本文の内容は、2024年6月17日に ASHISH CHAKRABORTTY が投稿したブログ(https://sysdig.com/blog/cut-threat-investigation-times-down-to-5-minutes)を元に日本語に翻訳・再構成した内容となっております。
組織がハイブリッドクラウド戦略を採用するにつれて、クラウド侵害は増加の一途をたどっています。多くの組織は、既存のオンプレミスセキュリティをクラウドに単純に拡張しようとしてきましたが、クラウドはセキュリティにとって根本的に異なる環境です。クラウドはより高速で、より複雑で、より動的であり、攻撃対象領域はますます拡大しています。先制攻撃は、攻撃者がデフォルトで有利なスタートを切ることを意味し、組織には調査と対応を開始する時間がほんのわずかしか残っていません。
これらを踏まえると、Forresterの調査によると「クラウドの検知と対応は、セキュリティ運用チームにとって次なる最も重要なフロンティアである」というのも納得です。このニーズに応えるために、Sysdigのリアルタイムクラウド調査は、組織に貴重な時間を取り戻し、スキルのギャップを縮め、セキュリティおよびプラットフォームチームに迅速でより情報に基づいた意思決定を可能にします。
Sysdig の新しい調査機能により、お客様は、イベント、ポスチャーの誤った構成、ID に対する悪用可能な脆弱性など、すべてのクラウド データを自動的に収集および相関付けることで、クラウド検知および対応 (CDR) のユースケースを最適化できます。
改善されたユーザー インターフェースにより、セキュリティ チームは最も複雑な攻撃チェーンを即座に解読し、555 ベンチマークで概説されているように、5 分以内に脅威を調査できるようになります。
調査を充実させる主な新機能は次のとおりです。
- 攻撃チェーンの視覚化– アラートや疑わしい発見を根本原因として活用し、Sysdig Cloud Attack Graph を使用して調査を開始します。
- リアルタイムの ID 相関– 強化された調査機能により、クラウド イベントと ID データが自動的に相関します。
- 調査ワークフローの最適化– 専用の単一のプラットフォームによりサイロが解消され、多様なスキルセットを持つセキュリティ担当者の下流のアクティビティが効率化されます。
新しい調査機能の実際の動作をご覧ください
Sysdig の新しい調査フローは、Sysdig プラットフォーム全体のコンテキストを自動的につなぎ合わせます。イベントの根本原因を迅速に特定し、データをコンテキスト化することで、クラウドでの調査を高速化します。
Sysdig の新しい調査機能の威力を実証するために、コンテナ化されたワークロード内の脆弱なアプリケーションを悪用するSCARLETEEL 攻撃をシミュレートしました。これには、リバースシェルを確立し、クリプトマイナーをダウンロードし、権限を昇格して S3 バケット ポリシーを無効にし、顧客データを盗む手順が含まれます。
調査は、イベント概要ダッシュボードから始めます。セキュリティチームは、マルチクラウド環境全体で同様のダッシュボードを監視する場合があります。
下のタイムピッカーを使用して時間枠を 6 時間に設定すると、この短い時間枠内で重大度の高いイベント (重大度別イベントウィジェットを参照) の数が急増していることがわかります。これは異常です。ほとんどの日にはこれほど多くのイベントは発生しません。また、異常なアクティビティは侵害の兆候である可能性があると想定する必要があるため、この異常は疑わしいものであり、迅速な対応が必要です。私たちの目標は、できるだけ多くの情報をトリアージして収集し、詳細なコンテキストナラティブを作成することです。
