まるで、インフィニティストーンを埋め込んだガントレットを装着して、指パッチンをした、あの映画の一場面のようです。さっきまで、クラウド環境は健全で、コンテナ、アプリ、データはあるべき場所にありました。それが一瞬で、誰か他の者が、消えずに残されたものとその操作の制御を手に入れてしまいます。

クラウド環境に侵入する脅威アクターを、指パッチンで全世界の人類の半分を消したマーベル シネマティック ユニバースのサノスになぞらえることは大げさに聞こえるかもしれませんが、どちらも自分の運命を他人に決められることに違いはありません。ビジネスの世界でも、マーベルの映画と同様に、これが連鎖反応を起こして組織だけでなく世界全体を脅かすことになりえるのです。組織のクラウドフットプリントの大小にかかわらず、攻撃者はクラウド環境で可能なことを知れば知るほど大胆さを増し、相互につながりのある世界にとって危険性が増します。

今、すべての望みが絶たれたわけではありません。サノスをこのまま惑星ガーデンに引退させる(つまり、放っておく)ようなことはしません。インフィニティストーンを取り返すことで時間を巻き戻すことはできませんが、クラウドセキュリティへのアプローチを防御第一のセキュリティ戦略に転換することはできます。

最初のポイント: クラウド ネイティブ インフラストラクチャを標的にしている者の正体を確かめる

組織のサイバーセキュリティを脅かす悪意ある攻撃者の従来のやり方は、組織の物理的な場所にあるシステムとデバイスを侵害する方法です。クラウド サービス プラットフォーム(CSP)およびクラウド ネイティブ コンテナ プラットフォーム内でインフラストラクチャをホストする技術の普及に伴い、攻撃者は戦術、手法、および手順(TTP)を変更して、クラウドインフラストラクチャを侵害の標的とし始めました。

その結果、脅威アクターの新しい分類が生まれ、Unit 42は「クラウド脅威アクター」と名付けました。Unit 42はクラウド脅威アクターを、クラウドプラットフォームのリソース、サービス、または埋め込まれているメタデータへの直接的かつ持続的なアクセスによって組織に脅威を与える個人またはグループと定義しています。

全般的に従来の脅威アクターと同じ操作ワークフローを踏襲しているものの、クラウド脅威アクターはTTPを高度化しており、クラウド環境のリソースを潜在的に変更、作成、または削除できるような巧妙さが増しています。こういったクラウド脅威アクターの正体、および各クラウド脅威アクターの共通点を詳しく見ていきましょう。

Unit 42による業界初のクラウド脅威アクターインデックス

クラウド脅威アクターにより高まる脅威の阻止をサポートするために、Unit 42のリサーチャーは、業界初のクラウド脅威アクターインデックスを作成しました。これは、クラウドインフラストラクチャを標的とする脅威グループが実行する特定の操作をチャートで表したものです。

クラウド脅威アクターインデックスに含まれるデータは、MITRE ATT&CK®クラウドおよびコンテナマトリックスに従っており、これらの脅威アクターが採用するTTPについて伝達および議論するための共通のフレームワークをセキュリティ専門家に提供します。さらに、クラウド脅威アクターインデックスはUnit 42 ATOMサービスも採用し、クラウド脅威アクターが使用した既知のすべてのセキュリティ侵害インジケータ(IoC)を、業界標準のSTIX/TAXII形式にパッケージ化して、セキュリティ専門家に提供します。この形式はクラウド セキュリティ ツールおよびプラットフォームと簡単に統合できます。

クラウド脅威アクターインデックスでハイライトされたグループはすべて、クラウド サービス プラットフォームを直接標的にします。クラウド脅威アクターはさらに一歩踏み込んで、従来のセキュリティ防御を回避した後は、侵入した組織のクラウドインフラストラクチャ内で最初の足がかりをすぐに見つけてしまいます。

以下のセクションでは、クラウドを標的とするクラウド脅威アクターのトップ5の一つについて説明します(このクラウド脅威アクターはインデックスにも含まれています)。その後で、例を挙げながら、こういったグループがTTPの少なくとも2つを実行できないように阻止する方法を紹介します。

WatchDog: Stealer (情報窃取ツール)

以下は、クラウド脅威アクターインデックスに示されているWatchDogとそのTTPの説明です。

「WatchDogはクラウドに焦点を合わせた脅威グループで、クリプトジャッキング攻撃とクラウド サービス プラットフォームの認証情報スクレイピングを行ったことが明らかになっています。最初に認知されたのは2019年1月27日の攻撃活動です。多様なカスタムビルドのGoスクリプトを使用したり、TeamTNTを含む他のグループからのクリプトジャッキングスクリプトを再利用したりします。現在は、公開されたクラウドインスタンスやアプリケーションを標的とする日和見的な脅威グループだと考えられています。」

このチャートで、赤の背景色はクラウドプラットフォームに固有のTTPであることを示し、緑の背景色はコンテナプラットフォームに固有のTTPであることを示します。赤の文字で示したTTPはクラウドインフラストラクチャの広範な侵害につながるおそれのある操作を表しています。

