Sysdigを使用して、数分で侵害されたIDの検知と対応を行う

By 清水 孝郎 - AUGUST 7, 2024

SHARE:

本文の内容は、2024年8月7日にashish chakrabortty が投稿したブログ(https://sysdig.com/blog/detect-and-respond-to-compromised-identities-in-minutes-with-sysdig/)を元に日本語に翻訳・再構成した内容となっております。

Sysdig は、Cloud Identity Insights の導入により、リアルタイムのクラウド検知と対応 ( CDR ) 機能を継続的に強化し、お客様がアイデンティティ攻撃パターンを分析して脅威アクターに先んじることができるようにしています。この記事では、Sysdig が Cloud Identity Insights を使用して、疑わしいイベントと侵害された可能性のあるユーザー アカウントを関連付ける方法について説明します。このコンテキストがあれば、防御側はインシデントのデータを使用して侵害されたユーザーのアクセスポリシーを最適化し、数分以内に迅速に対応できます。

ここでは、CDR ワークフローを強化するために Cloud Identity Insights が提供する主要な新機能をいくつか紹介します。

  • 高度なクラウド行動分析で潜在的な侵害を数秒で検出
  • ガイド付きの修復機能で侵害されたIDを封じ込める
  • 最小許容ポリシーの最適化により将来の攻撃を防止

Cloud Identity Insights の実際の動作を確認する

Sysdig Cloud Identity Insightsは、CDRワークフローにアイデンティティのコンテキストを追加し、ユーザーが侵害された際に迅速に特定します。この新機能はセキュリティテレメトリーを強化し、ユーザーがインシデントに迅速に対応し、セキュリティ侵害の影響を抑えることを可能にします。 

手順

実際にどのように見えるかを説明するために、脆弱なアプリケーション (Spring4Shell) を侵害して AWS 権限を昇格し、CloudTrail ログを無効にし、S3 バケットポリシーを変更し、機密データを盗むSCARLETEEL攻撃をシミュレートしました。 

侵害された IAM ロールを引き継いだ後、短時間内に複数の AWS API を順番に呼び出す検出スクリプトを実行しました。

高度なクラウド振る舞い分析

検知と対応のワークフローは、クラウド イベント ダッシュボードで重大度の高いイベントを確認することから始まります。 

クラウド アイデンティティ インサイト
図: クラウド イベント ダッシュボード

高度なクラウド振る舞い分析は、ユーザーが侵害された可能性があることを早期に知らせるシグナルであり、より長い期間にわたるユーザーアクティビティを調べることで、高い信頼性で疑わしいパターンを特定します。たとえば、計画されたレッド チーム演習がない限り、クラウドアカウントを検出するコードを実行する Pacu などの悪意のあるソフトウェアの存在は疑わしいものと見なされます。 

Sysdig Secureでイベントをトリガーする


これを実証するために、私たちは侵害されたユーザーアカウント Admin6 を使用して、短時間のうちにいくつかのAWS SES(Simple Email Service)API(アプリケーションプログラミングインターフェース)を呼び出しました。

class SuspiciousSesRequests:

def run(self, user_name, aws_region, aws_access_key_id, secret_access_key):
log.info("Generating Suspicious Ses stateful-event for user: " + user_name)
try:
session = boto3.Session(
aws_access_key_id=aws_access_key_id,
aws_secret_access_key=secret_access_key,
region_name=aws_region,)

ses = session.client("ses")
ses.get_send_quota()
ses.list_identities()
ses.get_send_statistics()
ses.list_verified_email_addresses()
ses.get_account_sending_enabled()
ses_v2 = session.client("sesv2")
ses_v2.get_account()
secretsmanager = session.client("secretsmanager")
secretsmanager.list_secrets()
except Exception:
log.error("Error running AWS calls", exc_info=True)

if __name__ == "__main__":
config = Config()
requests = SuspiciousSesRequests()
requests.run(
user_name = config.aws_user_name,
aws_region= config.aws_region,
aws_access_key_id = config.aws_access_key_id,
secret_access_key = config.secret_access_key)

Sysdig は、Advanced Cloud Behavioral Analytics 検知のタイムラインを記録しました (Suspicious SES Activity Detectedを参照)。

クラウド アイデンティティ インサイト
図: 疑わしい SES アクティビティが検出されたイベントフィード

これらの検知は、攻撃者がクラウドをスキャンして盲点を発見し、AWS SES などのサービスを悪用したことを示しています。フィードだけから、このユーザーが侵害された可能性があることがわかります。また、このユーザーがその後に行ったアクションも確認できます。イベントのタイムスタンプに注意してください。同じクラウドアカウントから連続して記録されています。 

Falcoによる検知とは異なり、Advanced Cloud Behavioral Analytics はイベントの動作を観察し、脅威アクターが目的を達成するために一連の手順を実行したときにイベントをトリガーします。この例では、疑わしい SES アクティビティは、攻撃者が目的を達成するために、シークレットの漏洩、電子メール アドレスの解析、フィッシング メールの作成などの複数の API 呼び出しを実行したことを示しています。

クラウド アイデンティティ インサイト
図: ログに記録された API 呼び出しによる疑わしい SES アクティビティ

セキュリティ チームには、上記のイベントと関連するユーザー アカウントが同時に通知されます。侵害の可能性があるユーザーが特定されると、リアルタイムの ID 相関関係により、数分でアカウントを調査し、次のような重要な質問に答えることができます。

  • 敵対者はどのようなリソースにアクセスしましたか?
  • 誰のユーザー認証情報が侵害されましたか?
  • 敵は境界を突破するためにどのような方法を使用しましたか?
  • 敵対者の活動は他にどこから報告されていますか? 

