AWS與趨勢科技整合雲地日誌,共組最強資安事故應變服務團隊

近年資安攻擊不斷升級,防禦難度急遽增加,驅使傳統資安策略思維出現變化,逐漸轉向「隨時做好被攻擊的準備」新主張,帶動「數位鑑識與事故應變」(Digital Forensics and Incident Response, DFIR)的重要性節節攀升。

趨勢科技在2012年成立事件調查團隊,提供資安事故應變服務,迄今累積執行逾千件的調查案件,其中包含引起社會關注的重大新聞事件。趨勢科技觀察到以往企業遭遇的資安風險,多數起因於管理複雜度過高,不易辨識潛在弱點。近年越來越多企業上雲,趨勢科技認為此舉能夠減輕管理複雜性,有助降低資安風險。

但不少企業上雲後,如何降低被駭風險仍為資安團隊的重點工作之一,許多案件的調查結果指向雲端組態設定失誤,趨勢科技意識到雲地風險成因不同,各有不同的管理日誌需要調查與解析,不容遺漏任何一方。為求精確還原事件全貌,一年前趨勢科技與Amazon Web Services(AWS)合作,雙方共組資安事故應變團隊協助企業處理資安事件。

趨勢科技台灣區總經理洪偉淦表示:「AWS是趨勢科技的重要合作夥伴,在企業面對雲地混合環境的網路威脅時,透過與AWS協同合作,為客戶提供迅速有效的事故應變處理。此外,趨勢科技資安服務也運用AWS的雲端資源,我們也期待AWS即將在台灣落地的資料中心,能協助我們提供客戶更好的使用體驗並協助台灣客戶加速落實數位轉型。」

AWS台灣暨香港總經理王定愷也表示:「AWS致力於為客戶提供先進與安全的雲端技術,搭配趨勢科技在資安領域深厚的專業,共同打造資安數位鑑識和應變處理服務,為企業客戶提供雙層級的安全防護,確保我們的客戶能在數位轉型的旅程中獲得更完整的保護。」

AWS與趨勢科技優勢互補,共同推展雲地整合的資訊安全

趨勢科技台灣區資深經理邱豊翔強調,資安事故應變是企業網路安全的關鍵能力之一。在面對現今多變、複雜、精細的網路威脅態勢,企業投入大量資源在網路攻擊的預防與攔阻,但仍需假設滲透入侵不可免,因此企業需具備資安事故應變的能力,當入侵事故發生時可快速找到入侵破口,對症下藥,控制損害,更重要的是,資安事故應變的成果可作為未來強化防禦措施的依據。

AWS進一步說明,安全事故應變的生命週期,通常以事前準備為起點,接著依序進入偵測、檢傷分類、收集證據、初步控制、根因分析、矯正、復原等程序,最後一步則是更重要的「賽後檢討」(Post-Incident Activity)。透過上述流程,舉凡何時間發現問題、何時辨識根因、何時解決問題、何時讓系統重新上線都一清二楚,足以劃出一條時間線,有助企業掌握過程中的所有細節,並且將其處理經驗轉化為未來事故應變的養分。

相較AWS與地端的資安事故應變執行過程,內容稍有不同,係因從AWS角度須增加服務層面(Service Plane)的考量。AWS環境的每項系統操作都經過API,故能利用API得知什麼人在什麼時間做什麼事,足以讓稽核流程更順利,有利於展開大規模調查。但除此之外,雲地數位鑑識分析流程大致相同,皆依循NIST SP 800-61標準。至於破案關鍵則取決於數位鑑識功力,而AWS和趨勢科技結合各自的專長,顯著提升了破案成功的機率。

成功的資安事故應變背後,無法忽視「日誌」這個無名英雄,完整的日誌內容,正如比刑事偵查員掌握足夠的指紋、毛髮或皮屑跡證,更能準確還原人事時地物的犯案歷程,避免在錯誤的方向上浪費時間。

缺少日誌,如同失去指引,事故應變團隊僅能透過邏輯推論判斷資安事故成因,不僅費時費力,且可能錯失阻斷下次攻擊的先機。接下來趨勢科技台灣區技術顧問吳光耀將以實際案例闡釋趨勢科技與AWS如何合作處理事故,並點出日誌在其中扮演的關鍵角色。

以多方日誌拼湊駭客足跡,還原入侵事件全貌

吳光耀指出,第一個案例來自電商,在某月份密集接到顧客關於詐騙電話的投訴。電商隨即展開應變,進行初步調查並補強資安措施,但仍未遏阻個資外流,於是委託AWS與趨勢科技協助處理。

