新たな脅威の出現スピードはとどまるところを知りません。優先順位付けは役立ちますが、実際に野放しの環境で何が悪用されているのかを、どうすれば迅速に見つけられるのでしょうか。
本記事では、クラウドセキュリティの領域で大きな注目を集めている、急速に拡大するKubernetesの脆弱性IngressNightmareを深掘りします。このゼロデイ脆弱性は、NGINX Ingress Controllerが広く利用されていることから、Kubernetes環境の推定40%に影響を与えました。このような重大度の高い状況では、セキュリティチームはパッチ適用だけでは不十分です。露出状況を迅速に特定し、侵害の兆候を調査し、自信を持って対応する必要があります。
Sysdig Threat Research Team
ゼロデイ脆弱性を検知できるようにするのは容易ではありません。未知のものを見つけ、分析し、検証するための豊富な経験、高度な手法、そして十分なリソースが必要です。だからこそ、Sysdig Threat Research Teamのような専任リソースが大きな差を生みます。IngressNightmareの脆弱性が明らかになると、Sysdigチームは直ちに、進行中の悪用をリアルタイムで特定できるランタイム検知ルールの開発に着手しました。このルールは即座にSysdigのManaged Runtime Threat Detectionポリシーに追加され、脆弱性が公開された当日、広範な悪用が始まる前に、Sysdig Secureの全顧客に対して環境全体で即時の保護を提供しました。
では、Sysdig Threat Research Teamが高精度な検知で迅速に対応できる“秘密兵器”とは何でしょうか。その鍵は、Sysdigのオープンソースのランタイムセキュリティエンジンであり、検知機能の基盤でもあるFalcoにあります。FalcoはLinuxカーネルに直接アクセスし、システムコールをリアルタイムで監視することで、柔軟で強力な検知ルールを迅速に作成できます。あらゆるコマンド、ファイルアクセス、ネットワーク接続、プロセスがリアルタイムで観測され、システム活動を深く可視化し、極めて高い精度で脅威を検知できるようにします。
IngressNightmareの脆弱性と、Sysdig Threat Research Teamがどのように対応したかをさらに詳しく知りたい方は、IngressNightmareの検知と緩和に関するブログ全文をご覧ください。
Sysdigによる脅威ハンティング
脆弱性、特に現在進行形で悪用されている脆弱性を特定するうえで、スピードは極めて重要です。このような新しい脆弱性が公開されたとき、自社環境に存在するかどうかをどのように確認しますか。さらに重要なのは、サイバーセキュリティのニュースを綿密に追っておらず、そもそもその脆弱性を探すべきだと気づけなかった場合はどうなるでしょうか。そこで役立つのが、Sysdigの新しいThreat Intelligence Feedsです。これらのフィードは、注目度の高い新興脅威に対する露出状況を迅速に評価するのに役立ちます。各エントリには、マルウェア、CVE、設定ミス、サプライチェーンリスクなど脅威の簡潔な要約と、環境が影響を受けているかどうかの洞察が含まれます。さらに、Graph Searchへの直接リンクも提供され、修復が必要となる可能性のある影響を受けたワークロード、パッケージ、ID、ホストを即座に調査できます。
IngressNightmareのような注目度の高い脆弱性に対して、Threat Intelligence Feedは重要な問いである「自分はリスクにさらされているのか?」に答えるのに役立ち、影響がない場合には不要なトリアージを避けつつ、対応の取り組みを効率的に集中させることができます。
Sysdig Graph Search
上記のSysdig Threat Feedから直接、事前に用意されたGraph Searchクエリをすばやく起動し、影響を受けたリソースを即座に深掘りできます。これにより、どのワークロード、パッケージ、またはホストがリスクにさらされているかを即時に可視化できます。
クエリが完了すると、影響を受けたKubernetesリソースそのものに焦点が当たります。リソースパネルを開くことで、重要なリスク指標を確認できます。このワークロードには複数の高深刻度の脆弱性があり、インターネットに公開されており、さらにランタイム脅威のトリガーも発生しています。これらの洞察は即座に提示され、何を最優先で対処すべきかの判断に役立ちます。
Sysdig Threat Management
SysdigのThreat Managementでは、このワークロードに対してわずか9時間前にトリガーされた、アクティブなランタイム検知が確認できます。脅威を深掘りすると、関連するランタイム活動の詳細ビューが得られ、攻撃チェーン全体が明確にマッピングされます。このコンテキストは、調査中の脆弱性がすでに自社環境で悪用されたかどうかを確認するうえで極めて重要です。
脅威のEventsセクションでは、インシデントに紐づくすべての検知イベントの詳細なタイムラインが提示されます。ここで、IngressNightmareのエクスプロイトが実行されたことが明確になり、攻撃者はリモートコード実行を獲得してワークロード上でシェルを開けるようになっていました。このレベルの可視性は、攻撃者の行動と影響範囲を理解するために不可欠です。
Sysdig Inline Response
自社環境がIngressNightmareに対して脆弱であり、かつ実際に悪用されていることが確認できた以上、迅速に行動することが重要です。修復に取り組む間は、封じ込めが最優先事項となります。
Sysdigは、プラットフォームに組み込まれた自動および手動の対応アクションにより、このプロセスを効率化します。脅威イベントからRespondセクションへ移動し、影響を受けたワークロードの隔離、不審なプロセスの強制終了、後のフォレンジック分析のためのファイル隔離など、適切な対応を選択して実行するだけです。
ここでは、影響を受けたコンテナを強制終了することを選択し、攻撃をその場で停止させます。このアクションにより、攻撃者が確立していた可能性のあるアクティブなプロセスやリモートセッションが直ちに終了します。クラスター全体への広範な影響を避けつつ脅威を封じ込める、迅速で決断的な方法です。コンテナを停止することで、さらなる調査を行い、確信を持って修復を開始するための時間を確保できます。
クラウドセキュリティに対するSysdigのコミットメント
Sysdigの強力で洗練されたプラットフォームにより、脅威ハンティングと脆弱性の修復はこれまでになく容易になりました。リアルタイム検知と、関係性を動的にマッピングするグラフデータベースを組み合わせることで、比類のない可視性とコンテキストを提供し、ワークロード、ホスト、IDをまたいでイベントを迅速に関連付けられます。直感的なワークフローにより、脅威の検知から影響を受けたリソースの深掘り、攻撃チェーン全体の理解までをシームレスに進められます。さらにSysdig Sageが、脆弱な各パッケージやベースイメージ更新に対してAI主導のガイダンスを自動生成し、複雑なセキュリティ作業を簡素化して、ギャップをより速く解消できるよう支援します。これらの機能が一体となり、脅威ハンティングと対応をより迅速に、より賢く、より効率的にし、チームが最も重要なこと――環境の保護――に集中できるようにします。
Sysdigがクラウド環境のセキュリティをどのように強化できるかをご確認ください。お客様に合わせたデモをリクエストして、当社ソリューションが貴社固有のニーズにどのように適合するかをぜひご確認ください。
翻訳元: https://www.sysdig.com/blog/threat-hunting-with-sysdig-uncovering-ingressnightmare