まず、ダッシュボードに表示されたこの異常な急増を説明する答えを見つけるために、イベントを詳しく調べましょう。重大度の高いイベントをフィルタリングして、脅威アクターによって開始された進行中の攻撃を迅速に阻止します。
イベント フィードにリダイレクトされ、そこではすべてのクラウド イベントがログに記録され、トリガーされた Sysdig ルール/ポリシー、タイムスタンプ、アカウント ID、クラスター名、ユーザー名、IP アドレスなどの詳細が提供されます。
これにより、クラウド攻撃に至るまでのイベントのタイムラインを視覚化することができます。また、スキルギャップを解消し、アナリストが攻撃の深刻度、影響を受けたクラウドワークロード、そして侵害されたユーザーアカウントを容易に把握できるようになります。上部の検索バーと左側のフィルターを使用して調査するイベントの範囲を絞り込むことで、SLA(サービスレベルアグリーメント)、MTTI(平均調査時間)、MTTR(平均応答時間)などの内部指標を改善できます。
Sysdig の脅威リサーチチームは、次の例のように、使用できるルールの包括的なライブラリをキュレートして管理しています。
ruleName = Netcat Remote Code Execution in Container
定義された時間枠 (デモでは 6 時間) 内の関連イベントをフィルターするには、検索バーに上記の文字列を入力するだけです。または、左側のパネルを使用して同様の結果を導き出すこともできます。これにより、ノイズが削減され、以前に検出された異常なスパイクを説明できる関連イベントを絞り込むことができます。
このシナリオでは、Sysdig がクラウドワークロードで Netcat の実行を検出したイベントをフィルタリングします。Netcat は、攻撃者が違法行為を支援するためによく使用するツールであり、多くのウイルス対策アプリケーションによってフラグが付けられ、隔離されます。キャプチャされたコマンド ライン、プロセスツリー、ユーザーとクラウドの詳細、脆弱性、ルール タグなど、上記の Sysdig ルールをトリガーした要因を詳しく確認してみましょう。
Sysdig は、脆弱性管理、開発者、セキュリティアーキテクト、インフラストラクチャーなど、さまざまなペルソナと連携するための十分なコンテキストを提供するため、臨床的な精度でセキュリティギャップに対処できます。
ここまで読んで、おそらく、影響を受けるリソースと、その原因となったイベントとの関係を明らかにしたいという好奇心が湧いてきたことでしょう。
攻撃チェーン可視化機能は、攻撃者の戦術、手法、手順を単一のグラフィックで概観します。また、ポスチャーの誤った構成、既存の脆弱性、開始されたプロセス、アクティビティ監査など、複数のソースからのデータを統合して、進行中の脅威の影響を評価します。
Sysdig はイベントを相関させ、詳細なランタイム分析情報で強化することで、アナリストがあらゆるリソース、イベント、属性を迅速に調査し、方向転換できるようにします。当社のプラットフォームは、クラウド環境全体での敵対者の動きを追跡し、ネットワークへのさらなる侵入を防ぐのに役立ちます。
一目で、イベントの文脈に関する重要な理解を得ることができます。たとえば、以下のような情報です:
- このインシデントの根本的な原因は何でしたか?
- 脅威アクターがアクセスした他のシステムで、危険にさらされている可能性があるものはありますか?
- 影響を受けたワークロードで実行されたプロセスとコマンドは何ですか?
- どのような脆弱性や誤って構成された権限が使用されていますか?
- どのような権限と ID が昇格されましたか?