後續破案關鍵,歸功於電商保留完整Amazon RDS(託管型關聯式資料庫服務)的日誌,亦建立顧客個資外洩事件清單,詳細記錄訂單成交時間、顧客接到詐騙電話的時間。事故應變團隊根據這些線索擬定調查方向,鎖定特定顧客深入調查,並分析Amazon RDS日誌,發現源頭指向一個內部主機查詢,其接連查詢資料庫名稱、訂單資料表、訂單資料內容,至此可判定為一位可疑人員的犯行。

第二個案例是某企業IT人員一天接獲Amazon GuardDuty(託管型威脅偵測服務)警報,指其主機異常使用SSH連線至非許可地區。接著IT人員緊急利用GuardDuty執行安全掃描,發現主機被植入Web Shell後門,但不知駭客如何入侵,故委託AWS與趨勢科技協助調查。

事故應變團隊發現駭客將HTTP Access Log日誌刪除殆盡,於是轉而關注Amazon GuardDuty掃出的Web Shell,從中探尋破案線索;後來針對這個檔案的時間戮展開調查,逐步抽絲剝繭,發現到更多的駭客攻擊證據,並且發現駭客竄改正常檔案的程式碼,用以持續竊取企業員工的帳號登入密碼,藉此進行隱匿攻擊。雖駭客刪除網站日誌以致跡證匱乏,無法調查駭客利用何種網站弱點成功入侵,但所幸事故應變團隊藉由其他調查機制另闢蹊徑,成功繪製入侵全貌。

由於日誌本身會留下時間、來源、帳號、操作行為等詳細紀錄,因而能協助IR人員調查異常行為,掌握時間線與線索;甚至進一步利用多方日誌拼湊攻擊者足跡,識別攻擊手法與理解事件真相。

啟用CloudTrail與GuardDuty,保有最關鍵日誌

但吳光耀在IR實戰中,經常看到一些日誌分析的痛點,包括未啟用日誌功能、日誌功能設定不當、日誌原始內容設計不佳、日誌內容過度客製化、缺乏分析工具、缺乏相關知識與經驗等等。

「只要你懂日誌,日誌就會幫助你!」AWS建議,企業若想超前部署日誌、避免淪於前述痛點,同時也務必做好以下幾點:首先,應更新AWS帳戶聯絡資訊,並定期檢視Root帳號的活動紀錄,接著啟用AWS CloudTrail稽核日誌、AWS Config組態變更紀錄與Amazon GuardDuty威脅偵測,最後,依照需求配置必要的安全日誌,事先做好準備,以應對突發的資安事故。

其中CloudTrail可被視為最重要的日誌來源,能提供關於事件發生的詳細資訊,包括執行人員、何時發生、執行所在區域、執行動作、影響哪些資源,以及執行結果。而GuardDuty也是不可或缺的工具,無須額外設定即可自動持續監控CloudTrail Logs、DNS Logs、S3 Logs與VPC Flow Logs。如未能採用GuardDuty,企業得花費心力自建威脅偵測機制及重新探索最佳實踐。此外,另可考慮搭配Amazon EventBridge(無伺服器任務排程器)以實現部份自動化回應,這將有助於資安或維運人員解放雙手,集中精力於持續完善組織的事故應變流程。

原文出處:iThome

AWS 合作夥伴也一致歡迎新的 AWS 區域

AWS 擁有遍布全球的合作夥伴網路,這些夥伴運用 AWS 技術、專案、專業知識和工具為客戶提供解決方案和服務。AWS 合作夥伴網路包括了來自全球 200 多個國家和地區、130,000 多個 ISV 和 SI 合作夥伴,他們透過 AWS 打造創新的解決方案和服務,在業務、技術、行銷和產品上市等方面幫助客戶。AWS 的 ISV、SI 及顧問夥伴也幫助企業和公部門客戶遷移到 AWS、部署關鍵任務與應用程式,並為客戶提供全方位的監控、自動化和管理服務。AWS 在台灣的合作夥伴包括銓鍇國際、伊雲谷集團、Going Cloud、邁達特、網創資訊、博弘雲端等等。欲了解 AWS 合作夥伴列表,請至:aws.amazon.com/tw/partners/

伊雲谷集團是 AWS 核心級服務合作夥伴,其雲端專家團隊擁有 500 多項認證。伊雲谷集團執行長蔡佳宏提到:「伊雲谷集團始終以雲端傳教士為使命,推動雲端技術接軌台灣產業。十年來,我們與 AWS 合作共同深耕雲端技術,很榮幸能見證雲端走入台灣各個產業,陪伴產業客戶於雲上成長,幫助客戶加速達成數位轉型。相信 AWS 區域在台灣的落成,將滿足更多台灣企業本地數位轉型和創新的需求,足不出戶即享全球領先的雲端技術。同時,對於金融、醫療等對本地資料儲存需求較高的產業,AWS 區域將助力他們更深入開展上雲轉型旅程。」

