クラウド環境におけるペンテストは従来からのパターンとは全く異なる

Penetration Testing in the Cloud Demands a Different Approach

2021/10/20 DarkReading — ほとんどの企業は、攻撃者がテクニックを変更すれば、防御側はセキュリティ戦略を見直す必要があるというパターンを熟知している。そして今、犯罪者がクラウド環境を攻撃の標的にしていることで、企業はクラウド・インフラの安全性を確保する必要に迫られている。

数多くの企業が、システムのセキュリティ・ギャップを発見するためにペネトレーション・テストを利用しているが、そのプロセスは従来とは異なるものになると、Fugue の CTO である Josh Stella が、(ISC)² Security Congress 2021 のプレゼンテーションで述べている。従来からのデータセンターがインフラとなる世界では、ペンテスターは主にネットワーク機器にアクセスし、TCP/IP ネットワークを介して防御の境界線を通過し、データベースなどの資産にアクセスすることを目標としてきた。

Stella は、「ペンテストが、クラウド・テクノロジーに対して、少し遅れをとっているのは、攻撃対象が変化したからである。ペンテスト担当者がデータセンターの技術に焦点を当て、クラウドの TTP に注目していないため、クラウドの脆弱性の多くは見落とされがちだ。このセキュリティ・ギャップは、コンプライアン・スフレームワークでは対処されず、DevOps やセキュリティ・チームにも認識されない。クラウド環境のコンテキストの中で、脆弱性が初めて明らかになることが多く、全体像を理解していないと見逃してしまう」と述べている。

Stella は、全世界のユーザー 5,700万人と米国のドライバー60万人の情報が漏洩した、2016年に Uber で生じた情報漏洩インシデントを指摘する。攻撃者は、GitHub にあるUber のプライベートコードにアクセスする認証情報を盗み、そこでハードコードされた AWS S3 の認証情報を見つけ出したという。この認証情報を利用して、Uber の AWSアカウントにログインし、ファイルをダウンロードすることができたとされている。

Stella は、「攻撃者たちは、被害者が利用している複数のクラウド・サービスにおける境界を越えようとするが、それは珍しい攻撃パターンではない。つまり、攻撃者は、ネットワークや OS の脆弱性を利用していない。なぜなら、脆弱性がなくてもクラウド環境に侵入できるからだ」と述べている。クラウド環境へ侵入するために、攻撃者たちが使用する欠陥は、ライブラリに存在する脆弱性ではなく、アーキテクチャやプロセスの問題であることが多い。この種の問題はクラウドに存在するが、データセンター環境では一般的ではない。

クラウドでのペンテストの多くは、異なる場所にあるコンテンツをつなぎ合わせて侵害を起こすものだ。また、従来からのパターンでは、攻撃者はターゲットを選び、侵入するための脆弱性を探し出す。しかし、クラウドでは、このような方法による侵入は、ほとんど起こらない。注目を集めた攻撃であっても、新しいパターンを採用する傾向がある。攻撃者は、自動化を利用して欠陥 (多くの場合、クラウド・リソース API の設定ミス) を見つけ出し、侵入する場所を選択する。

S3 バケットなどの、何らかの機能を設定して公開するまでの短い間に、攻撃者は設定ミスや欠陥を把握する。多くの場合、攻撃者は数分以内に、あなたのクラウド・リソースを見つけ出す。

S3 における醜悪な問題

Uber への攻撃では、S3 におけるデータ流出の危険性が浮き彫りにされた。Stella は、「これは企業に共通する問題であり、多くの理由で醜悪だ」と表現している。ほとんどのケースにおいて、顧客がアクセス可能なネットワークをデータが通過しないため、この問題を検知することは極めて困難だ。この種のデータ流出は、顧客企業がアクセスできないクラウド・プロバイダーのネットワーク上で発生し、顧客企業がアクセスできるイベント・ログが警告するのは、データが流出した後となる。

Stella が、「攻撃者にとって最も素晴らしいツールの1つ」と評した、S3 Lists には特に注意する必要がある。クラウドにおける危険な設定ミスの大半は、Discovery に用いられる Read のミス・コンフィグレーションだと指摘されている。

2019年に発生した、インターネットからアクセス可能な内部システムから、AWS の API キーを盗み出すというインシデントの後に、Imperva はスナップショット・アクセスの監査を強化する措置を取った。それにより、IAM ポリシーと Read アクセスが許可されているロール・アソシエーションが、ほぼ確実にを調べられると、Stella は述べている。組織は、APIキー が保存されている場所を把握しようとするべきだ。

また、Imperva は侵害に対する防御において、認証情報に関するローテーションや報管理プロセスの強化にも取り組んでいるが、クラウドのセキュリティ体制を強化したい企業にとっては、こうした対応が必須だと、Stella は述べている。セキュリティ管理が弱い傾向にある開発環境やテスト環境であっても、すべての認証情報はローテーションされる必要がある。

Stella は、「開発環境やテスト環境は、クラウド・ハッキングの対象としては、おそらくプロダクション環境と同様に人気がある。ベンダーのセキュリティ体制を確認するために行う質問は、ペンテスターに対する質問と同じだ。脆弱性の面積と自身の露出度を理解しているか? クラウドにホストされる場合にコントロール・プレーンの API をテストしているか?このような視点も、クラウドの防御態勢を強化する際に留意すべき点だ。クラウドからデータが窃取されるとき、ほとんどのケースにおいて、コントロール・プレーン API が経由される」と述べている。

クラウドにおけるセキュリティの確立は、オンプレのケースとは全く異なるものになりますね。自社のサーバーが、物理的に管理できる場合と、できない場合の差が大きいです。もちろん、それ故の手軽さと料金が実現されているので、利用する側の注意が必要になります。よろしければ、カテゴリ Cloud と、カテゴリ API も、ご参照ください。

%d bloggers like this: