クラウドで可視性だけでは対応が遅れる理由
SOCおよびCSIRTアナリストは、このようなシナリオに非常によく直面しています:
AWSの環境でプロダクション ワークロードが侵害されているのが検出されます。アラートがマイナーながら厄介な、暗号マイニング活動のようなものかもしれません。または疑わしい横展開を伴う、もう少し型破りなものかもしれません。あるいは、公開されているアクセスキーが積極的に悪用されているような、さらに深刻なものかもしれません。
明らかに何か問題がありますが、その後どうなるのでしょうか?
通常、まず影響を受けたリソースを特定し、それがどこに存在するかを確立したいのです。次に、適切な権限を持つ人物を特定し、適切なチケットを開きます。
その後、待ちます。
彼らが応答し、あなたが状況の深刻さを説明します。最終的に誰かがログインして遮断を実行します。
楽観的なシナリオでも、高いパフォーマンスを発揮している組織でも、このプロセスは対応時間に遅延をもたらします。また、チーム間の摩擦をもたらし、誤解の機会をたくさんもたらします。
脅威アクターは、意味のある対応をマウントするのにより長い時間がかかることを気にしません。それは彼らが目標を達成するためにより多くの時間を与えるだけだからです。これらの制約は、セキュリティチームをインライン調査と対応を可能にするのではなく、監視とエスカレーションの姿勢に固定します。
Sysdigがインラインクラウドレスポンスでチームを加速
Sysdigのインラインクラウドレスポンスにより、アナリストはSysdigコンソールから直接AWS-ネイティブな遮断アクションを調査および実行でき、ツールを切り替えたり、事前に定義されたワークフローの追加アクセスハンドオフが必要ありません。
アナリストは、リソースオーナーを探したり、タイムゾーン遅延に対処したり、正しいIAMアクセスをスクランブルしたりすることなく、取り組んでいるワークフローに留まることができます。
同じインターフェース内から、次のことができます:
- AWS-ネイティブな調査アクションをトリガーします
- 侵害されたリソースを遮断します
- 事前に定義された修復ステップを実行します
- 対応ワークフローを自動化します
セキュリティチームにとって、この重要なシフトはシンプルながら影響的です:脅威を検出して調査している塹壕の中のチームが、今すぐ対応できます。
SysdigのAWSのためのクラウドレスポンスにより、ホストおよびKubernetesと同じ方法で、対応機能をクラウドセキュリティワークフローに直接統合できます。「これが私が特定した問題です」で止まるのではなく、Sysdigはチームが「私たちがそれを処理しました」にシームレスに移動するのを支援します。
アナリスト対応を加速し、ビジネスユニット全体の運用摩擦を除去
リソースを特定し、アクセスオーナーを見つけ、アクティブな脅威を遮断するためにチーム全体で調整するのは、簡単ではありません。最新のクラウド環境は広く、不均一で、常に変化しています。これらの変化は、多くの場合、チームがリソース全体で所有権を追跡できるより速く発生します。
対応が分散されており、時間が複雑な運用オーバーヘッドに費やされる場合、平均遮断時間(MTTC)などのメトリクスは劇的に増加します。一部のインシデントは、誤解のためだけに不要にエスカレートするかもしれません。結局のところ、チームは、明確な実行ガードレール内に留まりながら対応機動性を増加させることができる必要があります。
AWSのためのインラインクラウドレスポンスは、運用スクランブルを排除します。
検出が表示されると、処方的な対応アクションはアラートを調査するために使用しているのと同じコンソールであなたの指の先に、コンテキストを維持し、ワークフローを統合しています。
対応アナリストとして、AWSコンソールに切り替えて、どのアカウントがリソースを所有しているかを手動で確認する必要はありません。あなたの標準的な運用手順によって、あなたはプラットフォームチームにエスカレートする必要さえないかもしれません、大量のチケットを開く必要から自分自身を救い。このパスは検出から遮断まで1つのツールであなたを保ちますので、調査フローに留まることができます。
SOCエンジニアまたはCSIRTチームの一部である場合、あなたの仕事はすでに複雑で、厳しく規制されています。あなたは、アラート、絶え間ないエスカレーション、誤検知、アクティブなインシデント、そして その後の必然的なポストインシデント分析ドキュメントをジャグリングしています。毎日、あなたは鋭い焦点を持つこと、急速にコンテキストを切り替えること、そして圧力下で正確な決定を下すことが期待されています。
