Sysdig

Sysdigは、新たなラテラルムーブメントに対抗できるコンテナとクラウドにまたがる統合脅威検知機能を追加

2021

04月

02日

CSPM Falco Sysdig Platform Sysdig Secure コンテナ・セキュリティリバースシェル自動修復

Google Cloudとコンテナの継続的なセキュリティ

本文の内容は、2021年3月30日にSysdigがプレスリリースした内容(https://sysdig.com/press-releases/sysdig-adds-unified-threat-detection-across-containers-and-cloud-to-combat-new-lateral-movement/)を元に日本語に翻訳・再構成した内容となっております。

2021年3月30日

Sysdigは、Sysdig Secure DevOps Platformに継続的なCSPMを導入し、AWSとGCPに対応したマルチクラウドにおける脅威検知と、新規に永年無料のクラウド・セキュリティ・ティアを始めます。
サイバー攻撃の70%がラテラルムーブメントを利用しており、Sysdigはクラウドとコンテナにまたがる脅威を一意に検知して対応します。
Sysdigの脅威研究チームは、脅威の検知を統一することで、数百時間の時間短縮が可能であることを発見しました。

サンフランシスコ - 2021年3月30日 - Secure DevOpsのリーダーであるSysdig,Inc.は、本日、継続的なクラウド・セキュリティ・ポスチャー・マネジメント（CSPM）の提供開始に伴い、クラウドとコンテナのセキュリティを統一することを発表しました。Sysdigが実施した脅威に関する調査によると、クラウド、ワークロード、コンテナを一元的に把握することで、サイバーセキュリティ侵害の大半で使用されている一般的な手法であるラテラルムーブメント攻撃の検知と対応の両方の時間を短縮することができます。本日発表されたSysdigのクラウド・セキュリティ機能とコンテナ・セキュリティ機能を組み合わせることで、チームは攻撃の連鎖全体を特定し、脅威への対応を迅速に行うことができます。SysdigのCSPM機能は、無料で提供されており、1つのクラウド・アカウントに対して無期限に利用できます。

攻撃者はコンテナからクラウドへの容易な経路を利用している

MITREのフレームワークでは、サイバー攻撃の70％に横方向の移動が関与していると推定されています。この攻撃パターンは、悪質な行為者が複数のシステムやアカウントを経由して、目的のターゲットにアクセスするためにピボットする際に発生します。2019年に発生したCapital Oneの侵害に関与した攻撃者は、同様の移動パターンを利用していました。

典型的なラテラルムーブメント攻撃の例として、Sysdigの脅威研究チームは、コンテナ内のApacheの脆弱性を悪用することで、攻撃者がクラウド環境に密かに移動し、攻撃対象を拡大できることを発見しました。この例では、攻撃者はその後、マシン内で任意のコードを実行し、システム内でリバースシェルを開くことができます。特権を拡大した後、ポッドアクセスを利用して公開されているクラウドの認証情報を見つけ、最終的には広範なクラウド環境にアクセスできるようになります。この時点で、機密データを盗むことができるようになります。

クラウドとコンテナを組み合わせたセキュリティの威力

クラウドとコンテナの異なるセキュリティツールを使用すると、侵害を発見し、影響を受けたシステムを明らかにするために、ログを手作業で相関させる必要があります。Sysdigは、インシデントのタイムラインを統一し、リスクベースのインサイトを追加することで、クラウドとコンテナにまたがる脅威の検知にかかる時間を数週間から数時間に短縮します。クラウド開発チームは、攻撃者がどこからスタートし、環境内を移動する際の各ステップを正確に把握することができます。このようなクラウドにおけるラテラルムーブメント攻撃の手順については、「Breaking in through a vulnerable container」をご覧ください。

