『Unit 42クラウド脅威レポート』2020年秋版で、Unit 42 のリサーチャーは、IDおよびアクセス管理(IAM)の構成ミスのリスクに重点を置いてクラウドにおける脅威の状況を調査しました。本調査は2020年5月から8月の間に行われ、何テラバイトものデータ、数千のクラウドアカウント、10万件を超えるGitHub®コードリポジトリにまたがるグローバルな範囲で行われました。
調査からはIDの設定ミスがクラウドアカウント全体に蔓延し、組織にとって重大なセキュリティリスクとなっていることがわかりました。ただし、Unit 42のリサーチャーは、組織が効果的なセキュリティプログラムを構築し、これらのリスクを最小限に抑えるために使用できるベストプラクティスがあることにも注目しています。
IAMリスクからの保護
Unit 42のリサーチャーはIAMをとりまくさまざまなリスクに光を当て、それらを修復してリスクを最小限に抑えるガイダンスを提供しています。
複雑なマルチクラウド権限ポリシーに対応するには自動化が必要
本レポートでは、Unit 42のリサーチャーが構成に誤りのあるIAM信頼ポリシー1つを利用して、組織のパブリッククラウド環境全体を危険にさらしたレッドチームの演習について詳しく説明しています。攻撃者は同じ欠陥を利用して、サービス拒否(DoS)やランサムウェア、さらには高度な持続的脅威(APT)など、組織に対して任意の数の攻撃を仕掛ける可能性があります。さらに悪いことに、これらの欠陥は、企業組織では見過ごされ、修正されないことがよくあります。
同じレッドチーム演習でUnit 42のリサーチャーは、正当な管理者アカウントを特定してハイジャックし、完全なコントロールをクラウド環境全体にわたって確立することにも成功しました。この「王国への鍵」があれば、攻撃者は組織に対して好きなだけ攻撃を仕掛けることができます。
組織は、レポートで説明されたベストプラクティスの中でもとくに、過剰な特権に対処するための自動修復を確立してIAM APIを監視することで、同様の攻撃のリスクを減らすことができます。一般的にこうしたタスクはクラウドネイティブなセキュリティプラットフォームの存在を正当化できるほど複雑なものです。こうしたプラットフォームを使うことでプロセスを簡素化しやすくなります。
基本的なセキュリティ慣行は依然として効果的
本調査によれば、Google Cloudを使用している日本とアジア太平洋(JAPAC)の組織の75%、ヨーロッパ、中東、アフリカ(EMEA)の組織の74%が、管理者権限でワークロードを実行しています。南北アメリカの組織の半数強(54%)も同様の特権で運用しています。こうしたワークロードを侵害することで、攻撃者はクラウドリソース間を横方向に移動できるようになり、クリプトジャックオペレーションの確立が容易になります。。クリプトジャックは、悪意のある暗号通貨マイニングオペレーションをさす用語です。ここでは許可されていないアクターがクラウドコンピューティングリソースを使用して暗号通貨をマイニングすることを指しています。
組織はクラウドセキュリティモデルに習熟してきていますが、そうした状況でも優れたセキュリティ基盤は引き続き有効です。リサーチャーはレポート内で、強力なパスワードポリシー構成に加えて多要素認証(MFA)を有効にすることは、環境がどれほど複雑になっても依然として効果的な保護であると指摘しています。
良好なID衛生には相乗効果がある
調査はまた、クリプトジャックがクラウドインフラストラクチャを維持している世界中の組織の少なくとも23%(2018年2月に観測された8%から急増)に影響を与える点を強調しています。
クリプトジャックオペレーションからのクラウドインフラストラクチャ保護は、本稿やレポートで説明されているID管理のベストプラクティス実践から始まります。ベストプラクティスによる下地を整えたうえでコンテナセキュリティや脅威インテリジェンスなどの追加の保護をすれば、その有効性はさらに強化されます。
リスクの特定をはじめるには
Unit42クラウド脅威レポートの完全版では、攻撃者が偵察活動をひそかに実行する方法や、一般的な脅威アクターについての詳細な分析を提供しています。リサーチャーはまた、ID管理のベストプラクティスに基づいてクラウドセキュリティプログラムを構築するために組織がとるべき手順についても注意深く特定しています。
『Unit42クラウド脅威レポート2020年秋』の完全版をダウンロードして、組織に実施可能なさらに多くのリサーチ結果やベストプラクティスについて知ることをおすすめします。