博弘雲端為 AWS 核心級服務合作夥伴,並具備 AWS MSP 代管服務資格。博弘雲端總經理何冠生表示:「AWS 此次在台灣的基礎設施投資將有助於推動台灣企業的數位轉型,助力從傳統產業到數位新興行業的創新發展。我們期待繼續與 AWS 加深合作,協助各行各業的企業深入利用即將推出的 AWS 區域,以此在地優勢解決資料本地化、低延遲、合規性、與高效能運算工作負載等需求,將全球領先的雲端技術注入企業的數位轉型之旅,並為台灣經濟的多元化發展做出貢獻。」

AWS 持續投資台灣

自 2014 年以來,AWS 在台灣推出兩個 Amazon CloudFront 邊緣節點。Amazon CloudFront 為高度安全且可程式化的內容交付網路(CDN)服務,能夠以低延遲的高速傳輸向全球用戶提供資料、影音、應用程式和 API。2018 年,AWS 在台北開設第一座 AWS Direct Connect 站點,讓台灣客戶能在 AWS、客戶的資料中心、辦公室及託管環境之間建立專屬的私人連線。2020 年,AWS 在台推出全託管解決方案 AWS Outposts,在本地與邊緣提供 AWS 基礎設施與服務,實現真正的雲地混合體驗。2022 年,AWS 在台北啟用本地區域(AWS Local Zones),再次擴大投資台灣的基礎設施。AWS 本地區域使運算、儲存、資料庫等服務更靠近人口、產業、IT 中心密集的地點,讓客戶能提供給終端用戶只有個位數毫秒延遲的應用程式。

為了加速雲端應用在台灣普及,AWS 透過 AWS AcademyAWS Educate AWS Skill Builder 等專案,幫助台灣學生、開發人員、專業技術人員、非技術人員、下一代 IT 領導者培養技能。這些專案幫助各種背景和經驗的學員準備雲端職涯。自 2017 年以來,AWS 在亞太、日本地區為超過 800 萬人提供雲端技能培訓,在台灣已經培訓超過 10 萬名雲端技術人員。

AWS 對永續發展的承諾

亞馬遜在 2019 年聯合發起《氣候宣言》,承諾在 2040 年前實現營運淨零碳排的承諾,與《巴黎協定》設定的目標相比提前 10 年。亞馬遜也計畫在 2025 年所有營運電力都採用 100% 的再生能源,與原定的 2030 年目標相比提前五年。欲了解更多,請參考亞馬遜的公開資訊。同時,根據 Bloomberg New Energy Finance 報導,亞馬遜從 2020 年起連續四年被評為「全球最大的再生能源採購商」。此外,亞馬遜目前在全球擁有 500 多個再生能源專案,也將在 2030 年實現水資源正效益承諾,屆時回饋社區的水資源將超過自身直接營運業務的用水量。

關於 Amazon Web Services

自2006年來,Amazon Web Services一直在提供世界上服務最豐富、應用廣泛的雲端服務。AWS不斷擴展可支持幾乎任何雲端工作負載的服務,為客戶提供超過240種功能全面的雲端服務,包括運算、儲存、資料庫、聯網、分析、機器學習與人工智慧、物聯網、行動、安全、混合雲、媒體,以及應用開發、部署和管理等方面,遍及33個地理區域內的105個可用區域(Availability Zones),並已公佈計畫在馬來西亞、墨西哥、紐西蘭、沙烏地阿拉伯和泰國等建立6個AWS地理區域、18個可用區域。全球超過百萬客戶信任AWS,包含發展迅速的新創公司、大型企業和政府機構。AWS協助客戶強化自身基礎設施,提高營運上的彈性與應變能力,同時降低成本。欲瞭解更多AWS的相關資訊,請至: aws.amazon.com

關於亞馬遜

亞馬遜秉持四大原則:顧客至尚、崇尚創新、卓越運營、長遠思考。亞馬遜致力於以客戶為中心,努力成為「最佳雇主」,並打造安全的工作場所。公司開創了諸多創新產品和服務,包括客戶評論、一鍵下單、Prime會員服務、亞馬遜物流、AWS、職業選擇(Career Choice)、Fire平板電腦、FireTV、Amazon Echo、智慧語音助手 Alexa、Just Walk Out 技術、Amazon Studios 以及《氣候宣言(The Climate Pledge)》等等。欲瞭解更多亞馬遜的相關資訊,請至: amazon.com/about及追蹤 X @AmazonNews
 免費註冊 AWS 帳號

新戶註冊即享 AWS 免費方案,可探索超過 100 種 AWS 的產品與服務,還能加碼領取獨家贈品!

 與我們聯絡

若欲尋求技術、帳單帳戶、登入存取支援,或希望與 AWS 的雲端業務聯絡,都竭誠歡迎您與我們聯繫!

 探索台灣資源中心

集結研討會精采回顧雲端主題白皮書開始上雲系列等免費資源,進一步豐富您的雲端之旅。