Center for Threat-Informed Defense は Microsoft と提携し、パートナーである ATT&CK® for Containers マトリックスを構築します

MITRE ATT&CK® for Containers マトリックスが本日公開され、現在のコンピューティング環境でますます普及しているコンテナ化および関連技術に関連する攻撃手法の業界知識ベースが確立されました。 Microsoft は、 Center for Threat-Informed Defenseやその他のパートナーと協力し、緊密に協力して、この増大する攻撃面を理解し、調査するためのこのフレームワークを開発したことを嬉しく思います。

コンテナ マトリックスの ATT&CK

コンテナーの ATT&CK は、 Azure Security CenterチームがAzure Defender for Kubernetesのために開発した Kubernetes の脅威マトリックスなどの取り組みに基づいています。 Center for Threat-Informed Defense は、実際の攻撃を文書化することで、この最初のフレームワークを拡張し、Microsoft やその他のパートナーがプロセス全体でガイダンスとフィードバックを提供しました。

コンテナの ATT&CK マトリックスを構築することは、コンテナに関連するリスクを理解するのに役立ちます。これには、多くの場合、攻撃の最初のベクトルとなる設定ミスや、実際の攻撃手法の特定の実装が含まれます。コンテナや Kubernetes などのコンテナ オーケストレーション テクノロジーを採用する組織が増えるにつれて、この知識は脅威を検出するためのアプローチを提供し、包括的な保護を提供するのに役立ちます。

組織はコンテナーを使用して、ソフトウェア コード、構成ファイルとライブラリ、および依存関係をパッケージ化し、迅速なソフトウェア開発と展開を可能にします。コンテナ化には、OS とハードウェアの抽象化が含まれます。この抽象化により、コンテナーの基本イメージに悪用可能な脆弱性があることにユーザーが気付いていないシナリオや、使用しているイメージに存在するライブラリとバイナリにユーザーが細心の注意を払っていないシナリオが作成されます。

プラットフォームにとらわれないコンテナーの展開の利便性は、ソフトウェア開発者に利益をもたらす可能性がありますが、複数のプラットフォームでマルウェアを実行しようとする攻撃者に利益をもたらす可能性もあります。さらに、コンテナーの展開が容易であるということは、通常の展開操作の一環として、脆弱性を持つコンテナーを組織全体に分散できることを意味します。

コンテナーに関連する脅威とリスクに対するマイクロソフトのセキュリティ カバレッジ

Microsoft は、エンドポイントと Kubernetes クラスターの 2 つの領域でコンテナーの脅威に対する保護を提供します。

Microsoft Defender for Endpointは、コンテナー ホストを実行しているエンドポイントで脅威を検出し、クラウドにアクセスするためのローカルに保存された資格情報の盗用、悪意のあるイメージのダウンロードと実行、Docker からホストへの特権エスカレーションなど、エンドポイントで一般的に観察される動作に焦点を当てます。以下は、コンテナー技術の ATT&CK を使用した Microsoft Defender for Endpoint 検出のマッピングです。

 

コンテナー技術の ATT&CK エンドポイント検出のための Microsoft Defender
有効なアカウント
  • 不審なクラウド認証情報へのアクセス
  • Unix 資格情報が不正にアクセスされた
セキュリティで保護されていない資格情報
  • 不審なクラウド認証情報へのアクセス
  • Unix 資格情報が不正にアクセスされた
ホスト上にイメージを構築
  • 悪意のある Docker イメージの実行
  • Docker コンテナからの不審なネットワーク接続
コンテナのデプロイ
  • 悪意のある Docker イメージの実行
  • Docker コンテナからの不審なネットワーク接続
ユーザーの実行: 悪意のある画像
  • 悪意のある Docker イメージの実行
  • Docker コンテナからの不審なネットワーク接続
リソースハイジャック
  • 悪意のある Docker イメージの実行
コンテナ リソース ディスカバリ
  • 疑わしい kubectl 探索的コマンド シーケンス
公開アプリケーションの悪用
  • セキュリティで保護されていない Docker デーモンへの不審な接続
ホストに逃げる
  • 疑わしいファイルが WSL によって開かれる

コンテナーに関連付けられた悪意のある動作または疑わしい動作の検出は、Microsoft 365 セキュリティ センターでアラートとして報告されるため、防御側は脅威を調査して修復し、関連する動作または類似の動作を探すことができます。これらの検出により、Microsoft Defender for Endpoint がデバイスのタイムラインとクロスドメインのエンドツーエンドの攻撃チェーンを構築するために使用するテレメトリが強化されます。

悪意のある Docker イメージの検出を示す Microsoft Defender セキュリティ センターのスクリーンショット

Azure Defenderは、オーケストレーション レイヤーとノード レベルの両方で、Kubernetes クラスターを保護するための Kubernetes プランを提供します。オーケストレーション レイヤー保護は、Kubernetes API 操作を監視して、Kubernetes コントロール プレーンで疑わしい悪意のあるアクティビティを検出します。ノード レベルの保護は、Azure Defender のサーバー プランに基づいており、Kubernetes ワーカー ノード上のアクティビティを検査して、ノード上のコンテナーによって実行される疑わしいアクティビティを検出します。以下は、コンテナー技術の ATT&CK を使用した Azure Defender 検出のマッピングです。

