ブログ

ファイル整合性監視:コンテナ内の疑わしいファイルアクティビティの検出

ファイル整合性監視:コンテナ内の疑わしいファイルアクティビティの検出

本文の内容は、2020年6月30日にPawan Shankarが投稿したブログ(https://sysdig.com/blog/file-integrity-monitoring/)を元に日本語に翻訳・再構成した内容となっております。

このブログでは、コンテナ内の不審なファイルアクティビティを調査し、ファイル整合性監視( file integrity monitoring : FIM)ワークフローを効果的に実装する方法を紹介します。また、コンテナとLinuxホストの両方にFIMを実装するのにSysdig Secureがどのように役立つかについても説明します。

ファイル整合性監視(FIM)とは何ですか?

ファイルの整合性監視により、機密性の高いファイルに関連するすべてのアクティビティを可視化できます。これは、アクティビティが悪意のある攻撃なのか、計画外の運用アクティビティなのかに関係なく、重要なシステムファイル、ディレクトリ、不正な変更の改ざんを検出するために使用されます。

コンテナのセキュリティでファイル整合性監視(FIM)が重要なのはなぜですか?

ファイルが改ざんされていないかどうかを知ることは、インフラストラクチャーを安全に保つために重要であり、攻撃をできるだけ早く検出し、後で調査するのに役立ちます。

コンプライアンス:FIMは、PCI-DSSNIST、SOC2、HIPAAなどの多くのコンテナコンプライアンス規制標準、およびCISベンチマークなどのセキュリティのベストプラクティスフレームワークを満たすための中心的な要件です。

インシデント対応とフォレンジックの場合:不正なイベントが発生した場合、機密ファイルがどのように変更されたか、誰がそれらの変更を行ったかを説明する完全な監査証跡が必要になります。コンテナの52%が5分以下しか存続しないことを考えると、これは非常に困難な取り組みと言えます。

攻撃シナリオ:マルウェアをファイルディレクトリにコピーする

例を使用して、ファイルの整合性監視の動作を見てみましょう。

ハッカーがマルウェアをコンテナ内の機密ファイルにコピーする攻撃を行います。次に、堅牢なFIMソリューションがこの攻撃を取り巻くすべてのアクティビティを検出および分析し、効果的に対応する方法を説明します。

20200701-01.png

ハッカーがコンテナ(VMまたはベアメタルホストの場合もあります)にアクセスし、マルウェアを/usr/binディレクトリにコピーし始めたとします。

20200701-02.gif

コンテナ内のファイルパスの変更または変更の試みは、侵害の兆候です。

ランタイム時にホスト/コンテナを監視している場合は、この疑わしいアクティビティが警告されます。

20200701-03.png

疑わしいファイル変更ルールがすぐにトリガーされ、cpマルウェア/user/bin/dpkgコマンドが実行されました。

このファイルの変更を取り巻くアクティビティをさらに詳しく見ていきましょう。この攻撃は、JohnDoeという名前のユーザーによって実行され、ポッドにkube-execを実行して、機密性の高いJavaアプリケーションネームスペースの一部であるディレクトリにマルウェアをコピーしました。

20200701-04.png

kube-execセッション、作成された接続、および特定のファイル属性(ファイル名、ディレクトリ、コマンド、権限)で監査証跡をフィルタリングします。

特にコンテナは一時的なものであるため、Kubernetes内で何が起こっているかをいつでも詳細に知ることは困難です。しかし、この監査証跡は、ファイルがどのように改ざんされ、誰が変更を行ったかを、すべてクラウド環境とKubernetes環境のコンテキスト内で、そしてコンテナがなくなった後でも正確に示しています。

ホストとコンテナのFIMのベストプラクティス

20200701-05.png

ファイルの完全性の監視は、コンテナのライフサイクル全体にわたって取り組む必要があります。 コンテナ環境とKubernetes環境に実装できる4つのベストプラクティスについて説明します。

1. FIMチェックをイメージスキャンポリシーに焼き付ける

特定のファイル属性をスキャンして、CI/CDパイプライン内のイメージスキャンポリシーの一部として埋め込みます。これにより、FIMポリシーが満たされない場合、セキュリティをシフトレフトさせ、ビルドを早期に失敗させることができます。

次のようなファイル属性を特定することから始めます。

  • ファイルが存在するか欠落していないかを確認し、状態に基づいてアラートをトリガーします。
  • SHA256ハッシュに対して特定のファイルを検証します。コンテナ内の1つまたは複数のバイナリーのSHA256をすでに知っています。実行可能ファイルへの変更は疑わしく、潜在的に危険です。
  • ファイルの権限を検証します。たとえば、ファイルに予期しない実行可能ビットがある場合は、警告としてフラグを立てる必要があります。
  • 正規表現に基づいてファイル名を確認します。
  • 内容を検査し、公開されたパスワード、資格情報の漏洩などを探します。
20200701-06.png

Sysdig Secureは、デフォルトのコンテナーイメージスキャンポリシーとユーザー定義ポリシーを提供します。

2.ファイルシステムの変更を監視するランタイムポリシーを作成する

ランタイム時にファイルシステムへの疑わしい変更を警告する検出ポリシーを実装します。これらは、強力なセキュリティ体制を実施するためのルールとして含める必要がある一般的なファイル整合性監視チェックです。

  • ファイルまたはディレクトリの作成または削除
  • ファイルまたはディレクトリの名前を変更します
  • 権限、所有権、継承などのファイルまたはディレクトリのセキュリティ設定の変更
  • コンテナにおけるファイルへの変更
  • コンテナのパスの下にあるファイルの変更
  • bash履歴の削除
20200701-07.png

Sysdig Secureのルールライブラリのファイルシステムポリシー。これにより、FIMポリシーをすばやく簡単に実装できます。

3.自動化したレスポンスメカニズムを実装する

ファイル改ざんイベントの場合は、次のような修復レスポンスを自動化させます。

  • Slack、SNS、JIRA、電子メール、PagerDutyなどを介して違反が発生したときに通知
  • コンテナを一時停止して隔離
  • コンテナをkillして攻撃を止める
20200701-08.png

Sysdig Secureは、アラートツールへの通知を自動的に修正およびトリガーできます。

4.包括的なフォレンジックデータがあることを確認します

通常、攻撃者は従来のセキュリティおよびフォレンジックツールを回避することに成功した巧妙な戦術を使用します。これに対処するために、コンテナー/ Kubernetesメタデータで強化された低レベルのsyscallデータを収集すると、だまされない単一の真の情報源が得られます。

オープンソースのSysdig Inspectを使用して、不審なファイルアクティビティの直前と直後に発生したすべてを分析します。

20200701-09.png

Sysdig Secureフォレンジック機能(Captures)は、攻撃前および攻撃後のコンテナアクティビティをすべて記録できます。これは、攻撃者がシステムファイルと構成でホストを改ざんした証拠です。

ファイルの整合性を監視するには、Sysdig Secureをお試しください

Sysdig Secureは、ホストとコンテナのFIMの実装を支援することで、セキュリティリスクの管理をサポートします。詳細については、https://sysdig.jp/にアクセスして、30日間の無料のSysdig Secureトライアルにサインアップしてください!

関連コンテンツ

ご質問・お問い合わせはこちら

top