CICD-SEC-10

定義

不十分なログ記録と可視化のリスクがあると、攻撃者が CI/CD 環境内で悪意のある活動を、インシデント後の調査の一環として攻撃者の TTP (技法 (Techniques)、戦術 (Tactics)、手順 (Procedures)) を特定することを含めて、攻撃キルチェーンのどの段階でも検出されずに実施できてしまいます。

解説

強力なログ記録と可視化機能の存在は組織の能力としてセキュリティ関連インシデントに備え、検知し、調査するために不可欠です。

ワークステーション、サーバー、ネットワークデバイス、主要な IT およびビジネスアプリケーションは、一般的に組織のログ記録および可視化プログラム内で徹底してカバーされますが、エンジニアリング環境のシステムとプロセスには当てはまらないことがよくあります。

エンジニアリング環境とプロセスを利用する潜在的な攻撃ベクトルが数多くあることを考えると、セキュリティチームはこれらの攻撃が発生したらすぐに検出するための適切な機能を構築することが不可欠です。これらのベクトルの多くはさまざまなシステムに対してプログラマチックアクセスを利用することを伴うため、この課題に向き合う際に重要な側面は人的アクセスとプログラマチックアクセスの両方について強力なレベルの可視化を作り上げることです。

CI/CD 攻撃ベクトルの高度な性質を考えると、システムの監査ログ (ユーザーアクセス、ユーザー作成、パーミッション変更など) とアプリケーションログ (リポジトリへのイベントのプッシュ、ビルドの実行、アーティファクトのアップロードなど) の両方が同じレベルで重要です。

影響

攻撃者は目的を達成するための手段としてエンジニアリング環境へ徐々にシフトしており、これらの環境において適切なログ記録と可視化コントロールを確保していない組織は、侵害を検出できず、調査能力が低いために緩和や修復で大きな困難に直面する可能性があります。

攻撃を受けている組織にとって時間とデータは最も貴重な財産です。関連するすべてのデータソースが一元化された場所に存在するかどうかが、インシデント対応シナリオを成功に導くか、壊滅的な結果となるかの分かれ目となる可能性があります。

推奨事項

十分なログ記録と可視化を実現するためにはいくつかの要素があります。

  • 環境のマッピング - 強力な可視化機能は潜在的な脅威に関与するさまざまなシステムすべてに精通していなければ実現できません。潜在的な侵害は SCM、CI、アーティファクトリポジトリ、パッケージ管理ソフトウェア、コンテナレジストリ、CD、オーケストレーションエンジン (例: K8s) などの CI/CD プロセスに参加するシステムのいずれかが関与している可能性があります。

    組織内で使用されているすべてのインベントリを特定および構築して、これらのシステムのすべてのインスタンスを含めます (特に Jenkins などの自己管理システムに関連します) 。

  • 適切なログソースの特定と有効化 - 関連するすべてのシステムを特定したら、次のステップは関連するすべてのログが有効になっていることを確認することです。これはさまざまなシステムでデフォルトの状態ではありません。可視化は許可されているさまざまな手段を用いて人的アクセスとプログラマチックアクセスの両方について最適化すべきです。適用可能なログソースだけでなく、関連するすべての監査ログソースを特定することにも同じレベルで重点を置くことが重要です。

  • ログを一元化された場所に配送 (SIEM など) 検出や調査を行うためにさまざまなシステム間のログの集約と関連付けをサポートします。

  • 異常や潜在的なアクティビティを検出するアラートを作成 各システム自体とコード出荷プロセスの異常の両方があります。複数のシステムが関与し、内部ビルドとデプロイメントプロセスに関する深い知識が必要です。

参考情報

ログ記録と可視化機能はインシデントで悪用されたリスクに関係なく、あらゆるインシデントを検出し調査できるようにするために不可欠であり関連があります。CI/CD システムに関連する近年のセキュリティインシデントでは、当該攻撃の被害範囲を適切に調査し理解できるように、被害者となる組織が強力な可視化を持つことが必要となっています

PreviousCICD-SEC-9

Last updated