疑わしい活動を調査しているときに最後に必要なのは、リソースオーナーを追跡したり、複数のコンソールをナビゲートしたり、誰か他の人がアクションを起こすのを待つなどの追加の運用プロセス摩擦です。特に、検出が実際の脅威を表しているかどうか、それとも単に無害な行動による誤検知かどうかを判断しようとしている場合。
AWSでのSOCおよびCSIRT調査ワークフローの改善
AWSのためのインラインクラウドレスポンスは、チームが運用手順を飛び越えずに掘り下げることを可能にすることで、アナリストの調査を大幅に高速化します。Sysdig Secureワークフローを活用して、影響を受けたリソースの周辺の重要なコンテキストを探索し、関連する疑わしい活動を検証または除外し、誤検知を実際の脅威から簡単に除外することができます。
行動が悪意のあるものであると確認されると、同じワークフロー内から標準的な運用手順(SOP)内で外科的な対応アクションを開始することができます。したがって、ルーチン遮断のための時間に敏感なエスカレーションを開始する代わりに、調査を通してそれを見るための制御を保持します。
調査例:疑わしいAWS API列挙
新しい脅威「ユーザーevil-paoloによる疑わしいAPI活動」がSysdigの脅威コンソールに表示されます。脅威サマリーは、ユーザーevil-paoloがDescribeInstanceAttributeおよびGet User Dataの複数の呼び出しを含む、広範なAPI活動に従事していることを示しています。これらは単純なリソース管理である可能性がありますが、IPアドレスとSuspicious Simulate Principal Policy の検出をListClustersおよびListTasksのような列挙活動と組み合わせると、これは実際には脅威アクターがAWSリソースを発見しようとしているのかもしれないと疑います。
脅威について記録されたセキュリティイベントを見ると、このインスタンスで取られたアクションの量をすぐに理解し、これが悪意のある性質である方向にさらにスケールを傾けます。
活動の膨大な量のため、ハイライトを見て優先度信号を探します。ここでは、何が起こっているかを迅速に理解できます。この場合、これはSysdigポリシー「AWS行動分析」に基づいた高深刻度の検出です。このステートフル検出は、userDataのDescribelnstanceAttributeAPI呼び出しの高い数に対して発火されたルールを示します。ハイライトは、誰が疑わしく行動しているか、どこでそうしているか、そして行動量のタイムラインと説明も示しています。
このシナリオでは、evil-paoloのクラウドログを取得します。特にイベントの15分前です。これらのログにより、検出に先立つ15分間に何が起こったかを再構築し、イベントのタイムラインを構築し、インシデントをスコープし、evil-paolo がアクセスをどのように取得したかを明かすことができます。
次に、ログが引き出されたことを検証して文書化し、検出に至ったイベントシリーズの分析を開始します。
これらの行動が悪意のあるものである可能性が非常に高いことを理解して、我々はまたevil-paoloを隔離するこの機会を利用するつもりです。
わずか数クリックで、IAM隔離を活用してevil-Paoloをうまく隔離し、さらなるアクションと潜在的な損害を防止しました。
インラインクラウドレスポンスアクションによるMTTC短縮
悪意のある脅威が検証されると、合意されたプレイブック内での対応を加速させることができます。これにより、セキュアコンソールから脅威をインラインで積極的に遮断するアクションを実行でき、遅延をバイパスし、対応遅延を減少させ、AWSコンソールアクセスを持つ誰かがアクションを起こすのを待つことに伴う責任を回避します。
遮断例:公開S3バケット公開
誰かが危険な公開向けS3バケットを作成したというアラートが来ます。
上記のSysdig Sageによって自動生成された脅威サマリーを見ると、公開S3バケットが作成され、公開アクセスブロックが削除されたことが分かります。このアクション、その名前に加えて、セキュリティベストプラクティスの深刻な怠けまたは潜在的な脅威シナリオのいずれかを示唆しています。最悪のシナリオでは、これは本質的に悪い行為者があなたの組織からデータを流出させることができるブリッジを作成していることができることを知っています。
