MITRE ATT&CK® for Containers マトリックスが本日公開され、現在のコンピューティング環境でますます普及しているコンテナ化および関連技術に関連する攻撃手法の業界知識ベースが確立されました。 Microsoft は、 Center for Threat-Informed Defenseやその他のパートナーと協力し、緊密に協力して、この増大する攻撃面を理解し、調査するためのこのフレームワークを開発したことを嬉しく思います。
コンテナーの ATT&CK は、 Azure Security CenterチームがAzure Defender for Kubernetesのために開発した Kubernetes の脅威マトリックスなどの取り組みに基づいています。 Center for Threat-Informed Defense は、実際の攻撃を文書化することで、この最初のフレームワークを拡張し、Microsoft やその他のパートナーがプロセス全体でガイダンスとフィードバックを提供しました。
コンテナの ATT&CK マトリックスを構築することは、コンテナに関連するリスクを理解するのに役立ちます。これには、多くの場合、攻撃の最初のベクトルとなる設定ミスや、実際の攻撃手法の特定の実装が含まれます。コンテナや Kubernetes などのコンテナ オーケストレーション テクノロジーを採用する組織が増えるにつれて、この知識は脅威を検出するためのアプローチを提供し、包括的な保護を提供するのに役立ちます。
組織はコンテナーを使用して、ソフトウェア コード、構成ファイルとライブラリ、および依存関係をパッケージ化し、迅速なソフトウェア開発と展開を可能にします。コンテナ化には、OS とハードウェアの抽象化が含まれます。この抽象化により、コンテナーの基本イメージに悪用可能な脆弱性があることにユーザーが気付いていないシナリオや、使用しているイメージに存在するライブラリとバイナリにユーザーが細心の注意を払っていないシナリオが作成されます。
プラットフォームにとらわれないコンテナーの展開の利便性は、ソフトウェア開発者に利益をもたらす可能性がありますが、複数のプラットフォームでマルウェアを実行しようとする攻撃者に利益をもたらす可能性もあります。さらに、コンテナーの展開が容易であるということは、通常の展開操作の一環として、脆弱性を持つコンテナーを組織全体に分散できることを意味します。
コンテナーに関連する脅威とリスクに対するマイクロソフトのセキュリティ カバレッジ
Microsoft は、エンドポイントと Kubernetes クラスターの 2 つの領域でコンテナーの脅威に対する保護を提供します。
Microsoft Defender for Endpointは、コンテナー ホストを実行しているエンドポイントで脅威を検出し、クラウドにアクセスするためのローカルに保存された資格情報の盗用、悪意のあるイメージのダウンロードと実行、Docker からホストへの特権エスカレーションなど、エンドポイントで一般的に観察される動作に焦点を当てます。以下は、コンテナー技術の ATT&CK を使用した Microsoft Defender for Endpoint 検出のマッピングです。
コンテナー技術の ATT&CK | エンドポイント検出のための Microsoft Defender |
有効なアカウント |
|
セキュリティで保護されていない資格情報 |
|
ホスト上にイメージを構築 |
|
コンテナのデプロイ |
|
ユーザーの実行: 悪意のある画像 |
|
リソースハイジャック |
|
コンテナ リソース ディスカバリ |
|
公開アプリケーションの悪用 |
|
ホストに逃げる |
|
コンテナーに関連付けられた悪意のある動作または疑わしい動作の検出は、Microsoft 365 セキュリティ センターでアラートとして報告されるため、防御側は脅威を調査して修復し、関連する動作または類似の動作を探すことができます。これらの検出により、Microsoft Defender for Endpoint がデバイスのタイムラインとクロスドメインのエンドツーエンドの攻撃チェーンを構築するために使用するテレメトリが強化されます。
Azure Defenderは、オーケストレーション レイヤーとノード レベルの両方で、Kubernetes クラスターを保護するための Kubernetes プランを提供します。オーケストレーション レイヤー保護は、Kubernetes API 操作を監視して、Kubernetes コントロール プレーンで疑わしい悪意のあるアクティビティを検出します。ノード レベルの保護は、Azure Defender のサーバー プランに基づいており、Kubernetes ワーカー ノード上のアクティビティを検査して、ノード上のコンテナーによって実行される疑わしいアクティビティを検出します。以下は、コンテナー技術の ATT&CK を使用した Azure Defender 検出のマッピングです。
コンテナー技術の ATT&CK | Azure Defender の検出 |
公開アプリケーションの悪用 |
|
外部リモート サービス |
|
有効なアカウント |
|
コンテナ管理コマンド |
|
コンテナのデプロイ |
|
スケジュールされたタスク/ジョブ |
|
ユーザー実行 |
|
インプラント内部画像 |
|
ホストに逃げる |
|
権限昇格のための悪用 |
|
ホスト上にイメージを構築 |
|
ホストでのインジケータの削除 |
|
マスカレード |
|
強引な |
|
セキュリティで保護されていない資格情報 |
|
リソースハイジャック |
|
さらに、 Kubeflow ワークロードを標的とした攻撃のようないくつかの攻撃が観察されたように、多くのインシデントは構成ミスから始まります。 Azure Defender は、機密性の高いインターフェイスがインターネットに公開されているなど、構成の誤りを検出するのに役立ちます。さらに、Azure Defender は、高特権の RBAC ルールの作成、Kubernetes のベスト プラクティスの監査、デプロイ ゲートの提供などの機密性の高い操作を検出することで、攻撃対象領域を減らすのにも役立ちます。
コンテナの確保作業は続く
MITRE Engenuity の Center for Threat-Informed Defense と Microsoft の間のコンテナーの脅威の調査と理解に関するパートナーシップは、コンテナー用の ATT&CK のリリースにとどまりません。 Microsoft は引き続き MITRE やその他の業界と協力して、Microsoft の製品、センサー、および研究からのインテリジェンスと洞察を共有していきます。私たちは、ホスト上だけでなく、特にコンテナー内からテレメトリを表面化し、悪意のあるアクティビティと構成ミスの両方に関連する動作を検出するための革新的な方法を引き続き探します。
Microsoft が現在コンテナーと関連テクノロジを保護するためにどのように役立つかについては、 Microsoft Defender for EndpointとAzure Defenderを参照してください。
Center for Threat-Informed Defense の詳細については、脅威に基づく防御を推進するための Center の共同アプローチについてお読みください。
Microsoft 365 Defender 研究チーム
Azure Defender チーム
Comments