Risk Spotlightでノイズを排除し、本当に重要な脆弱性に優先順位付けする

By 清水孝郎 - APRIL 20, 2022

Topics: Sysdig機能, コンテナ、Kubernetes、ホストのセキュリティ

SHARE:

Eliminate noise Risk Spotlight

本文の内容は、2022年4月20日にDaniella Pontesが投稿したブログEliminate noise and prioritize the vulnerabilities that really matter with Risk Spotlight(https://sysdig.com/blog/eliminate-noise-prioritize-risk-spotlight-sysdig/）を元に日本語に翻訳・再構成した内容となっております。

あなたのチームは、コンテナ脆弱性のノイズに溺れ果てていませんか？どこにリソースを集中させるかを考えるのに多くの時間を費やし、それでも危険な脆弱性を見逃していませんか？そのような悩みを持つのはあなたは一人ではありません。

コンテナ環境は、今までにない高速化を可能にし、アプリ開発に革命をもたらしましたが、代償がないわけではありません。サードパーティやオープンソースにあるコードのコンテナイメージを利用することで、より高速なサイクルが可能になりましたが、同時にアプリケーションに脆弱性を持ち込むことも容易になりました。1つのコンテナには数百の脆弱性が存在し、より複雑なアプリケーション環境では数万に達する可能性があります。

コンテナの脆弱性過多が課題として大きくなっている

事態は一向に好転しません。2016年以降、毎年報告される新たな脆弱性は約3倍に増え、米国のサイバーセキュリティ当局CISAが報告したように、2021年のランサムウェア事件の初期感染経路のトップ3はソフトウェアの脆弱性であり続けているのです。そのため、侵害を防ぐためには、脆弱性をタイムリーに発見し、修正することが重要です。

コンテナにおける脆弱性の管理は、リスク、限られたリソース、開発への影響のバランスをとるという複雑な方程式になっています。すべてを修正することは非現実的であり、また不必要なことでもあります。すべての脆弱性がリスクになるわけではありませんが、待ちきれない脆弱性を見つけるのは、干し草の山から針を探すようなものです。

DevOpsとセキュリティチームは、長い脆弱性リストを開発者に渡すことが非生産的であることを知っています。しかし、アプリケーションを攻撃者にさらしたままにすることは、選択肢の一つではありません。どの脆弱性に対して早急な対応が必要かを特定するために、効果的な優先順位付けが必要です。

既存の優先順位付けのアプローチは効果的でない

CVSSスコアで定義される深刻度の側面に着目して、脆弱性の負荷を軽減しようとするのが一般的です。しかし、このアプローチには重大な欠点があります。まず、管理可能な規模にまで負荷を軽減することができません。重要度や深刻度の高い脆弱性をカウントするだけでも、その数はチームの処理能力を超えているため、さらなる優先順位付けが必要です。しかし、CVSSスコアが誤解を招く可能性があることを認識することも重要です。セキュリティリサーチャーのMiguel Hernándezが彼のブログでうまく説明しているように、高いスコアを持つ脆弱性は、アプリケーションに実際のリスクをもたらさないかもしれず、単なるノイズである可能性もあります。一方、中程度の脆弱性は、攻撃者にエントリーポイントを提供する可能性があり、それが広範囲かつ有害な影響に発展する可能性があります。したがって、CVSSスコアだけに基づく優先順位付けは、非効率的で効果がありません。

他の優先順位付けの方法は、追加のリスク要因を適用しようとしますが、実際のリスクをもたらさない脆弱性からノイズを除去できないため、同様に過負荷に対処できません。

Risk Spotlight は、ノイズを除去し、本当に重要な脆弱性を自動的に検出します

コンテナ環境で報告される脆弱性のほとんどは、実はノイズです。コンテナには、使われることのないパッケージが搭載されています。使われないのに、脆弱性が報告されているのです。

Exploitabilityは、リスクを決定する重要な要素です。脆弱性が暴露されなければ、脆弱性が悪用される可能性はなく、したがって実際のリスクは発生しません。実行時にアクティブでないパッケージの脆弱性は、単なるノイズに過ぎません。

では、どの脆弱性が暴露され、実際のリスクをもたらすかを知るにはどうすればよいのでしょうか。それは、ランタイムインテリジェンスを使用することです。

Risk Spotlightの優先順位付け

実行時に使用されるパッケージに関連する脆弱性だけが、悪用される本当のリスクとなる可能性があります。システムコールに対するSysdigの深い可視性は、ランタイムにロードされたパッケージの脆弱性を正確に特定することにより、コンテナの脆弱性の優先順位付けからすべての当て推量を排除します。

何が公開され、何が公開されないかを知ることで、Risk Spotlightはノイズと優先順位付けの当て推量を取り除き、チームは待つことができない本当に重要な問題に集中することができるのです。

