AWS GuardDuty

안녕하세요! BTC_베짱이팀 입니다!

 

이번주 소개해드릴 AWS Managed Service는 바로 "AWS GuardDuty" 입니다.

 

---

 

AWS GuardDuty

Amazon GuardDuty는 AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스입니다.

 

AWS GuardDuty 기능!!

정확한 계정 수준의 위협 탐지

Amazon GuardDuty는 거의 실시간으로 지속적으로 요인을 모니터링하지 않는 한 신속하게 탐지하기 매우 어려운 계정 침해에 대해 정확한 위협 탐지를 제공합니다. GuardDuty는 이례적인 시간에 특이한 지리적 위치에서 AWS 리소스에 액세스하는 등의 계정 침해 징후를 탐지할 수 있습니다. 프로그래밍 방식의 AWS 계정의 경우 GuardDuty는 CloudTrail 로깅을 사용 중지하거나 악의적 IP 주소에서 데이터베이스 스냅샷을 생성하여 계정 활동을 보기 어렵게 하려는 시도 등 비정상적인 애플리케이션 프로그래밍 인터페이스(API) 호출을 확인합니다.

추가 비용 및 복잡성 없이 AWS 계정 전체에서 지속적 모니터링

Amazon GuardDuty는 AWS CloudTrail, VPC 흐름 로그 및 DNS 로그에서 수집된 AWS 계정 및 워크로드 이벤트 데이터를 지속적으로 모니터링하고 분석합니다. 추가로 배포하고 유지 관리할 보안 소프트웨어 또는 인프라는 없습니다. AWS 계정을 함께 연결하면 계정별로 작업하지 않고도 위협 탐지를 집계할 수 있습니다. 또한, 여러 계정에서 대량의 AWS 데이터를 수집, 분석 및 상호 연관시킬 필요가 없습니다. 사용자는 신속하게 대응하고 조직을 안전하게 유지하는 방법과 AWS에서 계속해서 확장하고 혁신해 나가는 데 집중할 수 있습니다.

클라우드용으로 개발 및 최적화된 위협 탐지

Amazon GuardDuty에서는 클라우드용으로 개발 및 최적화된 내장된 탐지 기법에 액세스할 수 있습니다. AWS 보안 팀은 이러한 탐지 알고리즘을 지속적으로 유지 관리하고 개선합니다. 기본 탐지 카테고리는 다음과 같습니다.

정찰: 비정상적인 API 활동, VPC 내 포트 스캐닝, 실패한 로그인 요청의 특이한 패턴, 알려진 악성 IP에서 차단되지 않은 포트 탐색 등 공격자의 정찰로 보이는 활동.

인스턴스 침해: 암호 화폐 마이닝, 백도어 명령 및 제어(C&C), DGA(Domain Generation Algorithm)를 사용하는 멀웨어, 아웃바운드 DoS 활동, 비정상적으로 높은 네트워크 트래픽 볼륨, 비정상적인 네트워크 프로토콜, 알려진 악의적 IP를 통한 아웃바운드 인스턴스 통신, 외부 IP 주소에서 임시 Amazon EC2 자격 증명 사용, DNS를 사용한 데이터 탈출 등 인스턴스 침해를 나타내는 활동.

계정 침해: 계정 침해를 나타내는 일반적인 패턴에는 특이한 지리적 위치 또는 익명 프록시로부터 API 호출, AWS CloudTrail 로깅을 사용 중지하려는 시도, 계정 암호 정책을 약화시키는 변경 사항, 비정상적인 인스턴스 또는 인프라 시작, 특이한 리전에 인프라 배포, 알려진 악의적 IP 주소로부터 API 호출이 포함됩니다.

버킷 침해: 버킷 침해를 나타내는 활동입니다. 예를 들어, 자격 증명 악용을 나타내는 의심스러운 데이터 액세스 패턴, 원격 호스트의 비정상적인 Amazon S3 API 활동, 알려진 IP 주소로부터의 무단 S3 액세스, 버킷에 액세스한 기록이 없거나 비정상적인 위치에서 호출된 사용자가 S3 버킷에서 데이터를 검색하기 위한 API 호출 등이 있습니다. Amazon GuardDuty는 AWS CloudTrail S3 데이터 이벤트(예: GetObject, ListObjects, DeleteObject)를 지속적으로 모니터링 및 분석하여 모든 Amazon S3 버킷에서 의심스러운 활동을 탐지합니다.