より深く掘り下げて、イベントを開いて、取られたアクションを確認し、何が起こったかを完全に理解します。
ハイライトの下で、バケットnot-suspicious-not-for-exfiltrating-your-data はAWSReservedSSO_administrator_c5ef97f9a91c4597 によってeu-central 1リージョンで公開されました。後でそのアイデンティティを掘り下げて、彼らが何をしているかを見ることができます。
また、調査に役立つAWS環境内のクラウドのどれが影響を受けるかを理解することができます。
現在のワークフロー内で、対応アクションに簡単にピボットできます。これらのアクションは現在のSOPs内にあり、脅威に対応するときに決定的なアクションを実行できます。オプションを見ると、EBSボリュームスナップショットやフェッチクラウドログのような調査アクションを実行できます。また、ユーザーまたはロールの隔離や公開アクセスの削除などの破壊的なアクションで実行することもできます。
現在の状況の重大さに基づいて、このインスタンスではバケット not-suspicious-not-for-exfiltrating-your-dataを私有に即座に変換することを選択しました。ブリッジを閉じる時間です、以前に公開向けのリソースを通じてデータ流出の可能性をブロックすることで効果的に。
変換後、バケットnot-suspicious-not-for-exfiltrating-your-dataをリソースのステータスを文書化するために検証する必要があります。
攻撃を停止した後、自動化をブロックして将来この方法を使用して攻撃を停止するループを閉じる時間です。このシナリオでは、このビヘイビアに対する自動応答アクションを備えた自動化を使用しており、特にクラウドプロバイダー、アカウントID、およびユーザーのものです。これらの基準が満たされた場合、オートメーションはアクションを自動的にブロックし、公開アクセスを削除します。
ビジネスインパクト:より速い遮断とクラウドリスク公開の削減
これまでのところ、主にSysdigインラインレスポンスがアナリストワークフローをどのようにストリームラインするかに焦点を当ててきましたが、現実はセキュリティ組織全体に影響を与え、組織的なリスクを大幅に削減できることです。クラウド環境では、攻撃が数分で展開し、権限エスカレーションが即座に発生することができる場合、検出と遮断の間の遅延は爆発半径と潜在的なビジネスインパクトを直接増加させます。
SysdigはSOCおよびCSIRTチームが同じインターフェースからAWS-ネイティブな対応アクションを調査および実行できるようにすることで、MTTC削減し、所有権あいまい性を最小化し、不要なエスカレーションループを削減します。セキュリティリーダーにとって、これはインシデント対応メトリクス、削減された露出、およびより権限のあるセキュリティチームが承認されたガードレール内で動作していることの測定可能な改善に変換されます。これらすべてはさらに、チームが承認された対応アクションに追加のコンソール切り替えなしで決定的に行動できることを意味します。
結論:観察から行動へ
クラウドでは、可視性だけでは十分ではありません。セキュリティチームは、摩擦、遅延、またはツール切り替えなしで検出から調査、遮断への移動能力を必要とします。SysdigクラウドレスポンスはTraditional observe-and-escalateモデルをアクティブで、インラインワークフローに変換します。ここで、脅威に最も近いアナリストは即座に行動できます。
AWS-ネイティブな調査および遮断機能を検出体験に直接埋め込むことで、Sysdigはチームが対応時間を削減し、運用ボトルネックを排除し、プロセスオーバーヘッドの管理の代わりに脅威の停止に焦点を当てることができるようにします。マルウェア、IAM悪用、およびランタイム攻撃は速く動き続けます。あなたの対応はより速く移動する必要があります。
翻訳元: https://www.sysdig.com/blog/inline-cloud-response-accelerating-aws-threat-containment-for-soc-teams
