根絶
根絶とは、セキュリティインシデント対応に関して、アカウントを既知の安全な状態に戻すために、疑わしいリソースや不正なリソースを排除することです。根絶戦略は、組織のビジネス要件に依存する複数の要因によって異なります。
「NIST SP 800-61 コンピュータセキュリティインシデント処理ガイド
-
悪用されたすべての脆弱性を特定して軽減します。
-
マルウェア、不適切なマテリアル、その他のコンポーネントを削除します。
-
影響を受けるホストがさらに検出された場合 (新しいマルウェアへの感染など)、検出と分析の手順を繰り返して、影響を受ける他のすべてのホストを特定し、インシデントを封じ込めて根絶します。
AWS リソースの場合、CloudWatch Logs や Amazon GuardDuty などの利用可能なログや自動ツールを通じて検出および分析されたイベントを通じて、この手順をさらに洗練させることができます。これらのイベントは、環境を既知の安全な状態に適切に復元するためにどのような修復を実行するかを判断する基礎となります。
根絶の最初のステップは、AWS アカウント内で影響を受けたリソースを特定することです。これは、使用可能なログデータソース、リソース、自動ツールの分析によって実現されます。
-
アカウントの IAM ID によって実行された不正なアクションを特定します。
-
アカウントへの不正なアクセスまたは変更を特定します。
-
不正なリソースまたは IAM ユーザーの作成を特定します。
-
不正な変更が行われたシステムまたはリソースを特定します。
リソースのリストを特定したら、それぞれを評価して、リソースが削除または復元された場合のビジネスへの影響を判断する必要があります。例えば、ウェブサーバーがビジネスアプリケーションをホストしていて、それを削除するとダウンタイムが発生する場合は、影響を受けるサーバーを削除する前に、検証済みの安全なバックアップからリソースを復旧するか、クリーンな AMI からシステムを再起動することを検討する必要があります。
ビジネスへの影響分析を終了したら、ログ分析のイベントを使用して、アカウントに移動し、次のような適切な修復を実行する必要があります。
-
キーのローテーションまたは削除 - このステップでは、アクターがアカウント内でアクティビティを実行し続けることができないようにします。
-
不正な疑いのある IAM ユーザ認証情報をローテーションします。
-
認識されないリソースまたは許可されていないリソースを削除します。
重要
調査のためにリソースを保持する必要がある場合は、それらのリソースのバックアップを取ることを検討してください。例えば、規制、コンプライアンス、または法的理由で Amazon EC2 インスタンスを保持する必要がある場合は、インスタンスを削除する前に Amazon EBS スナップショットを作成します。
-
マルウェアの感染については、AWS Partnerまたは他のベンダーに連絡する必要がある場合があります。AWS は、マルウェアの分析や削除のためのネイティブツールを提供していません。ただし、Amazon EBS に GuardDuty Malware モジュールを使用している場合は、提供された検出結果に対する推奨事項が利用できる場合があります。
特定した影響を受けるリソースを根絶したら、AWS でアカウントのセキュリティレビューを実行することをお勧めします。これは、AWS Config ルールを使用する、Prowler や ScoutSuite などのオープンソースソリューションを使用する、または他のベンダーを通じて行うことができます。また、残余リスクを評価するために、パブリック (インターネット) 向けリソースに対して脆弱性スキャンを実行することも検討する必要があります。
根絶はインシデント対応プロセスのステップの 1 つであり、インシデントと影響を受けるリソースに応じて手動または自動で行うことができます。戦略全体を組織のセキュリティポリシーとビジネスニーズに一致させ、不適切なリソースや設定を削除した場合に悪影響が軽減されることを確認する必要があります。
