本文の内容は、2022年1月19日にDaniella Pontesが投稿したブログ(https://sysdig.com/blog/sysdig-edr-container-kubernetes/)を元に日本語に翻訳・再構成した内容となっております。
Sysdig Secure、コンテナ環境での検知・対応を効率化するRapid Response機能を追加毎年報告されるデータ漏洩の件数が増加し、log4jなどの新たな重要な脆弱性が中小企業と大企業の両方に影響を与えていることは、サイバー脅威が現実に存在し、すべての人を標的にしていることを示しています。ランタイムセキュリティを導入し、インシデント対応計画を策定して攻撃を食い止めることで、リスクを最小限に抑えることができます。しかし、コンテナ環境では、インシデントへの迅速な対応は困難です。
クラウドネイティブの複雑さとエフェメラル性により、セキュリティチームはコンテナ内で調査を行い、不審な活動を検出する簡単な方法がありません。
既存のEDRソリューションは、ホスト用に設計されているため、これを解決できません。なぜなら、EDRはホスト用に設計されているため、コンテナを見ることができず、ホスト上で実行されているすべてのプロセスのリストを提示するだけだからです。どのプロセスが各コンテナに属しているかは、対応チームが判断しなければなりません。例えば、Kubernetesクラスター内の問題のあるコンテナを拡大して隔離することはできません。対策チームは、コンテキスト、データの証拠、緩和のためのコンテナへの迅速なアクセスがないまま、イベントアラートを受け取ることになります。
クラウドネイティブ環境やKubernetes環境での迅速な対応の必要性に応えるため、Sysdigはコンテナ用のEDR機能を備えた業界初のランタイム・セキュリティ・ソリューションであるRapid Responseをリリースしました。
クラウドネイティブ環境ではセキュリティインシデントのMTTRが増加している
セキュリティインシデントの平均応答時間(MTTR)が数日から数週間に及ぶことは、侵入者が環境に滞在する期間で考えると永遠のように聞こえます。しかし、残念ながら、コンテナの可視化ができず、増加するインシデントに対応するためのリソースが限られている多くの組織にとって、これは現実です。クラウドネイティブ環境でセキュリティイベントを調査したり、脅威を制御して根絶したりする人たちの生活は、決して楽なものではありません。
例えば、Kubernetesクラスター内の不審な活動がきっかけで発生したイベントを考えてみましょう。潜在的な攻撃を阻止するためにコンテナをKillする前に、多くの可視性とコンテキストが必要だと感じているがセキュリティチームの日々日常です。多くの場合、脅威を評価し、正しい緩和パスを決定し、行動するためには、実行中のプロセスをチェックし、ログファイルを調べ、メモリダンプを取得するなど、ローカルな調査を行う必要があります。コンテナやプロセスを早急に停止させると、アプリケーションの不必要なダウンタイムや劣化を引き起こす可能性があります。
セキュリティ対応チームには、必要な調査や修復を行うために本番コンテナにアクセスする自動化されたプロセスがないため、必要な対応が遅れてしまいます。
なぜ既存のEDRツールは役に立たないのか?
既存のEDRツールは、エフェメラルなインフラを扱うように設計されていないため、クラウドネイティブ環境では効果的ではありません。また、コンテナの可視性を提供しておらず、Kubernetesを理解していません。現在のEDRツールは、ホスト中心の設計となっています。そのため、対応チームには、コンテナのプロセス、ファイル、スコープ、ユーザーの活動を特定するために情報をつなぎ合わせるという、ラストマイルの問題が残されています。また、セキュリティインシデント対応者がメモリダンプを調べて深い調査を行う場合、分析の指針となるコンテナの境界線がありません。「何を」と「どのように」を整理している間に、MTTRは刻々と変化していきます。
何が必要なのか?
Kubernetesコンテナ環境でのリアルタイムな対応能力。イベントアラートから侵害されたコンテナに直接アクセスすることで、数日から数週間かかっていたMTTRを大幅に改善し、即座に対応することができます。この要求に応えるため、Sysdig SecureはRapid Response機能を追加しました。Rapid Responseは、クラウドのワークロードに最新のEDR機能を提供し、コンテナやホストへの直接シェルアクセスを可能にします。これにより、セキュリティチームは、インシデントの検出から直接対応することができます。余分なステップは必要なく、時間を無駄にしません。
他に重要なことは?
既存の業務へのシームレスな統合。スキルギャップは、組織内でセキュリティが遅れている最大の理由です。SOCエンジニア、ITオペレーション、開発者を含むレスポンスチームは、共有された共通の知識環境で運営され、協力する必要があります。Rapid Response機能は、追加の言語、コマンド、スクリプトのスキルを習得する必要がありません。対応チームは、独自の調査や修復スクリプトをRapid Responseに搭載できるほか、kubectl、dockerコマンド、クラウドCLIなど、すでにインストールされているホストツールを使用することもできます。習得の必要はなく、すぐに利用できるメリットがあります。
主なユースケース
私たちのお客様は、クラウド・ネイティブ環境でEDRツールを使用することに長い間不満を感じていました。ここでは、コンテナの脅威に対処する際にTier 1およびTier 2のレスポンダーが直面する既存の課題を解決する、主要なRapid Responseユースケースを紹介します:
ワンクリックでコンテナやホストに直接アクセスし、Sysdig Secure EDRを使ってローカルで調査やトラブルシューティングを行う。ユースケース: Tier 1のオンデマンド・シェル・アクセスによる不審なKubernetesコンテナの調査
コンテナやホストにワンクリックで直接アクセスし、ローカルで調査やトラブルシューティングを行う。Tier 1対応チームは、マルウェアファイルや不審なアクティビティを深く調査し、不審なファイルやマルウェアファイルがシステム内でアクティブになっているかどうかを確認し、CPUやメモリのデータを見てコンテナエスケープやファイルレス攻撃を検証することができます。
ユースケース:Tier 2の高度な分析と修復
クラウド環境全体の管理者としての役割を維持することなく、シェルインで迅速な緩和を実現します。Tier 2のレスポンダーは、プロセスの強制終了やファイルの削除などのきめ細かなアクションによる修復や、コンテナの停止などの迅速な封じ込めを行うことができます。
ユースケース:開発者とレスポンスチームの共同作業を可能にする
既存の開発、運用、セキュリティ修復プロセスとのシームレスな統合により、適切な封じ込め、緩和、マルウェアハイジーンアクションを適用できます。レスポンスチームは、クラウドチーム、セキュリティチーム、開発チームが使用しているのと同じクラウド、ホスト、コンテナのユーティリティを使用できます。
Sysdig Secureは、コンテナ向けEDR機能を備えた唯一のクラウド・セキュリティ・ソリューションです。クラウドネイティブ環境におけるインシデント対応の最新ソリューション – Sysdig Secure EDR
Sysdig Secureは、コンテナ用のEDR機能を備えた唯一のクラウド・セキュリティ・ソリューションです。
迅速なレスポンスにより、レスポンスチームは迅速なアラートのトリアージ、詳細な調査、脅威の即時修復を行うことができ、MTTR、リスク・エクスポージャー、攻撃の影響を大幅に削減します。log4jの脆弱性は、柔軟性と耐障害性の重要性を示しています。そのため、将来のセキュリティインシデントに備えて最適なツールを用意し、準備をしておくことが重要です。
Sysdig Secureを使って、検出から対策までがどれだけ早く簡単にできるかを確認してください。
無料トライアルに申し込む!
コンテナフォレンジック&インシデントレスポンスソリューションのページや、セキュリティリサーチチームによる脅威レポートのページをご覧ください。