ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Security のアラートを適切に処理する

フォージビジョン Orca Security のサービスサイト がオープンしました。

コーポレートサイトで活用事例を公開中!

こんにちは、Orca Security 担当の尾谷です。

以前、こちらの記事 にて Orca Security が検知したアラートの取り扱いについて概要をまとめました。
今日は更に深掘りをして、実際にアラートを検知した際にどのようにアラートを取り扱うべきか解説します。

Orca Security のアラート

Orca Security のアラートは 1 チケットとして作成され、管理されます。

以下アラートは、実際に利用している個人の検証環境で発生したリスクで、スコアが 7.3 と High になっていて侵入の危険性が高く、侵入されると被害が発生するリスクとして検出されました。

検知したのは otani-cloud9 という IAM ロールでした。
これは Cloud9 を構築した際に、デフォルトのロールを作ったのですが、以下のリスクがあるとして High に判定されました。

  • Impact アカウントの乗っ取りが発生する可能性がある
  • Exploitation Complexity アーキテクチャの複雑性が低い
  • MiTRE アタック 権限昇格が可能

これを改善していきたいと思います。

推奨項目

画像下部に表示されている、RECOMMENDED REMEDIATION (推奨される修復方法) をクリックすると、

以下のような形でスライドして詳細が表示されます。
この推奨項目を適用します。

修復作業 (手動)

  1. AWS Management Consoleにサインインします。
  2. IAM コンソールを開きます。
  3. ナビゲーションペインで、「ロール」を選択し、関連するロールを選択します。
  4. 推奨ポリシーは以下のように表示されています。
  5. IAM ロールの画面を表示すると、AdministratorAccess ポリシーがアタッチされているのがわかりました。
    [許可を追加] ボタンをクリックして、[ポリシーをアタッチ] を選択します。
  6. [ポリシーを作成] ボタンをクリックします。
  7. 推奨バージョンの横にあるクリップボードにコピーボタンをクリックして、ポリシーをコピーし、
  8. JSON タブに貼り付けました。
  9. 名前をつけてポリシーを作成します。
  10. 作成したポリシーをアタッチします。
  11. 元々アタッチされていた AdministratorAccess ポリシーは削除ボタンをクリックしてデタッチします。

再スキャン

推奨項目の対応が終わったので、スキャンしてみましょう。[Scan now] ボタンをクリックします。

スキャンしています。

6.4 Medium に下がりました。

アラートステータスも変わり、クローズされました。

まとめ

如何でしたでしょうか。
Orca Security は検出アラートの対処方法をサジェストしてくれるため、セキュリティの専門知識が少ない開発者でも修復対応が可能です。

ご不明点あれば、こちらからお問い合わせください。