ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Crown Jewel が Orca Security のスコアに影響するか?

AWS OrcaSecurity

フォージビジョン Orca Security のサービスサイト がオープンしました。

ForgeVision - Orca Security サービスサイト

こんにちは、Orca Security 担当の尾谷です。

先日、Orca Security のサポートに連絡する機会があり、設定した Crown Jewel Reason はスコアに影響を与えるとの情報をいただきました。
そこで、検証インスタンスに Crown Jewel Reason を設定して、どれほどスコアの変化を確認してみることにしました。

※ 結論から記載しますと、本検証では Crown Jewel がアラートスコアとアセットスコアに影響することがありませんでした。今後、機能拡張される可能性がございます。
※ Attack Path スコアには変化が見られましたので、記事を更新しました。

手動で Crown Jewel を設定する

まず、手動で Crown Jewel を設定していきます。
Crown Jewel は、Orca Security が自動で設定してくれますが、手動で設定したいケースもあります。
そのような場合は、User-Defined Crown Jewel から設定します。[Mark as user-defined crown jewel] をクリックし、

表示されたダイアログにて、任意の理由を設定します。

手動で Crown Jewel を設定すると、アイコンの左上にバッジがつきます。

また、User-Defined Crown Jewel でも、グレーアウトしていたアイコンが活性化します。

現在のスコア

プライベートサブネットに起動した EC2 インスタンスで、Internet Facing は No になっており、アセットスコアも 3.9 と低めです。

このアセットに紐づくアラートは、最も高いものが 3.9 で、最も低いものが 2.8 となっています。

スコアが変わるか確認

それでは、手動で設定した Crown Jewel にてスコアが変わるか検証をしていきます。

個人を特定する情報を含む

Crown Jewel に Data: Personal identifiable information を設定してみました。
個人を特定する情報は漏洩すると、企業に大変な損失を与えます。これは高スコアが期待されます。

[Scan Now] ボタンからスキャンを実行しました。

Orca Security サポートが言及したスコアの変動はありませんでした。
ケースによるのでしょうか。他の理由も全て試してみることにしました。

Crown Jewel を別の理由に設定する場合は、一度無効化する必要があります。

広範囲なアクセス権限

次に Access: Broad permission access という Crown Jewel を設定してみました。これは、そんなにクリティカルな印象はありませんが、どうでしょうか。

スキャン後...

同じスコアでした。

無効化します。

シークレットが漏洩

続いて、Access: Secrets exposure という Crown Jewel も設定してみました。
シークレットが漏洩するということで、これは緊急事態と想定します!

しかしながら、スコアは変化しませんでした。

無効化しました。

知的財産

続いては Data: Intellectual property です。これは、Crown Jewel Reason としてもっともらしい理由だと感じます。
企業として、知的財産は絶対に漏洩させることができない情報です。

スキャン実施...

スコアが変わらないことを確認しました。

Additional Information のスコアに関しても変わっていないことを確認しました。

無効化しました。

財務情報

続いて、Data: Financial information です。

スキャン後、

スコアが変わらないことを確認しました。

Additional Information のスコアに関しても変わっていないことを確認しました。

無効化しました。

その他

最後は、Other を検証してみます。

スキャン後、

スコアが変わらないことを確認しました。

Additional Information のスコアに関しても変わっていないことを確認しました。

無効化しました。

おまけ

以上より、Orca Security サポートが言及した Crown Jewel がスコアは変わりませんでした。
代わりにインスタンスを停止すると、当然ながらスコアが下がりました。全体的に 0.7 から 0.8 ほど下がった印象です。

アラートスコア、アセットスコアは現時点では影響しない

追加でサポートから回答がありました。
手動でアセットに Crown Jewel をマークすると、Attack Path のスコアに影響するが、Attack Path 自体がアラートにデータを供給しないため、アセットのリスクスコアは変わらないとのこと。

この回答について検証していました。
左側の Security Views から Attack Paths を選択して表示されるリストでは、Impact Score と Risk Score を確認することができます。
手動で Crown Jewel を設定した場合は、この Attack Path の Risk Score が上昇することは確認できました。

現時点ではアラートには影響がないということですが、今後、機能拡張されましたら、情報をアップデートしてお知らせしたいと思います。

以上です。