こんにちは、Orca Security 担当の尾谷です。
今日は、Orca Security のフォレンジックスナップショットの活用方法機能についてご紹介します。
フォレンジックとは
クラウド環境で発生したセキュリティインシデントを迅速かつ正確に対応するのは容易ではありません。
稼働中の環境でインシデントが発生したとき、あなたは感染したインスタンスを切り離して、調査し、原因を特定し修復する方法を確認しているでしょうか。
AWS Well-Architected Framework のベストプラクティス
AWS Well-Architected Framework のセキュリティの柱では、SEC10-BP03 で、予めフォレンジック機能を準備しているか?というチェック項目があります。
フォレンジックは科学調査だとか、封じ込めといった言葉で訳されます。
例えば、トロイの木馬やバックドアといった Malware によって情報が漏洩する環境がある、あるいは情報が漏洩してしまっていると判明した時点で、ネットワークから切り離す対策を考えるのではなくて、予め環境を用意しておき、可能であれば自動化しておくことが推奨されます。
SEC10-BP03 では、セキュリティインシデントが発生した際に、対象のインスタンスを隔離して調査を行うことができる環境を予め用意しておくことが推奨されています。
Orca Security の Capabilities
Orca Security には、フォレンジックスナップショットの取得機能がバンドルされています。
Orca Security が対応しているフォレンジック対象
Orca Security は、フォレンジックスナップショットという処理機能を有しており、インスタンスのスナップショットを取得することができます。
現時点で、以下のリソースに対応しています。
- AWS の EC2 インスタンス
- Azure のコンピュート VM インスタンス
- GCPのコンピュート VM インスタンス
- オートスケーリンググループ(ASG)
- スケールセット
フォレンジック・スナップショット取得
以下、実際にフォレンジックの動きをご紹介します。
- インベントリページから、検証用のインスタンスを選択します。
- 以下、スクリーンショットに表示されている検証用インスタンス「otani-test-ec2」は、先月 (4 月) に AMI からデプロイしました。
停止後、1 ヶ月が経過し既に 19 の脆弱性を検知しています。
- [Forensics] タブを開きます。
まだフォレンジックスナップショットを取得していないため、No Forensic Snapshots Have Been Taken Yet が表示されています。
- [Take Forensic Snapshots] ボタンをクリックします。
すると、AWS マネジメントコンソールへのリンクが表示されました。
AWS マネジメントコンソール
AWS マネジメントコンソールにアクセスして、スナップショットを確認すると、取得されていました。Description に Orca automatically generated snapshot と表示されるので識別しやすいです。
AMI は作成されませんでした。
画面をリロードすると、No Forensic Snapshots Have Been Taken Yet に戻りました。
ここは UI が洗練されていないと感じました。
スキャン履歴をテーブルに持つなどの工夫をした方が、利用者の混乱がなくて良いと感じました。
スキャンしてみます。
フォレンジック処理を行う
スキャンが終わると、スナップショットの情報が確認できました。
かなり時間がかかった印象です。
取得したスナップショットは、Risk タブや Compliance タブから修正箇所を確認することができました。
Orca Security を利用して、適切な修復処理や調査を行なっていくのが効率的だと感じました。
なお、取得された各フォレンジックスナップショットに関する情報は、監査ログに記録され、ユーザー名、タイムスタンプ、およびその他のデータが保存されるとのことです。これも、フォレンジック調査はエビデンスが重要になることが多いため、有効な機能といえます。
コストメリットに関して
闇雲に全てのリソースに対して、フォレンジック・スナップショットを取得するとランニングコストが肥大するので運用ののせるのは難しいと思います。
ただ、サイバー攻撃によるデータ漏洩やシステムダウンは、企業にとって甚大な被害をもたらします。顧客の信頼を失うだけでなく、法的な責任や巨額の損害賠償にもつながりかねません。こうしたリスクを未然に防ぐための投資と考えれば、特に「有事にのみ使用する緊急機能」と考るならフォレンジックスナップショットのランニングコストは必要不可欠な保険とも言えるでしょう。
Orca Security を導入された際には、是非、本機能を活用ください。
以上です。