Sysdigを使用することで、どの脆弱性が本当のリスクになるかを迅速かつ簡単に特定できることをご確認ください

本番環境で稼働しているコンテナ内の数百の脆弱性を列挙したレポートをDevOpsチームやセキュリティチームに送ることは、確かに生産的ではありません。ノイズを排除せずに優先順位をつけようとしても、悪用される可能性があるのはほんの一握りであるため、効果はありません。では、なぜリスクを伴わない脆弱性でチームに負担をかけるのでしょうか？

Risk Spotlight Sysdig 脆弱性

Risk Spotlight を使用すると、緊急のリスクをもたらす脆弱性に緩和策を集中させることができます。その他の脆弱性は優先順位を下げ、開発者は最小限のリソースで重要な問題を迅速に修正することができます。

Risk Spotlightによるノイズの削減

リスクスポットライトの主な利点

脆弱性のノイズを最大 95% 削減します。Risk Spotlight は、実行時に使用されないパッケージを特定することで、即時のリスクをもたらさない脆弱性からノイズを除去します。
実用的な洞察でリスクを管理します。Risk Spotlight は、複数のソースからの CVSS ベクトル、修正バージョン、一般に公開されているエクスプロイトへのリンクなど、豊富な脆弱性の詳細を提供し、パッケージ中心の表示により、大規模での修正と脆弱性リスク管理を容易にします。
コンテナのソースから実行までの包括的な脆弱性管理。Risk Spotlight は、ビルドからランタイムまで、コンテナのライフサイクル全体における脆弱性リスクの単一ビューを提供します。開発者は、実際のリスクとなる少数の脆弱性を緩和するために即座に行動を起こすことができ、また、ビルドプロセス中に未使用のパッケージを削除することで、セキュリティのベストプラクティスを早期に適用することができます。

もう、脆弱性を一行ずつスクロールしたり、問題の果てしないスプレッドシートからリスクを推定するのに苦労する必要はありません。Risk Spotlight を使用すると、重要な脆弱性を簡単に見つけ、集中し、修正することができます。

もっと詳しく知りたい方は、2023年1月23日に開催されるこちらのウェビナーに申し込むか、Sysdig Secure DevOps Platformの無料トライアルをご利用ください。

Container (CI/CD, registry scanning and runtime vulnerability reporting) and host scanning

Automate CI/CD pipeline and registry scanning without images leaving your environment. Block vulnerabilities pre-production and monitor for new CVEs at runtime for containers and hosts. Map critical vulnerabilities back to an application and dev team.

Identify Vulnerabilities Pre-Production and at Runtime

Image Scanning ImageVision

Automate image scanning within the CI/CD pipeline

Embed image scanning, aka docker security scanning, directly in your CI/CD pipeline of choice, including Jenkins, Bamboo, GitLab, CircleCI, GitHub Actions, Azure Pipelines, etc. Catch OS and non-OS vulnerabilities, misconfigurations, credential exposures, and bad security practices.

Leverage out-of-the-box Dockerfile best practices and compliance

Detect vulnerabilities and risky configurations with out-of-the-box Dockerfile best practices.

Set custom container scanning and registry scanning policies to detect mistakes and bad security practices early.

Meet regulatory standard frameworks for container compliance like NIST SP 800-190, PCI DSS and HIPAA.

Implement registry scanning

Compatible with any Docker v2 registry including Quay, Amazon ECR, DockerHub Private Registries, Google Container Registry, Artifact Registry, JFrog Artifactory, Microsoft ACR, SuSE Portus, and VMware Harbor.

Seamless integration in your own build environment

Maintain complete control of your images by adopting Sysdig’s inline scanning. Scan within your CI/CD pipeline, registry, or at runtime while only shipping the scan results back to Sysdig.

Scan serverless workloads

Automatically scan AWS Fargate containers directly in ECR. Scan serverless containers on Google Cloud Run via a GCR integration.

Implement container scanning
at runtime

Assess the risk impact of new CVEs quickly for hosts and by embedding image scanning (docker security scanning) at runtime. Continuously monitor for these vulnerabilities without rescanning images, map the vulnerabilities back to specific applications, and identify the team that needs to fix it.

Avoid unscanned images to be deployed

Using a Kubernetes admission controller, you can block unscanned or vulnerable images from being deployed onto the cluster.

Instantly scan for host vulnerabilities in seconds

Maximize compliance coverage for PCI, NIST, SOC2, etc. by meeting host scanning requirements. Reduce time to fix by assessing impact and ownership using rich cloud/k8s context.

“We want to ensure images are free of vulnerabilities and meet best practices before pushing to production.”
Global Travel company, Sysdig customer

Learn More

Start your free 30-day trial in minutes!

Complete access to all features and functions. No credit card required.