皆様こんにちは!  あっという間に11月になって今年も後2ヶ月で終わりですね。それにしても暖かい。。。秋はいつ来るのでしょうか。

この記事ではOrca SecurityのInventoryの活用シーンについて触れます。

SOCアナリストに取って、アラートが、これから起こりうる可能性のある脅威に対する警告であっても、既に起こってしまったインシデントであっても、アラートの確認は全ての業務の出発点になりますね。例として、EC2インスタンスのOSがEOLになっているといった趣旨のアラートを見てみます。

SOCアナリストがこのようなアラートを受信した際、このアラートが、重大なインシデントに繋がると思われるIoC(Indicator of Compromise)なのか、もしくは他の何かなのかを正確に判断するために、いくつかの情報が必要かと思います。"Ubuntuのバージョンが古い"だけでは何も判断できませんね。

• このEC2インスタンスはどんな業務で誰が利用していますか?

• どんな情報を外部に公開していますか?

• UbuntuのEOL以外に他に問題はありませんか?

• PII他、機密情報は保管されていますか?

Orca SecurityのInventoryではこれらの質問に対する答えを1つのViewで完結に提供することができます。SOCアナリストの皆様は、複数のセキュリティツールを駆使してこれらの質問の答えを探す必要はありません。

External Exposureでは、攻撃者がどんな経路でこのEC2インスタンスにアクセスできて、このEC2インスタンスを経由して他のどの資産に到達できてしまうか、視覚的に確認することが可能です。これは、Orca SecurityがこのEC2インスタンスにアタッチされているSecurity GroupやVPC/Subnetの構成を理解しているからなせることです。

EC2インスタンスにインストールされているSoftwareパッケージの情報を詳細に見てみます。Jenkinsのバージョン2.73は古いパッケージで、脆弱性も多く含まれているようです。JenkinsはCI/CDツールにつき、全てのSoftware機能のパッケージングや配備に関わる重要なコンポーネントです。常に最新の状態にしておくことで、Softwareサプライチェーン攻撃による被害を最小化できるはずですね。

EC2インスタンスに他にどんなアラートが発生していて、それらがどんな内容なのか確認することが可能です。下の例では、Malwareと不正なコマンド実行のアラートが確認されています。インサイダーも含む、何らかの不正行為が試行されている可能性があります。

不正コマンドの試行をより詳細に見てみましょう。下の例では、SSHの鍵に対してchmod 777で実行権限を付与しています。あやしいですね。

他のどんな資産に到達されてしまう可能性があるか、より詳細に見てみます。グラフを見てみると、NginxやDevのインスタンスに不正に到達されてしまう可能性があることが判ります。危ないです。

皆様のCloud環境をOrca SecurityでスキャンしてCloudのリスクを明らかにしませんか? 30日間無償でお手伝い致します。

https://orca.security/lp/cloud-security-risk-assessment/