ced0b54d5a76e6b81/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F07%2F000_guardduty_malware_protection.jpg)
Amazon Inspector v2 を検証してみた - セキュリティあれこれ
2021年11月末ごろに、Amazon Inspector v2 がリリースされたので検証した内容をまとめてみる。 良いところ 導入が楽になりました。 SSM エージェントがインストールされてれば利用可能(EC2 インスタンスに SSM 許可する IAM ロールは必要) インスタンス起動時に SSM エージェントがインストールされているので導入工数がかなり少なくなった。 脆弱性を早期検出できるようになった。 定期スキャンではなく、自動継続スキャンとなった。 AWS で新たな CVE が登録されたタイミングで脆弱性を検出できるようになった(模様) ECR スキャンサポート 自動継続スキャンができるようになった。 困りそうなところ Findings のエクスポート方法がセキュアな反面手間となった エクスポート先の S3 バケットと KMS Key を準備する必要がある。 エクスポート処理は並列
AWS IAM セキュア化の取り組み
鍵がいっぱいあるよこの記事は Eureka Advent Calendar 2021 の 13日目の記事です。 はじめにこんにちは、エウレカ SREチーム のハラダです! 2020年頃から今年にかけて、 エウレカのSREチームとSecurityチームではAWS IAMのセキュア化を注力ポイントのひとつとして、継続的に取り組んできました。 本記事では、その実践から学んできたIAM管理で守るべき大原則および、具体的にどうやってセキュアな理想像に近づけてきたか、今後の方向性などを話したいと思います。 Why “IAM” so important ?そもそもなんでIAMが注力ポイントなの?と疑問に思われる方もいるでしょう。 クラウドの大きな強みである「すべてをAPI経由で操作できる」という性質ゆえに、IAMは大きなAttack Surfaceでもあります。 Gartner社の予測によると、2023
AWS環境における実践的なインシデントレスポンス演習の作成 | 技術者ブログ | 三井物産セキュアディレクション株式会社
はじめに 皆さん、こんにちは!MBSDに所属する『とある診断員』の洲崎です。今年の10/18~12/6に開催されたセキュリティ・キャンプ2020全国大会にて、AWS環境におけるインシデントレスポンスをテーマとした以下の講義を行いました。 なぜ、Webサイトは乗っ取られたのか?AWS環境における実践的なインシデントレスポンス https://www.ipa.go.jp/jinzai/camp/2020/zenkoku2020_program_list.html#list_c1 また、上記講義で作成した演習環境を利用した一般向けのセキュリティイベントを12/12にSecurity-JAWSさんと共催にて開催しました。こちらのイベントにはなんと130人以上の方が参加してくださいました! とある診断員とSecurity-JAWS#02 https://tigersecjaws.connpass.c
Meow Attack(ニャー攻撃)で稼働中WebアプリのAWS S3保存画像を全削除されてしまった… - あなたとあなたの話がしたい
突然S3の画像がすべて削除された 自作のRailsアプリの短歌投稿サイトUtakataをいつものように眺めていたら、一部のユーザーのアイコンが表示されていないことに気づいた。もしやと思ってブラウザのキャッシュをクリアしてみたら、すべてのユーザーのアイコン画像がリンク切れになっていた。 当初はライブラリの問題かと思ったけれど、念の為AWSにログインしてS3のバケットを見てみたら、なんと最近アップロードされた不審なindex.htmlを残してすべての画像ファイルが削除されていた。 明らかに第三者から悪意のある攻撃を受けている事態に頭が真っ白になりそうだったけれど、取り敢えずAWSアカウントのパスワードを変えてからindex.htmlのソースをチェックし、危険性がないことを確認してから開いてみた。 猫のキャラクター画像に謎の文字列が羅列され、meow(ニャー、猫の鳴き声)。 HTMLファイルのソ
Amazon S3 静的サイトホスティングに対して、ワイルドカードによる DNS レコードは使わないでください | DevelopersIO
旬の生魚おじさん、都元です。弊社は本日を最終営業日として、これから冬季休業となります。 今年も一年、どうもありがとうございました。というわけで恒例の書き納め三本締め、その1。 だいぶ昔に「AWSにおける静的コンテンツ配信パターンカタログ(アンチパターン含む)」というエントリーでご紹介しましたが、Amazon S3 には静的ウェブサイトホスティングという機能があります。 静的 (つまり、状況に応じて異なるコンテンツを返さない、常に同じコンテンツを返す) ウェブサイトは、特に EC2 などのサーバーを立ち上げずに、S3 の機能を使って実現できます。古くからある機能です。 この機能は、さらに Amazon Route 53 によって ALIAS レコードを設定することにより、独自ドメインによるホスティングも可能です。これも古くからある機能です。 このあたりの詳細は AWS ドキュメントのチュート
AWSの多要素認証に1passwordが使えたけど使っちゃダメだと思った話 - Qiita