GuardDuty는 기계 학습과 이상 항목 탐지를 사용해 비정상적인 API 호출 패턴 또는 악의적 AWS Identity and Access Management(IAM) 사용자 행동과 같이 이전에는 발견하기 힘들었던 위협을 식별하는 이러한 고급 탐지 기능을 제공합니다. GuardDuty에는 AWS 보안 팀과 업계 주요 서드 파티 보안 파트너(Proofpoint, CrowdStrike 등)가 작성한 악의적 도메인 또는 IP 주소 목록이 포함된 위협 인텔리전스도 통합되어 있습니다.

GuardDuty는 사내 솔루션을 구축하거나, 복잡한 사용자 지정 규칙을 유지 관리하거나, 알려진 악의적 IP 주소로 구성된 자체 위협 인텔리전스를 개발할 수 있는 대안을 제공합니다. GuardDuty는 AWS 계정과 워크로드를 모니터링하고 보호하는 불필요한 복잡성과 획일적인 작업 부담을 덜어줍니다.

효율적인 우선순위 지정을 위한 위협 심각도 수준

Amazon GuardDuty는 고객이 잠재적 위협에 대한 대응 우선순위를 지정하는 데 도움이 되도록 세 가지 심각도 수준(낮음, 중간, 높음)을 제공합니다. '낮음' 심각도 수준은 의심스럽거나 악의적인 활동이 리소스를 침해하기 전에 차단되었음을 나타냅니다. '중간' 심각도 수준은 의심스러운 활동을 나타냅니다. 예를 들어 Tor 네트워크 뒤에 숨어 있는 원격 호스트로 많은 양의 트래픽이 반환된다거나, 일반적으로 관찰되는 동작과 다른 활동을 말합니다. '높음' 심각도 수준은 문제의 리소스(예: Amazon EC2 인스턴스 또는 IAM 사용자 자격 증명 세트)가 침해되었고 무단 액세스에 적극적으로 사용되고 있음을 나타냅니다.

위협 대응 및 수정 조치 자동화

Amazon GuardDuty는 보안 탐지 결과에 대한 자동 보안 대응을 지원하기 위해 HTTPS API, 명령줄 인터페이스(CLI) 도구 및 Amazon CloudWatch Events를 제공합니다. 예를 들어 CloudWatch Events를 AWS Lambda 함수를 트리거하는 이벤트 소스로 사용함으로써 대응 워크플로를 자동화할 수 있습니다.

가용성이 뛰어난 위협 탐지

Amazon GuardDuty는 AWS 계정, 워크로드, Amazon S3에 저장된 데이터의 전반적인 활동 수준을 기준으로 리소스 사용률을 자동으로 관리하도록 설계되었습니다. GuardDuty는 필요할 때만 탐지 용량을 추가하고 용량이 더 이상 필요 없어지면 사용률을 줄입니다. 사용자는 이제 비용을 최소화하면서 필요한 보안 처리 성능을 유지할 수 있는 비용 효율적인 아키텍처를 갖추게 되었습니다. 탐지 용량을 사용할 때만 사용한 만큼 비용을 지불하면 됩니다. GuardDuty는 고객의 크기에 관계없이 대규모 보안을 제공합니다.

추가 소프트웨어 또는 인프라 배포 및 관리 없이 클릭 한 번으로 배포

AWS 관리 콘솔에서 클릭 한 번 또는 단일 API 호출로 단일 계정에서 Amazon GuardDuty를 사용할 수 있습니다. 그리고 콘솔에서 클릭 몇 번만 더하면 여러 계정 전체에 GuardDuty를 사용할 수 있습니다. Amazon GuardDuty에서는 AWS Organizations 통합을 통해 다중 계정을 지원하며 GuardDuty 내에서는 다중 계정이 기본적으로 지원됩니다. 사용되면, GuardDuty가 즉시 거의 실시간 및 대규모로 계정과 네트워크 활동의 연속 스트림을 분석하기 시작합니다. 배포하거나 관리할 추가 보안 소프트웨어, 센서 또는 네트워크 어플라이언스는 없습니다. 위협 인텔리전스가 서비스에 사전 통합되어 있고 지속적으로 업데이트 및 유지 관리됩니다.

AWS GuardDuty 작동원리 구성도 !!