 

コンテナー技術の ATT&CK Azure Defender の検出
公開アプリケーションの悪用
外部リモート サービス
  • オーケストレーション レベルのアラート:
    • 公開された Kubeflow ダッシュボードが検出されました
    • 公開された Kubernetes ダッシュボードが検出されました
    • 公開された Kubernetes サービスが検出されました
    • AKS で公開されている Redis サービスが検出されました
  • ノード レベルのアラート:
    • 公開された Docker デーモンが検出されました (ノード レベル)
有効なアカウント
  • オーケストレーション レベルのアラート:
    • プロキシ IP アドレスからの AKS API 要求が検出されました
    • ノード レベルのアラート:
    • SSH ブルート フォース攻撃の成功 (ノード レベル)
    • 複数のソースからの疑わしい受信 SSH ネットワーク アクティビティ (ノード レベル)
    • 疑わしい受信 SSH ネットワーク アクティビティ (ノード レベル)
コンテナ管理コマンド
  • オーケストレーション レベルのアラート:
    • コンテナ内で疑わしいコマンドが実行される
  • ノード レベルのアラート:
    • コンテナーで実行される特権コマンド
    • Kubernetes API への不審なリクエスト
コンテナのデプロイ
  • オーケストレーション レベルのアラート:
    • プロキシ IP アドレスからの AKS API 要求が検出されました
    • デジタル通貨のマイニング コンテナが検出されました
  • ノード レベルのアラート:
    • Kubernetes API への不審なリクエスト
スケジュールされたタスク/ジョブ
  • 他のコントローラーなどの Kubernetes CronJob コントローラーは、ポッド リソースを作成します。関連する検出については、「コンテナのデプロイ」手法を参照してください。
ユーザー実行
  • デジタル通貨のマイニング コンテナが検出されました
インプラント内部画像
ホストに逃げる
  • オーケストレーション レベルのアラート:
    • 機密性の高いボリューム マウントが検出されたコンテナー
    • 特権コンテナーが検出されました
権限昇格のための悪用
  • オーケストレーション レベルのアラート:
    • 特権コンテナーが検出されました
ホスト上にイメージを構築
  • ノード レベルのアラート:
    • Kubernetes ノードで検出された Docker ビルド操作
ホストでのインジケータの削除
  • オーケストレーション レベルのアラート:
    • Kubernetes イベントが削除されました
マスカレード
  • kube-system 名前空間の新しいコンテナが検出されました
強引な
  • SSH ブルート フォース攻撃の成功 (ノード レベル)
  • 複数のソースからの疑わしい受信 SSH ネットワーク アクティビティ (ノード レベル)
  • 疑わしい受信 SSH ネットワーク アクティビティ (ノード レベル)
セキュリティで保護されていない資格情報
  • Kubernetes API への不審なリクエスト (ノード レベル)
リソースハイジャック
  • デジタル通貨マイニング コンテナの検出 (オーケストレーション)
  • コンテナ内で実行される疑わしいコマンド (オーケストレーション)
  • 検出されたデジタル通貨マイニングに関連するプロセス (ノード レベル)
  • クリプト コイン マイナーのダウンロードが検出された可能性があります (ノード レベル)
  • 検出されたデジタル通貨マイニング関連の動作 (ノード レベル)

さらに、 Kubeflow ワークロードを標的とした攻撃のようないくつかの攻撃が観察されたように、多くのインシデントは構成ミスから始まります。 Azure Defender は、機密性の高いインターフェイスがインターネットに公開されているなど、構成の誤りを検出するのに役立ちます。さらに、Azure Defender は、高特権の RBAC ルールの作成、Kubernetes のベスト プラクティスの監査、デプロイ ゲートの提供などの機密性の高い操作を検出することで、攻撃対象領域を減らすのにも役立ちます。

コンテナの確保作業は続く

MITRE Engenuity の Center for Threat-Informed Defense と Microsoft の間のコンテナーの脅威の調査と理解に関するパートナーシップは、コンテナー用の ATT&CK のリリースにとどまりません。 Microsoft は引き続き MITRE やその他の業界と協力して、Microsoft の製品、センサー、および研究からのインテリジェンスと洞察を共有していきます。私たちは、ホスト上だけでなく、特にコンテナー内からテレメトリを表面化し、悪意のあるアクティビティと構成ミスの両方に関連する動作を検出するための革新的な方法を引き続き探します。

Microsoft が現在コンテナーと関連テクノロジを保護するためにどのように役立つかについては、 Microsoft Defender for EndpointAzure Defenderを参照してください。

Center for Threat-Informed Defense の詳細については、脅威に基づく防御を推進するための Center の共同アプローチについてお読みください。

 

Microsoft 365 Defender 研究チーム

Azure Defender チーム

 

参照: https://www.microsoft.com/en-us/security/blog/2021/04/29/center-for-threat-informed-defense-teams-up-with-microsoft-partners-to-build- the-attck-for-containers-matrix/

コメント

タイトルとURLをコピーしました