ブログ

ダーティ パイプとアプリケーション インフラストラクチャ保護の重要性

クリス・フォード サムネイル
クリス・フォード
2022年3月23日公開

今年の初めには、Log4j や Pwnkit など、クラウドネイティブ組織に影響を及ぼすインフラストラクチャ レベルの脆弱性がいくつか確認されました。 この傾向を継続しているのは、Linux カーネルで発生する脆弱性である Dirty Pipe です。 Dirty Pipe を使用すると、任意の読み取り専用ファイル内のデータを上書きすることができ、ルート プロセスにコードを挿入することで権限の昇格につながる可能性があります。

悪意のある人物が Dirty Pipe を利用してインフラストラクチャ レベルから損害を与える可能性があることを考慮すると、これは多くの企業にとって問題となる可能性があります。 しかし、環境全体を包括的に把握することで、このような脆弱性は発生したときに適切に管理できます。

汚れたパイプに対する防御の問題

F5 のアプリケーション戦略の現状レポートによると、デジタル変革に取り組んでいる多くの組織は、主要なビジネス アプリケーションの「近代化」に重点を置いています。 マイクロサービス ベースのインフラストラクチャは、俊敏性の向上やイノベーションのスピードアップなど、大きなメリットをもたらすため、これらのアプリケーションを実行するためにマイクロサービス ベースのインフラストラクチャに投資するお客様がますます増えています。

アプリケーションの近代化を推進する動きに伴い、アプリケーション保護の必要性も高まっています。 先月、F5 はF5 Distributed Cloud WAAP をリリースしてこの問題に対処し、Bot Defense や Advanced WAF など、アプリケーション層で保護するための一連のツールを顧客に提供しました。 このソリューションにより、お客様は主要なビジネス アプリケーションにアクセスして組織に影響を及ぼす攻撃をブロックできるようになります。

Dirty Pipe のような脆弱性 (および Pwnkit や Log4j などの最近のエクスプロイト) の問題は、標的型攻撃によってインフラストラクチャ レベルの弱点が露呈した場合、Distributed Cloud WAAP などのツールを使用して悪意のある攻撃者がアプリケーション層にアクセスするのをブロックするだけでは不十分であることです。 アプリケーションのセキュリティは、それが実行されるクラウドネイティブ インフラストラクチャのセキュリティと同程度にしか確保できないため、Dirty Pipe のようなエクスプロイトから防御するには、インフラストラクチャ自体を保護する必要があります。 F5 はThreat Stackの買収により、この機能も提供できる理想的な立場に立っています。

Threat Stack は、クラウド管理コンソール、ホスト、コンテナ、オーケストレーションなど、クラウドネイティブ インフラストラクチャ スタックのすべてのレイヤーを監視し、攻撃者がインフラストラクチャにアクセスしたことを示す動作を検出します。 Threat Stack は、顧客がこの層への脅威を修復するために、積極的かつ迅速に対象を絞ったアクションを実行するために必要な観測性を提供します。 F5 と組み合わせることで、顧客はアプリケーション レベルとインフラストラクチャ レベルの両方に対する脅威を包括的に把握し、最新化されたアプリケーションを保護できます。

脅威スタックがダーティパイプにどのように役立つか

特に Dirty Pipe の場合、Threat Stack の顧客は、Threat Stack の 24 時間 365 日体制のセキュリティ オペレーション センター (SOC) 監視と専門知識であるOversightのメリットをすぐに享受できました。 Log4j や Pwnkit の場合と同様に、チームは顧客ベース全体にわたって Dirty Pipe の兆候を探し、顧客を最も効果的にサポートする方法を模索し始めました。

脅威ハンティングを実行し、専門的なサードパーティソースを調査した結果、Log4j と同様に、Threat Stack がこの脆弱性に特有のエクスプロイト後のアクティビティを検出することが判明しました。 Threat Stack のすぐに使用できるルールは、顧客の環境内で Dirty Pipe のアクティビティを示す侵害の兆候を監視して警告するように設定されています。

私たちは、Log4j、Pwnkit などの場合と同様に、Dirty Pipe が顧客にどのような影響を与えるかを継続的に追跡しています。 しかし、ここでのより大きな問題は、攻撃はインフラストラクチャ レベルでのみ発生する可能性があり、最新のアプリケーションを安全に保つには、それらの攻撃を把握する必要があるということです。 Threat Stack と F5 では、まさにそれを実現することに尽力しています。