ランタイム検知 (左側に表示) は、指定されたクラスター内のアクティビティのタイムラインを表します。これらは、重大度を示すために色分けされています。
グラフを使用すると、影響を受ける資産を直接操作することもできます。たとえば、デモでは、ワークロードがlegacy-webapp影響を受けるリソースです。これをクリックすると、対話型オプションのリストが表示され、この重大度の高いイベントの原因となった特定の要因に移動して確認できます。
右側にドロワーが開き、イメージ、クラスター名、ネームスペース、ゾーンなど、ワークロードの内部構成の詳細が表示されます。また、ポスチャーの誤った構成、使用中のエクスプロイト、アクティビティ監査、起動されたプロセス全体のデータも収集されます。たとえば、[Posture] タブに移動すると、ワークロードのすべてのポスチャーの検出結果 (エージェントレス アプローチ) と、影響を受けるワークロードで特定のコントロールが失敗した理由を確認できます。
このレベルのコンテキストとガイド付きの修復により、摩擦ポイントが排除され、セキュリティ チームは緊急時に瞬時に意思決定を行うことができます。
UI の操作に慣れたので、次はProcessesに進みましょう。ここでは、ワークロードで実行されたすべてのコマンドが実行時にログに記録されます。これにより、これが単独のイベントなのか、より大きな脅威アクティビティの一部なのかを把握できます。
このビューから、ユーザー(ルート権限を仮定)がワークロード上でいくつかのJavaファイルをダウンロードしたことがわかります。現在、脆弱性タブから、legacy-webapp にSpring4Shell Java脆弱性があるという情報を得ています(詳細はこちらをご覧ください)。
次に、 curl コマンドのプロセスツリーを確認し、クラウド内での攻撃者の動きを追跡します。
プロセス ツリーは、実行時にエージェントによってキャプチャーされた実行済みコマンドラインのタイムラインをトレースします。プロセス系統、コンテナとホストの情報、悪意のあるユーザーの詳細、影響など、ユーザーからプロセスへのキル チェーンを示します。ほぼすぐに、xmrig が表示されます。これは、正当なプログラムを装いながら悪意のある機能や不要な機能を隠蔽するトロイの木馬として武器化されたクリプトマイナーです。この xmrig は、Java ファイルがワークロードにダウンロードされてから数秒後に実行されました。これは、ワークロードが感染していることを十分に証明しており、攻撃を封じ込めるために迅速に対応する必要があります。
何が、なぜ起こったのかがわかったところで、さらに詳しく調査して、これらのイベントの背後にいる人物を明らかにしましょう。[Identity]ビューでは、調査範囲が広がり、攻撃者が目的を遂行するために正当なユーザー アカウントを侵害したかどうかがわかります。
ここで、ユーザー インターフェイスには、影響を受けたユーザー アカウントが表示され、実行時に調査開始時に観測された重大度の高いイベントと相関関係があります。隣接する世界地図には、これらのアカウントが SCARLETEEL 攻撃を開始した可能性があるキャプチャーされた地域が示されています。ここでは時間が重要なので、調査時間を 1 時間に絞り、ネットワークに潜む脅威アクターを確認しましょう。
Sysdig は、ほぼ即座に、この時間枠内で EC2 ロールとユーザー アカウント Admin6 をフィルタリングします。また、左側の ID に関連付けられた関連イベントも表示します。
表示されるイベントは、クラウド環境内で複数の偵察アクティビティが行われていることを示しています。スケジュールされたメンテナンス アクティビティがない限り、通常、クラウド アカウント全体でこれらの検出イベントが表示されることはありません。
さらに調査を進めると、データから、攻撃者が EC2 ロールを引き継いで、環境内のユーザー アカウント Admin6 のアクセス キーを作成したことが明らかになりました。
Admin6 は通常の命名標準に準拠しておらず、データによると、この特定のアカウントには昇格された権限といくつかの未使用の権限があります。
これで私たちの仮説は確認され、このユーザー アカウントが攻撃者に乗っ取られたことが確実にわかりました。これで、迅速な修正手順を実行し、IAM ポリシーを最適化して、攻撃者のさらなる動きを防ぐことができます。
時間枠を拡大して、Admin6に関連するすべてのインタラクティブコマンド、確立された接続、ファイル活動、および実行要求を確認します。
Sysdig の詳細なランタイム分析と、自動クロスクラウドコンテキストおよび相関関係を組み合わせることで、セキュリティチームと開発チームは、わずか 5 分でクラウド調査の誰が、何を、どこで、いつ、なぜ行ったかを理解できるようになります。
この機能は、調査の問題点を軽減することを目的として構築されており、従来の検知および対応ツールよりも早く 555 ベンチマークを達成できるようにします。
Sysdig がクラウドネイティブの調査を加速させる方法を技術的にデモンストレーションする、今後米国で開催されるウェビナーやデモ「5 分間のクラウド セキュリティ調査の実践」にご参加ください。
- Forrester – The Comprehensive Guide To Cloud Detection and Response; Allie Mellen, Andras Cser, Jeff Pollard; April 23rd, 2024. ↩︎