RDS의 랜섬웨어 - 시뮬레이션 및 탐지

https://workshops.aws/card/Ransomware on RDS - Security Event Simulation and Detection

• 이 워크숍에서는 Amazon RDS 인스턴스에서 승인되지 않은 데이터 삭제 이벤트를 시뮬레이션하고 AWS CIRT(고객 사고 대응팀)가 이러한 보안 이벤트에 대응하기 위해 사용하는 몇 가지 감지 메커니즘을 살펴봅니다.

사례: 랜섬웨어 공격 시뮬레이션 후 AWS CloudTrail을 사용한 보안 로그 분석

목표:

이 실습 예제는 랜섬웨어 공격을 시뮬레이션하고, AWS CloudTrail 로그를 분석하여 공격의 흔적과 원인을 식별하는 방법을 실습합니다. 이 과정은 로그 분석과 사고 대응의 기본 개념을 이해하는 데 도움이 됩니다.

단계:

1. 환경 설정:
   • CloudFormation 템플릿을 사용하여 다음의 리소스를 생성합니다:
     • 여러 IAM 사용자 및 역할을 설정하여 다양한 권한을 가진 환경을 구성합니다.
     • Amazon RDS DB 인스턴스와 Amazon Aurora DB 클러스터를 설정합니다.
   • AWS CloudTrail을 활성화하여 API 호출 로그를 기록합니다.
     • CloudTrail을 사용하여 모든 API 호출과 이벤트를 기록하도록 설정합니다.
2. 데이터베이스에 데이터 삽입:
   • Amazon RDS 데이터베이스에 연결하여 몇 개의 테이블을 만들고 샘플 데이터를 삽입합니다.
3. 랜섬웨어 공격 시뮬레이션:
   • AWS Cloud9에서 랜섬웨어 공격을 시뮬레이션하는 Bash 스크립트를 작성합니다. 이 스크립트는 데이터베이스의 데이터를 암호화하거나 삭제합니다.
   • 예를 들어, 데이터베이스의 데이터를 무작위로 수정하거나 삭제하는 스크립트를 작성합니다.
4. 로그 분석:
   • AWS CloudTrail 콘솔로 이동하여 로그를 검색하고 분석합니다.
     • CloudTrail에서 로그를 필터링하여 데이터베이스에 대한 쿼리나 API 호출을 찾습니다.
     • CloudTrail Logs Insights를 사용하여 랜섬웨어 공격과 관련된 이벤트를 분석합니다
5. 보안 로그 분석 결과 확인:
   • 분석된 로그에서 데이터베이스에 대한 의심스러운 활동을 식별합니다.
   • 예를 들어, 데이터 수정이나 삭제 작업을 수행한 이벤트를 찾아냅니다.
   • 공격의 원인과 영향을 분석합니다.
6. 사후 분석 및 문서화:
   • 로그 분석 결과를 문서화하고, 공격의 경로와 원인을 정리합니다.
   • 보안 로그 분석 과정과 결과를 기록하고, 향후 유사한 사건에 대한 대응 전략을 수립합니다.

요약:

이 실습을 통해 랜섬웨어 공격을 시뮬레이션하고, AWS CloudTrail을 사용하여 보안 로그를 분석하는 방법을 학습할 수 있습니다. 로그 분석을 통해 무단 활동의 증거를 찾고, 공격의 원인과 영향을 이해하는 데 도움이 되며, 클라우드 환경에서 보안 사고를 효과적으로 대응하는 기술을 익힐 수 있습니다.