ほぼ毎週、自動化ライブラリに新たなワークフローを追加しています。当社のプラットフォームとコパイロットは、セキュリティ運用における面倒な作業を自動化するのに役立っています。プラットフォーム間の統合には、従来、セキュリティ・エンジニアがアプリケーション・プログラミング・インターフェース(API)を使用してカスタム・コードを記述する必要がありました。
例えば、すべてのS3バケットをスキャンして、READとWRITEのパーミッションを探し、インシデントレスポンスのSlackチャンネルに通知を送信したい場合、多くのAPIコールを伴うPythonやBashのコードが必要になります。
しかし、Blink Opsのようなセキュリティ自動化プラットフォームを利用することで、この状況は劇的に変化した。簡単なプロンプトを書くだけで、自動化を環境に統合することができ、コパイロットが必要と思われるワークフローを構築する。あとは、いくつかのパラメータを入力し、認証情報を追加するだけだ。これにより、セキュリティ業務の担当者は、年間数百時間を節約することができます。
以下に、Blink Opsで自動化できる5つのインシデント対応/セキュリティ運用ワークフローを示します。これらの例から、Blink Opsの自動化によってどのように作業をスピードアップできるかをご理解いただけます。
1.AWSとWizによるサブドメイン乗っ取りの監視
サブドメインの乗っ取りは、DNSエントリーが存在しない、またはアクティブでないリソースを指し、攻撃者にドメインを乗っ取られることで発生します。これを手動で防ごうとすると、すべてのDNS設定が正しいかどうかを頻繁にチェックする必要がある。
Blink Opsを使えば、このプロセスを完全に自動化できる。AWS Route 53と連携して、Blink OpsはWizを使用して、もはや存在しないリソースを指す孤児化/ぶら下がったCNAMEレコードをスキャンします。問題が検出されると、Blink Opsは指定されたSlackチャンネルに設定ミスのDNSエントリーを説明するアラートを即座に送信します。
その後、Wizはそのレコードを隔離するか、改善措置を講じます。問題が見つからなかった場合は、すべてが安全である旨の通知が送信されます。この自動化により、サブドメイン乗っ取りリスクの検知と緩和が容易になります。
ステップ
1.DNSコンフィギュレーションのために、Blink OpsはAWS Route 53に接続する。
2.WizがDNSエントリーをチェックし、孤立したCNAMEレコードがないか確認する。
3.脆弱なレコードが見つかると、Blink OpsはSlackにアラートを送信する。
4.Wizはレコードを隔離するか、修正プログラムを適用する。
5.問題が見つからなかった場合、確認のメールが送信されます。
2.Slackアラートによる暴露されたS3バケットの監視
公開されたS3バケットは、どの組織にとっても重大なセキュリティリスクであり、毎日手動で追跡するのは面倒です。公開READ権限を持つS3バケットを毎日自動スキャンすることで、この問題に対処できる。
このワークフローはAWS S3と統合され、Blink Opsはパブリックアクセスにマークされた各バケットをスキャンすることができます。公開READアクセスのあるバケットを検出すると、Blink OpsからSlackアラートがトリガーされ、バケット名やパーミッションなど、バケットに関する情報がセキュリティチームに提供されます。
Blink Opsによるフォローアップアクションで、バケットの公開権限を削除することもできます。このワークフローは、公開されているバケットを迅速かつ適切に特定し、機密データが権限のないユーザーに公開されないようにします。
箇条書きのステップ
1.毎日、Blink OpsはAWS S3バケットのパブリック読み取りパーミッションをチェックします。
2.読み取り権限が公開されているバケットが見つかると、Slackアラートが送信される。
3.Blink OpsはオプションでREADパーミッションを取り消すことができます(注 – 上記には含まれていません)。
4.バケットは保護され、セキュリティチームに通知されます。
3.EC2ログイン失敗と権限昇格への対応
EC2インスタンスへのログイン失敗や不正な権限昇格の検知と対応は、セキュリティにとって非常に重要だ。Blink Opsはこれを自動化し、脅威をリアルタイムで検知して対応できるようにする。
EC2インスタンスを監視し、SSHやRDPログインに何度も失敗した場合(15分以内に5回以上失敗した場合)をSlack経由で検知できる。また、EC2インスタンスにAdminAccessのような追加権限が付与された場合など、IAMロールの変更を監視することで権限昇格を追跡することもできます。
