クラウド・セキュリティ警告の解決には約６日が必要：OSS への依存が要因 – Palo Alto 調査

Cloud Security Alerts Take Six Days to Resolve

2023/04/18 InfoSecurity — Palo Alto Networks が最新のレポートが警告しているのは、クラウド・セキュリティ・チームは、アラートへの迅速な対処を怠ることで、サイバーリスクが高まる可能性を生み出し、組織をさらしているということだ。同社は、様々なクラウド・サービス・プロバイダー (CSP) ／業界／国々にまたがる組織に配備された数万個のセンサーや、GitHub／NVD (National Vulnerability Database) などの公開ソースを調査した。

同社は調査の結果をまとめた Cloud Threat Report Volume 7  で、クラウドの攻撃対象領域が急速に拡大し、また、脆弱性やミスコンフィグレーションの増加により悪化していると警告している。

Palo Alto Networks は、平均的なセキュリティ・チームがアラートの解決に 145 時間 (約６日) を費やし、60％の組織では４日以上を費やしていることを明らかにした。同社は過去の調査で、新たに公表された脆弱性を数時間以内に、脅威アクターたちが悪用し始めることが多いため、数多くの企業において脆弱性にさらされる期間が長くなる可能性があることを指摘している。

Palo Alto からの警告は、パッチが適用されていない脆弱性だけに関するものではないが、脅威アクターにとって格好のターゲットであることは確実だ。プロダクション環境におけるコードベースの 63％ には、パッチが未適用で深刻度 Critical／High の脆弱性が存在し、パブリック・クラウドで公開されているホストの 11％ には、深刻度 Critical／High の脆弱性が存在する。

このレポートは、「クラウド環境では、ソースコードに存在する１つの脆弱性が複数のワークロードに複製され、クラウドのインフラ全体にリスクをもたらす可能性がある」と警告している。これらの脆弱性の多くはオープンソース・パッケージに存在しており、コードの依存関係が複雑であるため、脆弱性の発見とパッチの適用が困難だとされる。

Palo Alto は、「コードベースの 51％ が、100以上のオープンソース・パッケージに依存している。しかし、開発者が直接インポートするパッケージはわずか 23％ である。残りの 77% は、”non-root packages” または依存関係により導入されたものであり、脆弱性を含んでいることが多い」と主張している。 

脅威アクターたちは、ソフトウェアのサプライチェーンを幅広くに悪用している。GitHub Advisory Database によると、2022年には、すべての主要パッケージ・マネージャ登録において、7300以上の悪意のオープンソース・パッケージが発見されたという。

レポートのその他の調査結果は下記の通りだ：

• クラウド・ユーザーは、同じミスを繰り返している。セキュリティ・ルールのわずか５％が、アラートの 80％を引き起こしている。つまり、無制限のファイアウォール・ポリシー／露出したデータベース／強制されていない多要素認証 (MFA) などを優先的に改善できれば、セキュリティ ROI の促進が可能だということだ。
• 機密性の高いデータが、クラウド上で定期的に公開されている。個人を特定できる情報 (PII) ／財務記録／知的財産などは、ストレージ・バケットの 66％、一般に公開されているストレージ・バケットの 63％で確認されている。これらに対する可視性の欠如が、セキュリティの取り組みを妨げている。
• 漏えいした認証情報は、どこにでもある。約 83％の組織が、ソース管理システムにハードコードされた認証情報を持ち、85％が仮想マシンのユーザー・データにハードコードされた認証情報を持っている。Palo Alto が分析した、すべてのクラウド侵害において、漏えいした認証情報が関与している。
• 組織は MFA で失敗している。76％ の組織がコンソール・ユーザーに対して MFA を実施しておらず、58％がルート／管理者ユーザーに対して MFA を実施していない。そのため、特にコンソールは、ダークウェブで見つけた認証情報を悪用する、総当たり攻撃のリスクにさらされている。

クラウドのセキュリティですが、この Palo Alto のレポートは、具体的な数値が出されているので、とても実態が把握しやすくて良いですね。とくに、最後の箇条書き部分の数値が、現状を表していると思います。ここに、OSS での依存関係と、ミスコンフィグレーションの問題が乗ってくるのですから、かなり深刻な状況なのだと言えるでしょう。よろしければ、2023/03/29 の「クラウド環境の ID を再考する：人間とマシンに付与された権限の 1% だけが使用されている」を、ご参照ください。