皆様こんにちは! この記事ではセキュリティ警告の緊急度について触れます。

多くのお客様が複数のセキュリティツール(例/AV, Firewall, IDP, IPS)をクラウド環境で運用していて、それらのツールが日々大量のアラートを吐き出しているかと思います。

大量のアラートに対して全て同じ労力をかけることはできません。各々のアラートの文脈を理解することが大切ですね。

1. 最も緊急度が高く今すぐ対応すべきアラートは?

2. 重要だけど今すぐ対応する必要ではないアラートは?

3. それほど重要でも緊急でもないアラートは?

アラートを受けたら先ずはこれらの質問の答えを探ることが現実的かと思います。Orca SecurityのRisk Score(以下Orca Risk Scoe)は個々のアラートの前後の文脈を読んで上記の質問の答えを提示します。

Orca Risk Storeは5つのカテゴリから構成されています。

1. Critical(スコア9.0-10.0) - 最も緊急度の高いカテゴリで既に何らかの侵入が発生している可能性が極めて高いとされるカテゴリです。例えばMalwareや怪しい活動が検出されているケースが該当します。

2. High(スコア7.0-8.9) - 緊急度2番目のカテゴリです。明確な侵入まではいきませんが、侵入の危険性が高いとされるカテゴリです。例えばPIIを持ったS3バケットがインターネットに公開されているケースです。

3. Medium(スコア5.0-6.9) - 緊急度中程度のカテゴリです。例えばIAMユーザで管理者権限を持っているユーザが複数人いるケースです。

4. Low(スコア3.0-4.9) - 緊急度が低いカテゴリーです。例えばEBSで直近数週間Snapshotを取得していないVolumeが散見されるケースです。

5. Informational(スコア1.0-2.0) -  警告とは言えないただの情報です。

アラートは同一カテゴリであったとしても、前後の文脈によりスコアが変わります。例えばEC2インスタンス上にAWS Keyが発見されたアラートでも、前後の文脈(例/インターネット接続しているか否か)でスコアは異なります。

Orca Securityの調査結果では、約40%のお客様が大量のアラートに埋もれてしまっている緊急度の高いアラートを見過ごしてしまい、それが原因で大きなセキュリティインシデントを経験していることが判明しています。

アラートの前後の文脈を理解して冷静に対応すべきですね。

皆様のCloud環境をOrca SecurityでスキャンしてCloudのリスクを明らかにしませんか? 30日間無償でお手伝い致します。

https://orca.security/lp/cloud-security-risk-assessment/