Log4Jが最後のエクスプロイトになることはない。

2022年1月25日
Aakash Gupta
プロダクト・マネージャー、パブリッククラウドの検知とレスポンス
Log4Jが最後のエクスプロイトになることはない。

現時点では、Log4J JNDIの脆弱性を知らないセキュリティ関係者はいないだろう。この脆弱性は業界を騒然とさせ、少なからぬ休日の計画を台無しにした。その核心は、攻撃者がリモートコード実行によってシステムを悪用することを可能にするインジェクション脆弱性である。パブリッククラウド ドメイン(特にAWS)では、これは攻撃者が環境変数に格納された秘密を抽出することとして現れる可能性がある。静的に保存された秘密に加えて、Vectra のセキュリティ・リサーチ・チームは最近、Log4j インジェクション脆弱性を使用して、AWS の最大の攻撃対象である EC2 インスタンスから一時的な認証情報を抽出する方法を強調しました。

今までに、あなたは、パッチのインストールから認証情報のローテーションまで、関連する侵害の爆発半径を制限するために、Log4jの脆弱性に対して組織を保護する方法を議論する多くの記事を見つけることができます。しかし、修復のためにこれらの手段に依存するだけでは、いくつかの課題があることを理解することが重要です。以下を含む:

  • すべてのシステムが迅速にパッチを適用できるわけではなく、その結果、脆弱性が露呈する可能性がある。パッチの適用には時間がかかり、多くの場合、IT部門がコントロールできないベンダーやサービスプロバイダーに依存することになる。  
  • 次があるだろう。Log4Jの悪用は、私たちが遭遇する最後のものにはならないだろう。単に爆発半径の制限に頼っているだけでは、攻撃者が機密資産に侵入して大混乱を引き起こすには、環境内で時間がかかりすぎる。
  • いったん攻撃者が侵入してしまえば、最初に侵害されたポイントにパッチを当てても、あまり役に立ちません。攻撃者は、さまざまな認証情報を引き出し、マシンを経由して進入し、サーバー、コンテナ、サーバーレスコードを通じてコマンド&コントロール・チャネルを確立し、組織の資産、サービス、データに悪影響を及ぼし、ビジネスの中断や機密データの損失につながる可能性がある。

パッチや侵害後の復旧に過度に依存するあまり、SOCは常にその日のエクスプロイトに追いつくための対応に追われている。パッチの適用に加えて必要なのは、一度侵入した攻撃者の進行を迅速に検知し、次の攻撃がどのようなものであっても弾力的な防御を提供する能力である。

クラウド、攻撃の進行を検知するのは難しい問題だ。

エンティティの行動を追跡し、クラウド環境に加えられた変更を特定することは、リアルタイムで実行することが非常に困難です。さらに、認証情報を持つ一般ユーザーと、同じ侵害された認証情報を使用する悪意のある攻撃者との違いを見分けることは、ほぼ不可能な場合があります。  

Vectra Detect for AWSがあなたをカバーします。

Detect for AWSは、セキュリティ主導のAIを使用して、AWS Control Planeにおける攻撃者の行動を検知する。例えば、Vectra 、EC2インスタンスのクレデンシャルがAWS IPスペースの外で使用された場合、「AWS Suspicious Credential Usage」が発せられる。これにより、リソースへのアクセスに使用されている(Log4Jを使用したリモートコード実行から)盗まれたクレデンシャルの特定が容易になる。境界内では、Detectがリージョンをまたいでアカウントとサービスを継続的に監視し、クラウドキルチェーン(発見、横移動、流出)全体で悪意のある攻撃者の行動を迅速に特定する。攻撃者が取る可能性のある攻撃経路の例としては、以下が挙げられます:

  • 検知 ラムダハイジャックの発生を特定し、ハイライトします。
  • 検知 、管理者権限の付与に関連する動作を特定し、新しいユーザー・プロファイルの作成を監視する。永続性を維持するための新しいユーザー・プロファイルの作成を含む、さまざまな権限昇格テクニック。
  • 監視されていないリージョンでAWSリソースをスピンアップし、リソースを一般に公開する。検知 、以前は使用されていなかったリージョンでのアクティビティを示すアラートをトリガーし、リソースが外部に公開されているインスタンスに注意を喚起する。  

検知 、リソースの変更から特権昇格の試み、データストアからの流出まで、死角のないカバレッジを保証します。Vectraのセキュリティ主導型AIを使用することで、検知 は、想定される役割の連鎖を通じて行動した場合でも、すべての行動を本人に帰属させ、その行動ひいては本人が悪意があるとみなされるべきかどうかを判断します。これは、SOCアナリストが侵害されたプリンシパルを特定するために時間を浪費する必要がないことを意味します。  

さらに、Instant Investigations 機能を使用することで、検知 は、不審なアクティビティが発生した前後にハイライトされたプリンシパルによって実行されたアクションに関する重要なコンテキストを提供します。これには、他の貴重な洞察の中でも、使用されたサービス、引き受けた役割の履歴、プリンシパルが活動していた地域が含まれます。信じられないかもしれませんが、従来は何時間もかかっていたこの情報が、Instant Investigationsを使用することで、ボタンをクリックするだけで入手できるようになりました!

クラウドフットプリントが指数関数的に増加するにつれて、攻撃者は、クラウド環境に侵入し、永続性を確立するためのバックドアを作成するために、たった一つの隙を必要とする。Log4Jは、攻撃者がクラウドのフットプリントを侵害するために悪用する幅広い脆弱性の中で、最初ではなく、そして確実に最後でもない。最新のDevOpsパイプラインでは、インフラは非常に複雑で、常に流動的である。スピードと俊敏性が増すにつれて、セキュリティ問題を引き起こすリスクも増大する。このような攻撃ベクトルを早期に特定することは、リスクを軽減し、賢明なレスポンス 戦略を促進する上で極めて重要である。クラウドの導入がかつてないペースで増加している今日の世界では、SOCに適切なツールを装備することの重要性はいくら強調してもしすぎることはなく、検知 はSOCの武器として強力な追加となる。わくわくしませんか? 検知 、無料トライアルにお申し込みください。

よくあるご質問(FAQ)