Sysdig

SCSK株式会社

Runtime Insight

HOME 製品情報 Sysdig Secure Runtime Insight

「シフトレフト」、「シールドライト」を繋ぐSysdigのランタイムインサイト

シフトレフトセキュリティ
シフトレフトセキュリティは、セキュアな設計と公開前のテストを重視し、DevOpsと連携して本番環境前にセキュリティ問題を特定する手法です。

Sysdig Runtime Insight

シールドライトセキュリティ
運用プラクティス、セキュリティ監視、ランタイムセキュリティ機構を重視し、インシデント防止と検知、対応を図る手法です。 

シフトレフトセキュリティ戦略における課題

課題

  • 山積するセキュリティ課題に対する優先順位づけ
  • 既存のセキュリティツールでの対応だと時間がかかる
  • 既存ツールで多発する誤検知
Sysdig Runtime Insightがこれらの課題を解決

Sysdig Runtime Insightの特長

Runtime Insight

  • 実行環境で実際に起こっていることに関する「レンズ」を提供します。
    「監視カメラ」と「ドライブレコーダー」の役割を担い、侵入から攻撃完了まで10分も掛からない。高度化する脅威を検知します。
  • シフトレフトスキャニングにより検知される膨大な環境の問題を、リスク・エクスポージャーフィルターを使用することで効率的に対処可能な数に絞り込むことが可能です。

Runtime Insightの主な4つの特長

実行中
リスクの優先順位付けを行い、セキュリティプログラムの効果的な拡張を支援します。
アラートの適正化により誤検知や重大度の低い問題を追いかける負担を軽減
攻撃経路の分析
強化されたデータの可視化機能により、予防制御の一種として、環境構成のどこにギャップが存在するのかを特定することが可能となります。
リアルタイム検知
クラウド環境は常に変化しているため、データ収集や分析の遅延に対する許容度は極めて低くリアルタイム性が求められます。従来通りのポイントインタイム式の環境評価やスキャンでは不十分です。Runtime Insightでは継続的でリアルタイムな検知を可能とします。
エンドツーエンドの検知
ホストOS、コンテナ、クラウドサービス、サーバレス等で構成されるクラウド環境を、ドリフト制御・機械学習・Falco検知を組み合わせたエンドツーエンドの検知により進化する脅威から守ります。

Runtime Insightによる検知事例:SCARLETEEL攻撃(図表)

Runtime Insightによる検知事例:SCARLETEEL攻撃(手順)

Step1

攻撃者は、AWSクラウドアカウント内でホストされている自己管理Kubernetesクラスターのパブリック向けサービスを悪用して、初期アクセスを取得

Step2

攻撃者はPodへのアクセスを獲得し、マルウェアは実行中に2つの初期アクションを実行した。

  • 金銭を稼ぐためにクリプトマイナーを起動した。
  • Instance Metadata Service (IMDS) v1のワーカーの一時的なクレデンシャルを通じてクレデンシャルアクセスを取得し、クラスターロールのパーミッションを使用してワーカーに代わって情報を列挙し収集。過剰に付与されたパーミッションにより、攻撃者は以下を実行した。
    1. AWSリソースを列挙する。
    2. Lambdaの環境変数として設定され、Amazon Simple Storage Service(S3)バケットに平文でプッシュされた他のIDおよびアクセス管理(IAM)ユーザーの資格情報を発見
Step3

攻撃者は、前のステップで見つかった認証情報を使って、横方向に移動。攻撃者はAWS APIに直接コンタクトし、さらにアカウントを列挙し、情報収集とデータの持ち去りを進行した。このステップの間、攻撃者に以下の実行を許してしまった。

  1. CloudTrailのログを無効化し、検知を回避
  2. 独自なソフトウェアの窃取
  3. S3バケット内のTerraformステートファイルを発見することで、別のAWSアカウントに関連するIAMユーザーの資格情報の発見
Step4

攻撃者は新しい認証情報を使って再び横方向に移動し、見つけた別のAWSアカウントから攻撃とそのキルチェーンを繰り返し実行。幸いなことに、このケースでは、攻撃者が試みたAWS APIリクエストのすべてが権限不足のために失敗したため、リソースの列挙するまでには至らなかった。

Runtime Insightによる検知事例:SCARLETEEL攻撃(防御ポイント)

  1. リアルタイム監視SysdigのRuntime Insight機能を使用して、異常な挙動や不正アクセスをリアルタイム監視
  2. アラートと通知異常を検知した際に即座にアラートを受け取るための通知設定を行い、担当者の迅速な対応を促進。
  3. 異常検知ルールのカスタマイズSCARLETEELの特徴を踏まえたカスタムルールを作成し、特定の攻撃シグネチャを検知。
  4. 継続的な監査と改善定期的に監査を行い、Sysdigの設定やポリシーを見直し、最新の脅威情報に基づいて改善します。

Runtime Insightによる検知事例:SCARLETEEL攻撃(まとめ)

SCARLETEEL攻撃は 、開発初期の段階で脅威を検出する仕組みを組込む事が重要です。
SysdigのRuntime Insightによるリアルタイムな監視・脅威検知とIAM・ポスチャー管理機能とを組み合わせることで、防御を強化することが可能です。
ページトップへ