1passwordのアイテム編集画面で、フィールドタイプを眺めててふと思った。「ワンタイムパスワードってあるけど、これ、AWSで多要素認証するときの『仮想MFAデバイス』に使えるのでは」と。結論から言えば、使えた。快適。でもこれは多分「人をダメにするナントカ」的な快適さだ。やっちゃいけないやつだ。 AWSでは、AWSアカウントの管理者であるrootユーザー(メールアドレスでログインする人)と、利用者であるIAMユーザー(ユーザーIDでログインする人)のどちらでも、多要素認証(MFA:Multi-Factor Authentication)を設定して認証を強化できる。 認証方法はパスワード認証+ワンタイムパスワード(当人が知っていること+当人が持っているもの) ワンタイムパスワードの生成には、専用のデバイスであるU2FセキュリティキーやハードウェアMFAデバイス、スマホアプリである仮想MFA
【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた | DevelopersIO
GuardDutyがコスパ最強の脅威検知サービスであることを証明しました。AWS利用者全員刮目してみよ!有効化はボタンポチですぐいけます。無料でトライアルが開始できるので個人でも商用でも必ず有効化しましょう! こんにちは、臼田です。 AWSサービスの中では「これは全員必須」のサービスはいくつかありますが、その中でも2017年のre:Inventで登場したGuardDutyは最強の脅威検知サービスです。(多分な私的見解を含みます) GuardDutyを有効化するだけで、EC2やALBなどの運用しているサービスへの攻撃やAWSアカウント自体への攻撃を検知することができます。手間いらず!具体的には下記のようなものを検知できます。 コインマイニング ssh/RDPブルートフォースアタック IAM Userの不正ログイン C&Cサーバへの通信 ポートスキャン 漏洩したクレデンシャルの利用 通常であれ
TerraformをMFA & Assume Roleな環境でも実行 - aws-vaultでやってみた - SMARTCAMP Engineer Blog
Terraform 0.12がbetaになりワクワクしていたら、それより前にTerraformのAWS Providerの2.0.0がリリースされていたことに気づいて焦る笹原です。 いきなりですが、AWSを使う際に、多要素認証(MFA)をかけるのは必須ですよね! また、IAM UserとしてログインするAWSアカウントから、Assume Roleして実際に作業するAWSアカウントに入ることも多くなっていると思います。 そういった環境だと、Assume RoleをするのにMFAを必須にすることもあると思います。 今回はそんなMFAをした上でAssume Roleする必要があるAWSアカウントでもTerraformを実行するために、aws-vaultを使った話をしようと思います! 背景 aws-vaultとは aws-vaultとTerraform aws-vaultの設定 Terraform
EC2上でDNS RebindingによるSSRF攻撃可能性を検証した
AWS EC2環境でのDNS Rebindingについて検証したので紹介します。 まずは、「前回までのおさらい」です。先日以下の記事でSSRF攻撃およびSSRF脆弱性について紹介しました。 SSRF(Server Side Request Forgery)徹底入門 この記事の中で、以下のように紹介しました。 ホスト名からIPアドレスを求める際にも以下の問題が発生します。 DNSサーバーが複数のIPアドレスを返す場合の処理の漏れ IPアドレスの表記の多様性(参考記事) IPアドレスチェックとHTTPリクエストのタイミングの差を悪用した攻撃(TOCTOU脆弱性) リクエスト先のWebサーバーが、攻撃対象サーバーにリダイレクトする 上記のTOCTOU(Time of check to time of use)問題は、DNSの名前解決の文脈ではDNS Rebindingとも呼ばれます。 DNS R
EC2上のAWS CLIで使われている169.254について - 妄想まとめ
お久しぶりです。ひろたんです。 前々から気になっていたAWS EC2の169.254.169.254について少し遊んでみたのでまとめます。 EC2では、インスタンス内から http://169.254.169.254/ にアクセスすると、そのインスタンスに関する情報が取得できるようになっています。 docs.aws.amazon.com あまり意識したことはないかもしれませんが、インスタンスにIAMロールを結び付けた状態でAWS CLIを使うと内部的にこの169のURLが叩かれる仕組みになっています。 これはインスタンス内で--debugオプションを使ってAWS CLIを実行するとわかると思います。 [ec2-user@ip-172-31-30-197 ~]$ aws s3 ls --debug ~~~ 2018-09-03 11:11:33,898 - MainThread - boto
AWSのParameter StoreとSecrets Manager、結局どちらを使えばいいのか?比較 - Qiita
AWSのParameter StoreとSecrets Manager、結局どちらを使えばいいのか?比較AWSSecurityIAMSSM AWSのアクセスキー/シークレットアクセスキーのコード書き込みは危険 GitHubにAccess Key/Secret Access Keyを含むコードをPushしてしまい、 公開されたキーで犯罪者にAWS環境へのアクセスを許してしまい、 ハイスペックインスタンスタイプ(料金が高い)のインスタンスを 仮想通貨マイニング等に利用されてしまい、 請求書を見て青ざめる、 というインシデントが定期的に発生しています。 今年の2月にその危険性を検証された方がおられ、 「git pushから13分でご利用開始」とのこと。 GitHub に AWS キーペアを上げると抜かれるってほんと???試してみよー! - Qiita GitHubからアクセスキーを抽出するスクレ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
