Aquaの新しいeBPF Lightning Enforcerでゼロデイ攻撃対策 #aqua #セキュリティ #ランタイム保護 #eBPF
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2022年11月22日に公開された「 Combat Zero-Day Threats with Aqua’s New eBPF Lightning Enforcer
」の日本語翻訳です。
Aquaの新しいeBPF Lightning Enforcerでゼロデイ攻撃対策
このたび、Aqua のポートフォリオに新しく追加された、eBPF ベースの Aqua Lightning Enforcer を発表します。多忙なセキュリティ専門家のために設計され、ゼロデイ攻撃やランタイム中に発生する高度な攻撃を検出できます。eBPF 技術を活用し、より効果的に、より安全に、より早くを実現します。新しい Lightning Enforcer と Aqua の Runtime Protection ソリューションは、Aqua Cloud Native Security Platform の不可欠な要素であり、アプリケーション開発のライフサイクル全体にわたって最高の保護を提供します。
eBPFとは?
Extended Berkeley Packet Filter(eBPF)は、Linux から派生した革新的な技術で、OS カーネル内でサンドボックス化されたプログラムを実行できるようにするものです。カーネルモジュールをロードしたり、カーネルコードを変更したりすることなく、安全かつ効率的にカーネルの機能を拡張できます。
eBPF の詳細については、Aqua Security Wiki をご覧ください。
なぜeBPFはランタイム保護に重要なのか
eBPF プログラムはカーネル空間で実行されます。ネットワーク、ファイル、メモリなどシステム全体を監視・制御できるため、セキュリティエージェントにとってカーネル空間は最適な環境です。つまり、ランタイム保護にとって eBPF は重要な機能です。また、eBPF は、システムコール、ファイル、ネットワークなどを保護する単一のフレームワークを提供し、複数のシステムアーキテクチャをサポートするための自然な選択肢となります。 eBPF は、Linux およびクラウドネイティブの監視ツール、ネットワークインフラ、セキュリティツールの開発のメインテクノロジーとして広く採用されています。
効果的で安全、かつ高速なランタイム保護
Aqua の Lightning Enforcer は、導入後すぐに本番環境の保護を開始し、既知のエクスプロイトの試みを捕捉し、コンテナ/ホスト上の変更および動作ベースの検出方法を使用してゼロデイなどの未知のエクスプロイトを特定します。特許取得済みの Drift Detection 技術は、新しいバイナリが作成された場合、または悪意ある者が元のビルドに含まれていない新しいオブジェクトを作成しようとした場合、直ちに詳細なアラートを発報します。検知の可視性は、Aqua のセキュリティ研究チームである Team Nautilus による脅威インテリジェンス研究によって補完されています。研究チームは日ごろから本番環境やハニーポットで高度な攻撃を観察しており、そのインテリジェンスを Enforcer が使用するシグネチャとして活用することで、攻撃の指標を特定し、新たな脅威から保護します。
Lightning Enforcer は、実運用環境で何が起こっているかを正確に把握するために、効果的なインシデント管理を提供します。エージェントを展開した直後から、実行中のコンテナとホストの脆弱性とリスクをスキャンし、ランタイムの攻撃対象領域を可視化します。ランタイム保護コントロールは、ワークロードにファイルがドロップされた瞬間、または実行直前に悪意のあるファイルを検出し、脅威を即座に除去します。
Lightning Enforcer の動作監視と Drift Prevention コントロールは、コンテナでのファイルレス実行、不変であるべきワークロードへの新しいバイナリのドロップ、コンテナエスケープイベントなど、疑わしい動作を警告します。Lightning Enforcer によって生成された検出結果は、Aqua Platform のユーザインタフェースに攻撃の詳細な情報を含むセキュリティタイムラインを提供し、インシデントレスポンスチームが脅威を迅速に調査して緩和することを可能にします。
安定性は、Lightning Enforcer の重要な要素です。eBPF テクノロジーは、ランタイム保護に対してより現代的なアプローチを導入し、従来のエージェントの負荷やリソースの負担を解消します。ランタイムソリューションを導入する際、セキュリティ担当者の大きな懸念は、ツールがワークロードに与えるパフォーマンス上の負担です。パフォーマンスの問題は、CPU 使用率の上昇を招き、クラウドネイティブアプリケーションの環境では、リソースを拘束し、収益に根本的な影響を及ぼします。最も重要なことは、新しいランタイムセキュリティ対策を導入することで、通常のアプリケーション運用と回復力を損なってはならないということです。Lightning Enforcer を使用すれば、実行中のワークロードの通常の運用を妨げることなく、強力なセキュリティ防御を導入していると確信できるはずです。
Aqua Lightning Enforcer は軽量で、システム上のオーバーヘッドを削減します。実際、内部テストでは、非 eBPF エージェントと比較して、65% の負荷軽減が実証されています。eBPF 技術は、検出機能のための単一のフレームワークを提供し、その結果、よりシンプルで互換性のあるエージェントになります。Lightning Enforcer は、実行中のアプリケーションにほとんどリスクや影響を与えることなく、クラスターやホストに数分で導入できます。環境全体にわたってスケーラビリティを確保できるように設計されているため、検出までの時間が短縮されます。
挙動検知は自動で行われ、手動でポリシーを設定する必要がないため、時間とリソースを節約できます。Lightning Enforcer のランタイムセキュリティポリシーは、Team Nautilus によって発見された実際の脅威を基に作成されているため、高度な攻撃を即座に検出できます。実際、Lightning Enforcer を導入してすぐに可視化することは、包括的なランタイム保護を保証するためのベストプラクティスです。これは、シフトレフトセキュリティ手法では発見できなかった潜在的な未知の脆弱性に対する攻撃を監視するための最初のステップとなります。
Aqua Lightning Enforcer は、Aqua Platform がすぐに使える CNDR(Cloud Native Detection and Response)を提供することを可能にします。これは、多忙なセキュリティ専門家のために設計された、強力かつ軽量のランタイム保護です。明確で実用的なインサイトを提供するため、悪意のあるセキュリティイベントが検出された瞬間にインシデント対応チームがアラートを発することができます。Aqua を使用することで、堅牢なランタイムセキュリティプログラムを開発し、本番環境が高度な攻撃から保護されていることが確信できるはずです。
あらゆる角度から保護
シフトレフトスキャンとクラウド環境の堅牢化は、クラウドネイティブセキュリティ戦略の重要な要素ですが、検知を回避して本番環境へのアクセスを試みる攻撃者からランタイム時に保護する方法がなければ、こうした努力はすべて無意味なものになってしまいます。実際、Google Project Zero によると、2022年上半期に攻撃で悪用されたゼロデイ問題の少なくとも半数は、古い欠陥が適切に修正されていないことに関連しているとのことです。このことから、ランタイムセキュリティは、既知および未知の脅威の両方から本番環境を保護するための鍵となります。
Aqua の新しい Lightning Enforcer は、Aqua のランタイム保護の一部として現在提供されており、数分で環境全体に展開できます。Aqua Security は、完全に統合されたクラウドネイティブアプリケーション保護プラットフォームである Aqua Platform を提供する唯一のクラウドネイティブセキュリティソリューションプロバイダーです。
Aqua Platform の詳細と、Aqua の Cloud Native Detection and Response(CNDR)がどのように Log4j 攻撃を検出し、阻止したかは、こちらの動画をご覧ください。
