Sysdigはランタイム行動分析を継続的に進化させています
SysdigはFalcoエージェントを強化し、時間の経過とともに関連するセキュリティイベントを相関付け、文脈化できるようにしました。この新機能はランタイム行動分析(runtime behavioral analytics)と呼ばれ、Sysdig Secureが過去と現在のシグナルを記憶して結び付け、マルチステージ攻撃を検知できるようにします。これは従来のルールベースのツールでは実現できないことです。その結果、ステートレスな単一イベント検知だけでなく、ステートフルな複数イベント分析に基づいてアナリストが作業できるようになります。
この検知の深さを基盤として、Runtime Behavioral Analyticsはワークロード、コンテナ、IDにまたがる不審なアクションの連続を追跡し、それらを統合された脅威としてフラグ付けします。Sysdig Behavioral Analyticsは、ランタイムデータから行動コンテキストを構築するSysdig Secureの機能です。要するに、これらの機能により、複数ステップの攻撃パターンの検知と、ランタイムポリシーイベントの生成が可能になります。
実例:ランタイム行動分析の仕組み
たとえば、あるユーザーがファイルをダウンロードしているとします。このプロセスだけでは、特にノイズの多い環境では、さほど問題視されないかもしれません。しかし、そのファイルが/tmp ディレクトリにダウンロードされ、短時間のうちに実行されている場合、これは非常に不審に見え始めます。Sysdigは、これらのステップを個別の振る舞いとして(あるいは別々のアナリストのサイロで)見るのではなく、それらをつなぎ合わせ、統合された脅威のストーリーとして提示します。
上記の例では、アナリストは次の理解を迅速に得られます:
このルールは、curlなどのインバウンドツールによるファイルの投下と、その後の /tmpロケーションでの実行を検知します。これは、潜在的に悪意のあるバイナリのダウンロードと実行が成功した試みを示している可能性があります。
なぜこの振る舞いはリスクが高いと見なされるのでしょうか。防御回避の目的で/tmpを使用すると、攻撃者は影に潜むことができます。結局のところ、 /tmpのファイルは他者によって削除されることがほとんどなく、攻撃者のタイムライン内での永続性を提供します。攻撃者は後でファイルを削除して痕跡を消すだけで済みます。これらの標準的なファイル種別は正当な活動に紛れ込みやすく、精査されにくいため、ステルス性が得られます。/tmpのファイルから、攻撃者はマルウェアやビットコインマイナーの実行、あるいはデータ持ち出しの開始など、目的に応じて実行できます。
行動分析は、Sysdig Threat management内で脅威を構成するために使用される追加の検知を追加します
このケースでは、この脅威を構成するイベントを見ると、重要なイベントが/tmpに投下されたバイナリであり、その場所から実行されていることが分かります。
イベントを展開すると、実行されたアクション、実行者、場所など、すべての詳細を確認でき、プロセスツリーを通じてさらに詳細も把握できます。
初期分析の後、適切であれば、チームはSysdig Secure内でシームレスにインラインの対応アクションをトリガーし、追加情報を収集したり、進行中の脅威を停止したりできます。
検知される実際のシナリオ
Sysdig Runtime Behavioral Analyticsは、従来のツールでは見逃されがちな高度な脅威を検知します。例としては次のようなものがあります:
段階的なMeterpreterリバースシェル
完全なシェルアクセスを開始する前に軽量なペイロードを段階的に展開する、エクスプロイトチェーンで使用されるバイナリを検知します。
動的リンカのハイジャック(LD_PRELOAD)
共有オブジェクトの作成に続いて、ステルスなコード注入に用いられる不審なLD_PRELOADの挙動を検知します。
PTRACEによるプロセスインジェクション
実行中プロセスの操作による悪意あるコード注入を特定します。これは一般に権限昇格と関連付けられます。
DNSによるデータ持ち出し
エンコード、圧縮、外向きDNSアクティビティを追跡します。これはステルスなデータ漏えいの危険信号であることが多いです。
ランタイム行動分析が重要な理由
すべてのイベントに対して都度発火するのではなく、時間の経過に伴う振る舞いを観測することで、Sysdig Runtime Behavioral Analyticsはリスクを低減し、複雑な脅威検知を強化し、複数ステップ攻撃の可視化のために点と点をつなぎます。イベント駆動の検知からコンテキスト駆動の分析へのこの転換により、セキュリティチームはより迅速に動け、見落としを減らし、より賢く調査できるようになります。そして、555 Benchmark(検知まで5秒、トリアージまで5分、対応まで5分)の達成に向けた道筋を示します。この555 Benchmarkへの加速は、平均対応時間(MTTR)の短縮につながります。ノイズの全体的な削減と運用効率の向上により、オーバーヘッドコストも低下します。
全体像
SysdigのRuntime Behavioral Analyticsは、複雑さと短命性が当たり前のクラウドネイティブ環境における検知能力を拡張します。Sysdig Behavioral Analyticsの継続的なイノベーションは、Sysdig Secureのランタイム検知と対応の中核を強化し、チームをノイズで溺れさせることなく、他者が見逃すものを捉えやすくします。
ノイズから意味のある検知へ。Sysdigは、正しい方法でランタイム検知と対応を提供します。
翻訳元: https://www.sysdig.com/blog/how-to-detect-multi-stage-attacks-with-runtime-behavioral-analytics