リアルタイムのアイデンティティ相関で調査

敵対者の存在を示す十分な情報が得られたので、詳しく調査してみましょう。Identity調査ビューに移動すると、Sysdig が Recon イベントを EC2 IAM ロールに自動的に関連付け、世界地図上にプロットします。

図:
IAMユーザーAdmin6の相関検知

このビューでは、Sysdigがクラウドイベントと位置情報に基づくIDを自動的に相関させることで、セキュリティチームに攻撃者の行動や潜在的に侵害されたユーザーに関連する詳細を明確に示します。私たちは、イベントが最初に検出されたクラウドアカウントなど、重要な詳細を瞬時に発見することができます。

また、 Admin6 ユーザーアカウントが疑わしいSESイベントを引き起こしたことも確認できます。

緊急時には、利用可能なすべてのデータが手元に必要です。Sysdigは必要な情報をすべて提供し、 Admin6 が侵害されたユーザーであることを容易に特定できます。このユーザーアカウントは、自動的にクリティカルリスクとしてフラグが立てられ、疑わしい活動に基づいて潜在的に侵害されたものとしてラベル付けされます。

Sysdigは、ワークロード、インスタンス、IAMロールなど他のソースからのデータも自動的に相関させ、攻撃経路全体をグラフとして視覚化します。この自動クロスクラウドコンテキストと相関により、セキュリティチームは潜在的に侵害されたユーザーを数分で調査し、即座に対応することができます。このコンテキストに基づいて、このユーザーが侵害されたことは明らかです。

対応戦略を展開する

次に、 Admin6 が侵害されたアカウントとして手動でフラグを立て、プラットフォーム全体でこのアカウントを、直ちに対処する必要があるリスクとしてタグ付けします。

図:Admin6侵害されたとフラグが付けられたアカウント


ユーザー Admin6 のアカウントが「潜在的に侵害された」としてフラグが立てられるとすぐに、Sysdigは攻撃者を抑制し阻止するための修復戦略を推奨します。戦略のリストには、単純なパスワードリセットから侵害されたユーザーの削除までが含まれます。具体的には以下のような対策があります。

  • 制限ポリシーの追加 – 指定された IP 範囲外のすべての AWS アクションを拒否する
  • ユーザーを非アクティブ化 – 設定と履歴を失うことなくユーザーのアクセスを無効にします
  • ユーザーの削除 – ユーザーのアカウントとAWSリソースへのすべての関連アクセスを削除します
  • パスワードの強制リセット – ユーザーがパスワードを更新したことを確認する
  • アクセスキーを削除して新規作成する – 不正アクセスのリスクを軽減
図: 侵害を阻止するための修復戦略

侵害されたユーザーに対処したら、サイバー犯罪者がユーザーの認証情報をさらに悪用するのを防ぐために、さらなる措置を講じることができます。Cloud Identity Insights は、権限を減らすように最適化された推奨 IAM ポリシーを自動的に生成します。Sysdig は、侵害の可能性があるとフラグが付けられた後にのみ、ユーザーが使用したすべての権限を追跡し、それらを推奨ポリシーからデフォルトで除外して、脅威アクターがポリシーの最適化を汚染するのを阻止します。これにより、同じ種類の攻撃が再び発生するのを防ぎます。 

図: 最小許容ポリシーの最適化

侵害されたリスクのあるユーザーロールを評価する

Cloud Identity Insights には、Sysdig の Posture ビューからもアクセスできます。この Identity and Access Management ビューから、セキュリティ チームは侵害された ID をすばやくフィルタリングして、侵害の可能性がある ID を確認し、上記のワークフローにアクセスして迅速な調査と対応を行うことができます。

図: 侵害される可能性のあるユーザー アカウント

図:クリティカルリスクとしてフラグが立てられた Admin6 ユーザーアカウント

これらの分析情報は、Risksでも利用できます。Risksでは、ランタイム イベント、脆弱性、ポスチャー、ID、攻撃パスの分析と優先順位付けなど、 CNAPP (クラウド ネイティブ アプリケーション保護プラットフォーム) の重点領域全体のすべての調査結果が統合されます。リスクビューでは、侵害されたユーザーや侵害される可能性のあるユーザーを確認できるだけでなく、セキュリティポスチャーを強化するために優先順位を付ける必要がある危険なユーザーとロールも表示されます。 

セキュリティ チームは優先度の高いリスクを把握し、その洞察を活用して、絶えず変化するクラウド環境の中で、十分な情報に基づいた戦略的なセキュリティの決定を下すことができます。

図: Admin6Sysdig Secure で重大なリスクとして表示されます
図: 高リスクとしてフラグが付けられた AWS ユーザーロール
図: リソースの詳細を含むリスク所有権ステータス
図: CNAPP 全体のデータを統合した調査結果

Sysdig の Cloud Identity Insights は、アイデンティティ、クラウド、ワークロード全体にわたる攻撃の明確な状況を提供します。攻撃を未然に防ぎ、アイデンティティ攻撃対象領域を減らすためのコラボレーションを促進し、従来の検出および対応ツールよりも早くクラウド セキュリティの 555 ベンチマークを達成できるようにします。

今後開催されるデモ「Cloud Identity Insights: Stop Compromised Identities in Minutes」にご参加ください。このデモでは、 Sysdig が Cloud Identity Insights を活用して、攻撃を数分で検出、調査、対応する方法について技術的なデモンストレーションが行われます。