脅威スタック SOC 分析: 自動化ツールに関連するインシデントの調査

Cloud SecOps Program℠ を通じてお客様を 24 時間 365 日サポートする業務の一環として、Threat Stack Security Operations Center (SOC) のセキュリティ アナリストがお客様に代わって不審なアクティビティを定期的に調査します。 過去数か月間、当社のセキュリティ アナリストは、Web ベースの SSH 機能を含む自動化ツールの使用が着実に増加していることに気づきました。

これらのツールの使用は、多くの組織がクラウド環境を成熟させ、クラウド オーケストレーションと日常的な管理がより洗練されつつあることを示す具体的な兆候です。 ウェブベースの SSH や、リモート サーバーでカスタム スクリプトを実行できるその他の機能を使用することで、運用チームはオーバーヘッドを大幅に削減し、サーバーのライフサイクルと大規模なサービスの構成を合理化できます。

しかし、過去に見てきたように、複雑な操作を自動化すると、ミスが発生したり、リスクを見落としたりする可能性があります。 まず、IAM ポリシーが最新であり、特定のサービスの個々の機能にまで特定されていることを確認することがさらに重要になります。 IAM に重点が置かれていることに加えて、Web ベースの SSH 機能を備えたものを含む多くの自動化ツールは、クラウド環境における疑わしいアクティビティを調査する際に、セキュリティ チームに独特の課題をもたらします。

Linux システムでは、Web ベースの SSH ツールは、基盤となるログに従来の SSH セッションとして表示されません。 この違いにより、ログインしているユーザーに関連付けられていないシステム イベントがログに記録される可能性があります。 通常、これは通常の信頼できる自動化アクティビティのように見えますが、ユーザーがその背後で任意のコマンドを発行できる場合はそうではありません。 ここでの意味は非常に明白です: 内部者であれ、外部から侵害された資格情報を利用する者であれ、悪意のある行為者が Web ベースの SSH ツールにアクセスできる場合、難読化は簡単になります。

Threat Stack Cloud Security Platform® などのツールのフルスタック セキュリティの観測性と動作分析機能により、このような疑わしいアクティビティを識別できますが、ここで、Web ベースの SSH ツールの自動化された性質がセキュリティ アナリストに予想外の困難をもたらします。 自動化イベントのニュアンスを認識して方向転換し、ユーザーの根本的な意図を明らかにするには、異なる調査手法が必要です。

ここで、Threat Stack SOC アナリストが登場します。 業界で最も進歩的なクラウド環境のいくつかに直接携わることで、彼らはこうしたタイプのインシデントの調査方法を熟知しています。 Threat Stack Cloud SecOps Programのアナリストが、ユーザーの帰属を必要とするフォレンジックを実施する際に、自動化ツールの下流のアクションをどのように調査するかについて詳しく知りたい場合は、最新の脅威インテリジェンスレポートをダウンロードするか、ライブデモ「自動化されたアクティビティまたは内部脅威： 3月19日に開催される「違いがわかりますか？」