現時点では、Log4J JNDIの脆弱性を知らないセキュリティ関係者はいないだろう。この脆弱性は業界を騒然とさせ、少なからぬ休日の計画を台無しにした。その中核となるLog4Jはインジェクション脆弱性であり、攻撃者はリモートコード実行によってシステムを悪用することができる。パブリッククラウドの領域(特にAWS)では、これは攻撃者が環境変数に格納された秘密を引き出すという形で現れる可能性がある。静的に保存された秘密に加えて、Vectra セキュリティ・リサーチ・チームは最近、Log4jインジェクション脆弱性を使用して、AWSの最大の攻撃対象であるEC2インスタンスから一時的な認証情報を抽出する方法を強調しました。
今までに、あなたは、パッチのインストールから認証情報のローテーションまで、関連する侵害の爆発半径を制限するために、Log4jの脆弱性に対して組織を保護する方法を議論する多くの記事を見つけることができます。しかし、修復のためにこれらの手段に依存するだけでは、いくつかの課題があることを理解することが重要です。以下を含む:
- すべてのシステムが迅速にパッチを適用できるわけではなく、その結果、脆弱性が露呈する可能性がある。パッチの適用には時間がかかり、多くの場合、IT部門がコントロールできないベンダーやサービスプロバイダーに依存することになる。
- 次があるだろう。Log4Jの悪用は、私たちが遭遇する最後のものにはならないだろう。単に爆発半径の制限に頼っているだけでは、攻撃者が機密資産に侵入して大混乱を引き起こすには、環境内で時間がかかりすぎる。
- いったん攻撃者が侵入してしまえば、最初に侵害されたポイントにパッチを当てても、あまり役に立ちません。攻撃者は、さまざまな認証情報を引き出し、マシンを経由して進入し、サーバー、コンテナ、サーバーレスコードを通じてコマンド&コントロール・チャネルを確立し、組織の資産、サービス、データに悪影響を及ぼし、ビジネスの中断や機密データの損失につながる可能性がある。
パッチや侵害後の復旧に過度に依存するあまり、SOCは常にその日のエクスプロイトに追いつくための対応に追われている。パッチの適用に加えて必要なのは、一度侵入した攻撃者の進行を迅速に検知し、次の攻撃がどのようなものであっても弾力的な防御を提供する能力である。
クラウド、攻撃の進行を検知するのは難しい問題だ。
エンティティの行動を追跡し、クラウド環境に加えられた変更を特定することは、リアルタイムで実行することが非常に困難です。さらに、認証情報を持つ一般ユーザーと、同じ侵害された認証情報を使用する悪意のある攻撃者との違いを見分けることは、ほぼ不可能な場合があります。
Vectra Detect for AWSがあなたをカバーします。
検知for AWSは、セキュリティ主導のAIを使用して、AWSコントロールプレーンにおける攻撃者の行動を検知 。例えば、EC2インスタンスのクレデンシャルがAWS IPスペースの外で使用されると、Vectra 「AWS Suspicious Credential Usage(AWS疑わしいクレデンシャル使用)」を発する。これにより、(Log4Jを使用したリモートコード実行によって)盗まれた認証情報がリソースへのアクセスに使用されていることを容易に特定できる。境界検知 、クラウドのキルチェーン全体で悪意のある攻撃者の行動(発見、横移動、流出)を迅速に特定するために、リージョン間でアカウントとサービスを継続的に監視する。攻撃者が取る可能性のある攻撃経路の例を以下に示します:
- 検知 ラムダハイジャックの発生を特定し、ハイライトします。
- 検知 、管理者権限の付与に関連する動作を特定し、新しいユーザー・プロファイルの作成を監視する。永続性を維持するための新しいユーザー・プロファイルの作成を含む、さまざまな権限昇格テクニック。
- 監視されていないリージョンでAWSリソースをスピンアップし、リソースを一般に公開する。検知 、以前は使用されていなかったリージョンでのアクティビティを示すアラートをトリガーし、リソースが外部に公開されているインスタンスに注意を喚起する。
検知 、リソースの変更から特権昇格の試み、データストアからの流出まで、死角のないカバレッジを保証します。Vectraのセキュリティ主導型AIを使用することで、検知 は、想定される役割の連鎖を通じて行動した場合でも、すべての行動を本人に帰属させ、その行動ひいては本人が悪意があるとみなされるべきかどうかを判断します。これは、SOCアナリストが侵害されたプリンシパルを特定するために時間を浪費する必要がないことを意味します。
さらに、Instant Investigations 機能を使用することで、検知 は、不審なアクティビティが発生した前後にハイライトされたプリンシパルによって実行されたアクションに関する重要なコンテキストを提供します。これには、他の貴重な洞察の中でも、使用されたサービス、引き受けた役割の履歴、プリンシパルが活動していた地域が含まれます。信じられないかもしれませんが、従来は何時間もかかっていたこの情報が、Instant Investigationsを使用することで、ボタンをクリックするだけで入手できるようになりました!
クラウドフットプリントが指数関数的に増加するにつれて、攻撃者は、クラウド環境に侵入し、永続性を確立するためのバックドアを作成するために、たった一つの隙を必要とする。Log4Jは、攻撃者がクラウドのフットプリントを侵害するために悪用する幅広い脆弱性の中で、最初ではなく、そして確実に最後でもない。最新のDevOpsパイプラインでは、インフラは非常に複雑で、常に流動的である。スピードと俊敏性が増すにつれて、セキュリティ問題を引き起こすリスクも増大する。このような攻撃ベクトルを早期に特定することは、リスクを軽減し、賢明なレスポンス 戦略を促進する上で極めて重要である。クラウドの導入がかつてないペースで増加している今日の世界では、SOCに適切なツールを装備することの重要性はいくら強調してもしすぎることはなく、検知 はSOCの武器として強力な追加となる。わくわくしませんか? 検知 、無料トライアルにお申し込みください。