このような事態が発生すると、Blink Opsはフォレンジック分析のために影響を受けたEC2インスタンスのスナップショットを取得し、何が起こったかを説明するアラートをセキュリティチームに送信する。この自動化により、セキュリティチームはログイン失敗や権限乱用時の手動ログ監視から解放される。
箇条書きのステップ
1.EC2インスタンスで失敗したSSHとRDPログイン試行は、Blink Opsによって追跡される。
2.15分以内にログイン失敗が5回以上発生した場合、Blink OpsはSlackアラートを発行する。
3.権限昇格などのIAMロールの変更もBlink Opsで追跡される。
4.権限の昇格が発生すると、Blink Opsはスナップショットを取る。
5.セキュリティチームは、イベントに関するすべての関連詳細が記載されたアラートを受け取ります。
4.AWS Inspectorによる脆弱性検出とアラート通知
脆弱性管理は、クラウド環境を安全に保つために不可欠です。Blink OpsはAWS Inspectorと統合することでプロセスを簡素化し、EC2インスタンスとコンテナに重要な脆弱性がないか自動的にスキャンする。
Blink Opsの一部として、AWS InspectorはCVSSスコアが7を超えるような深刻度の高い脆弱性をチェックできる。クリティカルな脆弱性が検出されると、Blink Opsは指定されたSlackチャンネルに脆弱性のあるインスタンス/コンテナを通知する。アラートは、手動介入のための修復ガイドまたはプレイブックにもリンクします。
自動的にパッチを適用できない脆弱性については、Blink Opsが詳細をログに記録し、セキュリティエンジニアによる手動での修復を可能にします。修復が完了すると、Wizは脆弱性が修正されたことを確認し、クラウド環境の安全性を確保する。
箇条書きのステップ
1.AWS InspectorがEC2インスタンスとコンテナの脆弱性をスキャンする。
2.脆弱性(CVSS >7)が発見されると、Blink OpsはSlackにアラートを送信する。
3.Wizは、手動による修復後に脆弱性が修正されたことを確認する。
4.セキュリティチームに修正と検証プロセスの完了が通知される。
5.AWS と Wiz による S3 暗号化エンフォースメントの自動化
S3バケット内の機密データを保護することはベストプラクティスである。Blink OpsでS3バケットの暗号化コンプライアンス監視を自動化することで解決できる。
Blink Opsによる機密データタグ付きS3バケットの監視は、AWS Configと統合されている。このようなバケットがAES-256で暗号化されていることを確認します。暗号化されていないバケットを検出すると、Blink OpsはAWSのPutBucketEncryption APIを使ってAES-256暗号化を適用します。
暗号化が適用された後、Blink OpsはSlackで更新の確認を送信し、暗号化が適用されたことを確認するためにWizがトリガーされる。このような自動化されたワークフローは、人手を介さずにすべての機密データを保護し、セキュリティチームがクラウド環境全体に暗号化ポリシーを適用することを可能にする。
箇条書きのステップ
1.AWS ConfigはBlink Opsが監視する機密データタグ付きS3バケットを追跡する。
2.暗号化されていない場合、Blink OpsはAWSに暗号化を適用するようトリガーする。
3.暗号化が適用されると、Slack通知が送信される。
4.Wizは暗号化が正しく適用されたことを確認する。
5.セキュリティチームは、バケットが保護されていることを知る。
Blink Opsで次のステップへ
上記のユースケースは、Blink Opsが自動化できる多くの可能性のほんの一部に過ぎません。Blink OpsはAWSやWizのようなプラットフォームと一緒に使うことで、これまでカスタムコードや手作業が必要だったプロセスを自動化することができます。つまり、セキュリティチームは時間を節約し、脅威に迅速に対応し、人的ミスのリスクを減らすことができるのです。
時間のかかるタスクを自動化することで、チームはより価値の高いセキュリティイニシアティブに集中することができます。サブドメイン乗っ取りの監視、EC2ログインの失敗の検出、脆弱性スキャンの自動化など、Blink Opsはセキュリティ運用の最適化と拡張を可能にします。
今すぐBlink Opsを使い、反復的なタスクを自動化しましょう。
Blink Opsがスポンサーとなり、執筆しました。
Comments