Dirty Pipeとアプリケーション インフラストラクチャ保護の重要性

今年に入り、Log4jやPwnkitなど、クラウドネイティブな組織に影響を与えるインフラストラクチャ レベルの脆弱性が散見されるようになりました。その流れを引き継いでいるのが、Linuxカーネルで発生する脆弱性「Dirty Pipe」です。Dirty Pipeでは、任意の読み取り専用ファイルのデータを上書きできるようになるため、ルート プロセスへのコード挿入による権限昇格につながる可能性があります。

攻撃者がDirty Pipeを利用して、インフラストラクチャ レベルから損害を与える可能性があることを考えると、これは多くの企業にとって問題であると言えます。しかし、環境全体を包括的に把握することで、このような脆弱性が発生しても適切に管理することができます。

Dirty Pipeに対する防御の問題点

F5の「State of Application Strategy Report」によると、デジタル トランスフォーメーションに取り組んでいる多くの組織が、主要なビジネス アプリケーションの「モダナイズ」に注力しています。イノベーションの促進といった大きなメリットをもたらすこのようなアプリケーションを実行するために、マイクロサービスベースのインフラストラクチャに投資するお客様が増えています。

このようなアプリケーションのモダナイズの推進に伴い、アプリケーションの保護に対するニーズも高まっています。先月、F5はF5 Distributed Cloud WAAPのリリースにより、Bot DefenseやAdvanced WAFのようにアプリケーション層での保護を提供する多くのツールをお客様に提供することで、このニーズに対応しました。このソリューションを利用すれば、主要なビジネス アプリケーションへのアクセスによって組織に影響を及ぼす攻撃をブロックすることができます。

Dirty Pipeのような脆弱性（およびPwnkitやLog4jのような最近のエクスプロイト）の問題点は、標的型攻撃によりインフラストラクチャ レベルの弱点が露呈した場合に、Distributed Cloud WAAPなどのツールを使って攻撃者がアプリケーション層にアクセスするのをブロックするだけでは不十分であることです。アプリケーションの安全性は、それが実行されるクラウドネイティブ インフラストラクチャに依存するため、Dirty Pipeのようなエクスプロイトから防御するには、インフラストラクチャ自体の保護が必要です。Threat Stackの買収により、F5はこの機能も提供できる理想的な立場にあります。

Threat Stackは、クラウド管理コンソールからホスト、コンテナ、オーケストレーションまで、クラウドネイティブなインフラストラクチャ スタックのすべてのレイヤーを監視し、攻撃者がインフラストラクチャにアクセスしたことを示す挙動を監視します。Threat Stackは、このレイヤーに対する脅威を是正するために、お客様が先手を打って迅速に標的型行動を取るために必要な観測能力を提供します。F5と組み合わせることで、お客様はアプリケーションとインフラストラクチャの両レベルの脅威を包括的に把握し、モダナイズされたアプリケーションを保護することができます。

Threat StackによるDirty Pipeへの対応

特にDirty Pipeの場合、Threat Stackのお客様は、Threat Stackの24時間365日体制でのSecurity Operations Center（SOC）による監視および専門知識を提供するOversightの恩恵をすぐに受けることができました。Log4jやPwnkitと同様に、チームは顧客ベース全体にわたってDirty Pipeの兆候がないかどうかを調べ、どのようにお客様をサポートするのが最善かを判断しました。

脅威ハンティングを実施し、専門家による第三者ソースを調査した結果、Log4jと同様に、Threat Stackではこの脆弱性に特有の侵入後の活動が検知されることが判明しました。Threat Stackのルールは、お客様の環境内でDirty Pipeの活動を示す侵害の兆候を観察し、警告を発するように設定されています。

当社では、Log4jやPwnkitなどと同様に、Dirty Pipeがお客様にどのような影響を与えるかを引き続き追跡しています。しかし、ここでより重要なのは、攻撃はインフラストラクチャ レベルで独自に発生する可能性があり、最新のアプリケーションを安全に保つためには、このような攻撃を把握する必要があるということです。Threat StackとF5では、これを実現することに全力を注いでいます。