[AWS SAP] 웹서버에 대한 SQL인젝션 공격 탐지

Req)

어떤 기업이 웹애플리케이션을 EC2에서 운영하고 있습니다. 

웹Tier는 ALB로 구성되며 오토스케일링 그룹으로 지원되며 웹서버 인스턴스를 여러 AZ(가용영역)으로 분포하게 하고 있습니다.  데이터베이스 Tier는 Aurora MySQL을 사용하고 있습니다. 그 기업의 보안팀은 AWS WAF를 배포하고 ALB와 통합하여 SQL인젝션 공격이 애플리케이션에 방지되도록 했습니다. 최근 보안침해가 보고되었으며 공격자는 개별 웹서버에 접근을 얻을 수 있었고 기업의DB에 랜덤IP주소로 접근 가능하였습니다. 보안팀은 결국 더 좋을 룰을 쓸 수 있게 되었으며 SQL인젝션 기법을 공격자가 사용하는 것을 매칭하는 것이었습니다. 그러나, 이 프로세스는 한 시간 소요가 되는 것으로 3rd party 보안 에이전트가 EC2인스턴스 위에서 동작하면서 성공적으로 공격을 탐지하는 프로세스 입니다 

어떤 전략이 보안팀으로 하여금 DB와 전체 인프라를 보호할 수 있게 할까요?

 

Sol) Amazon GaurdDuty, Amazon EventBridge, AWS Lambda function 

요구사항	솔루션
웹서버에 대한 SQL인젝션 공격 탐지   - DB와 인프라 보호    - 현재는 탐지에 1시간 소요(3rd party 보안 에이전트)	1) GuardDuty : VPC Flow Logs 분석  2) Amazon EventBridge rule 설정    - Lambda function을 GuardDuty 상에 트리거 : alert  3) Lambda function : 탐지된 공격을 블록(SG 변경으로 대응)