本文の内容は、2022年4月20日にDaniella Pontesが投稿したブログEliminate noise and prioritize the vulnerabilities that really matter with Risk Spotlight(https://sysdig.com/blog/eliminate-noise-prioritize-risk-spotlight-sysdig/)を元に日本語に翻訳・再構成した内容となっております。
あなたのチームは、コンテナ脆弱性のノイズに溺れ果てていませんか?どこにリソースを集中させるかを考えるのに多くの時間を費やし、それでも危険な脆弱性を見逃していませんか?そのような悩みを持つのはあなたは一人ではありません。
コンテナ環境は、今までにない高速化を可能にし、アプリ開発に革命をもたらしましたが、代償がないわけではありません。サードパーティやオープンソースにあるコードのコンテナイメージを利用することで、より高速なサイクルが可能になりましたが、同時にアプリケーションに脆弱性を持ち込むことも容易になりました。1つのコンテナには数百の脆弱性が存在し、より複雑なアプリケーション環境では数万に達する可能性があります。
コンテナの脆弱性過多が課題として大きくなっている
事態は一向に好転しません。2016年以降、毎年報告される新たな脆弱性は約3倍に増え、米国のサイバーセキュリティ当局CISAが報告したように、2021年のランサムウェア事件の初期感染経路のトップ3はソフトウェアの脆弱性であり続けているのです。そのため、侵害を防ぐためには、脆弱性をタイムリーに発見し、修正することが重要です。コンテナにおける脆弱性の管理は、リスク、限られたリソース、開発への影響のバランスをとるという複雑な方程式になっています。すべてを修正することは非現実的であり、また不必要なことでもあります。すべての脆弱性がリスクになるわけではありませんが、待ちきれない脆弱性を見つけるのは、干し草の山から針を探すようなものです。
DevOpsとセキュリティチームは、長い脆弱性リストを開発者に渡すことが非生産的であることを知っています。しかし、アプリケーションを攻撃者にさらしたままにすることは、選択肢の一つではありません。どの脆弱性に対して早急な対応が必要かを特定するために、効果的な優先順位付けが必要です。
既存の優先順位付けのアプローチは効果的でない
CVSSスコアで定義される深刻度の側面に着目して、脆弱性の負荷を軽減しようとするのが一般的です。しかし、このアプローチには重大な欠点があります。まず、管理可能な規模にまで負荷を軽減することができません。重要度や深刻度の高い脆弱性をカウントするだけでも、その数はチームの処理能力を超えているため、さらなる優先順位付けが必要です。しかし、CVSSスコアが誤解を招く可能性があることを認識することも重要です。セキュリティリサーチャーのMiguel Hernándezが彼のブログでうまく説明しているように、高いスコアを持つ脆弱性は、アプリケーションに実際のリスクをもたらさないかもしれず、単なるノイズである可能性もあります。一方、中程度の脆弱性は、攻撃者にエントリーポイントを提供する可能性があり、それが広範囲かつ有害な影響に発展する可能性があります。したがって、CVSSスコアだけに基づく優先順位付けは、非効率的で効果がありません。他の優先順位付けの方法は、追加のリスク要因を適用しようとしますが、実際のリスクをもたらさない脆弱性からノイズを除去できないため、同様に過負荷に対処できません。
Risk Spotlight は、ノイズを除去し、本当に重要な脆弱性を自動的に検出します
コンテナ環境で報告される脆弱性のほとんどは、実はノイズです。コンテナには、使われることのないパッケージが搭載されています。使われないのに、脆弱性が報告されているのです。Exploitabilityは、リスクを決定する重要な要素です。脆弱性が暴露されなければ、脆弱性が悪用される可能性はなく、したがって実際のリスクは発生しません。実行時にアクティブでないパッケージの脆弱性は、単なるノイズに過ぎません。
では、どの脆弱性が暴露され、実際のリスクをもたらすかを知るにはどうすればよいのでしょうか。それは、ランタイムインテリジェンスを使用することです。
Risk Spotlightの優先順位付け
実行時に使用されるパッケージに関連する脆弱性だけが、悪用される本当のリスクとなる可能性があります。システムコールに対するSysdigの深い可視性は、ランタイムにロードされたパッケージの脆弱性を正確に特定することにより、コンテナの脆弱性の優先順位付けからすべての当て推量を排除します。
何が公開され、何が公開されないかを知ることで、Risk Spotlightはノイズと優先順位付けの当て推量を取り除き、チームは待つことができない本当に重要な問題に集中することができるのです。
Sysdigを使用することで、どの脆弱性が本当のリスクになるかを迅速かつ簡単に特定できることをご確認ください
本番環境で稼働しているコンテナ内の数百の脆弱性を列挙したレポートをDevOpsチームやセキュリティチームに送ることは、確かに生産的ではありません。ノイズを排除せずに優先順位をつけようとしても、悪用される可能性があるのはほんの一握りであるため、効果はありません。では、なぜリスクを伴わない脆弱性でチームに負担をかけるのでしょうか?Risk Spotlight Sysdig 脆弱性
Risk Spotlight を使用すると、緊急のリスクをもたらす脆弱性に緩和策を集中させることができます。その他の脆弱性は優先順位を下げ、開発者は最小限のリソースで重要な問題を迅速に修正することができます。
Risk Spotlightによるノイズの削減
リスクスポットライトの主な利点
- 脆弱性のノイズを最大 95% 削減します。Risk Spotlight は、実行時に使用されないパッケージを特定することで、即時のリスクをもたらさない脆弱性からノイズを除去します。
- 実用的な洞察でリスクを管理します。Risk Spotlight は、複数のソースからの CVSS ベクトル、修正バージョン、一般に公開されているエクスプロイトへのリンクなど、豊富な脆弱性の詳細を提供し、パッケージ中心の表示により、大規模での修正と脆弱性リスク管理を容易にします。
- コンテナのソースから実行までの包括的な脆弱性管理。Risk Spotlight は、ビルドからランタイムまで、コンテナのライフサイクル全体における脆弱性リスクの単一ビューを提供します。開発者は、実際のリスクとなる少数の脆弱性を緩和するために即座に行動を起こすことができ、また、ビルドプロセス中に未使用のパッケージを削除することで、セキュリティのベストプラクティスを早期に適用することができます。
もっと詳しく知りたい方は、2023年1月23日に開催されるこちらのウェビナーに申し込むか、Sysdig Secure DevOps Platformの無料トライアルをご利用ください。