Sysdigの新機能、継続的なCSPM

Cloud CustodianをベースにしたAWS用のCloud Security Posture Management：Sysdigは、クラウド資産の発見、クラウド・サービスの姿勢評価、コンプライアンスの検証を追加しました。クラウドセキュリティチームは、すべてのクラウド・サービスを自動的に発見することで、セキュリティ・ポスチャーを管理することができます。また、設定ミスや、コンプライアンスや規制要件への違反にフラグを立てることもできます。これらの新機能は、クラウドインフラストラクチャーのセキュリティを確保するためのオープンソースツールであるCloud Custodianをベースにしています。
FalcoをベースにしたAWSとGCPのためのマルチクラウド脅威検知機能：Sysdigは、昨年に提供を開始した、AWS CloudTrailの統合に加えて、GCPの監査ログを介したクラウド脅威検知のサポートを追加しました。セキュリティチームは、定期的な設定チェックに頼ることなく、インフラ全体の不審な活動や設定変更を継続的に検出することができます。高度なスキルを持っている攻撃者は、露出した設定を利用してクラウドにアクセスし、内部に入ったらすぐに状態を元に戻して痕跡を隠す事ができます。静的なチェックでは、このような変更を見逃し、攻撃者に隙を与えたり、攻撃者が環境に侵入したことを示す指標を見落としたりする可能性があります。　
Sysdigは、Cloud Native Computing FoundationのデファクトのランタイムセキュリティプロジェクトであるオープンソースのFalcoを使用し、クラウドの監査ログを継続的に検査することでアラートを出しています。また、ユーザーのクラウドアカウント内で分析を行うため、機密データの保護やログのエクスポートにかかるコストを削減することができます。現在、CloudTrailには200以上のルールが用意されていますが、Sysdigとコミュニティが毎月20～50の新しいルールを提供することで、データベースは成長し続けています。
CSPM、コンプライアンス、コンテナランタイム、AWS CloudTrailイベントを含むすべてのSysdigのイベントは、AWS Security Hubに送信することができ、セキュリティチームが脅威に迅速に対応できるようになります。
クラウドリスクインサイト： Sysdigは、相互に接続されたクラウドやコンテナのセキュリティ・インシデントを、リスク・レベルに応じて優先順位をつけて、視覚的に把握できる機能を新たに追加しました。Sysdigはアラートのノイズを減らし、ハッカーがコンテナの脆弱性を悪用してクラウドにアクセスするところから、特権を昇格してKubernetesクラスター上で暗号化するなどの壊滅的なアクションを実行するところまで、クラウドの攻撃チェーン全体を瞬時に把握することができます。インシデントを深刻度に応じて分類することで、チームは何を最初に調査・対応すべきかの優先順位をつけることができます。チームは、ユーザーが実行した疑わしいアクティビティをすべて調査して、影響の範囲を確認し、インシデント対応活動を迅速に開始することができます。

クラウドセキュリティの無償提供

Sysdigは、1アカウントにおいて継続的なクラウド・セキュリティの仕組みを永年無料で提供します。簡単なオンボーディングを活用して、開発者は数分でクラウドポスチャーの管理を開始することができます。無料版では、CISのベンチマークに対する毎日のチェックと、継続的な脅威の検知が含まれており、クラウド環境が常に安全で、準拠され、強化された状態であることを確かにします。また、FargateおよびECRイメージのインラインスキャンも含まれており、月に250イメージまでスキャンすることができます。

クラウドセキュリティへのオープンスタンダードアプローチ

Sysdigは、セキュリティの未来はオープンであると考えています。オープンソースのセキュリティは、迅速な技術革新により、より優れたセキュリティを提供します。企業は、永続的に受け入れられる標準を採用していると確信することができます。この点を考慮して、SysdigはFalcoとCloud Custodianの上にCSPM機能を構築することを選択しました。Cloud Custodianのオープン・ソース・プロジェクトを選択した理由は、採用に強い勢いがあり、急速に成長しているルール・データベース、自動修復機能、マルチクラウドのサポートがあるからです。