このチャートで示されているように、WatchDogは、コンテナ固有のものや、コンテナエスケープの実行を可能にするものまで、いくつものTTPを採用しています。興味深いことに、これらのテクニックは、実行から探索まで操作ワークフローのあらゆる段階で使われる可能性があります。

コンテナセキュリティ: 現代のサノスに立ち向かうアイアンマン

ドクターストレンジは、唯一の起こりうる結果として、サノスを完全に打ち負かすことだけを考えていましたが、それにはアイアンマンの自己犠牲が伴いました。同様に私たちも、クラウド脅威アクターがコンテナ固有のTTPおよびコンテナエスケープ/リソース固有のTTPを実行できないように阻止するために、1つの方法だけを考えましょう。そして、その1つの方法は、コンテナセキュリティを確保することです。幸運にも、適切なコンテナセキュリティは、ベストプラクティスを通して実現できます。ヒーローが自己犠牲を強いられることはありません。

コンテナ化されたアプリケーションの脆弱性管理、コンプライアンス、ランタイム保護、およびネットワークセキュリティの要件に対処することを目的として設計されたセキュリティを組織に確保することで、構築からランタイムまでサイクル全体を通して組織を保護する防御戦略を導入できます。

組織に何が必要かを確認するには、ライフサイクル全体のコンテナ セキュリティ ソリューションに求められることについて洞察と情報を示しているこちらの記事を参照してください。

クラウド ネイティブ アプリケーション保護プラットフォームが必要な理由(ここで、アベンジャーズのテーマソングを流しましょう)

ドクターストレンジとアイアンマンは、コンテナがサノスの標的とならないように助けてくれますが、クラウド脅威アクターがクラウドインフラストラクチャに他の方法で侵入するために悪用の機会を伺っている他のTTPについてはどうでしょうか。ここでアベンジャーズから他のメンバーの登場です。チームが一丸となれば、ヒーローが単独で戦うよりもずっと強くなることに間違いありません。

ドクターストレンジとアイアンマンから、キャプテンアメリカとスパイダーマン、ブラックウィドウやホークアイに至るまで、マーベルのすべてのヒーローとアベンジャーズの他のメンバーすべてが一丸となれば、サノスにチャンスはありません。同様に、組織がライフサイクル全体のクラウドセキュリティを導入すれば、WatchDogにもその他のクラウド脅威アクターにもチャンスはありません。

したがって、組織への侵入口を見つけて、組織を制御下に置こうとするこういったクラウド脅威アクターグループに対して、独自の防御兵器を組み立てることが不可欠です。これを行う最善の方法は、クラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)を導入することです。

CNAPPを導入すれば、すべてのインフィニティストーンを手に入れて、アベンジャーズのすべてのメンバーを味方につけるのと同じです。つまり、クラウド コード セキュリティ、クラウドセキュリティ体制管理(CSPM)、クラウドワークロード保護(CWPP)、クラウド ネットワーク セキュリティ(CNS)、およびクラウドIDセキュリティを確保できます。確かに、これらの機能はすべて単独でも強力ですが、組織でこれらの機能を一つにまとめれば、クラウド脅威アクターは無力になります。

Unit 42のクラウド脅威アクターインデックスの入手

Unit 42の最新のクラウド脅威レポート「IAMはセキュリティ対策の最前線」では、クラウド脅威リサーチャーがクラウド脅威アクターについて5つのTTPのチャートを提供しています。また、適切なIDとアクセス管理が、クラウド脅威アクターの標的にされないよう保護するための防御の最前線となる仕組みを詳しく説明しています。最後に、Unit 42リサーチャーは、CNAPPスイート統合の導入、IAM権限の厳格化、およびセキュリティ自動化の促進を行う方法を含め、今すぐ組織の保護を開始するための詳細な推奨事項を紹介しています。

Unit 42クラウド脅威レポートVol. 6を今すぐダウンロードして、ヒーローのチームを作るのと同じように重要な防御機能を組み合わせて、コードからクラウドまで組織を安全に保つクラウド ネイティブ アプリケーション保護プラットフォームの実装を開始する方法をご確認ください。

It’s like the snap of a familiar set of fingers wearing the gauntlet embedded with infinity stones. One moment, your cloud environment is untouched, containers, apps and data all right where they should be. The next, someone else is in control of what still exists and how it’s going to be used.

While it might sound dramatic to compare threat actors infiltrating your cloud environment to Thanos from the Marvel Cinematic Universe snapping his fingers to wipe out half of the universe, what both scenarios have in common is someone else deciding your fate. In a business setting, just like in the Marvel movies, this can have ripple-effect consequences that can be threatening to your organization and the rest of the world. No matter how small or large an organization’s cloud footprint may be, the more that attackers realize what’s possible in a cloud environment, the bolder they become – and the more dangerous to our interconnected world.

Now, all hope is not lost. It’s not as if we just let Thanos live in the Garden peacefully (in other words, walking away without consequences). While we can’t rewind time by taking the infinity stones for ourselves, we can change our approach to cloud security with a prevention-first security strategy.

First Things First: Learn Who Targets Cloud Native Infrastructure

Malicious actors who threaten your organization’s cybersecurity have historically done so by compromising systems and devices within an organization’s physical location. With the rise of hosting infrastructure within cloud service platforms (CSPs) and cloud native container platforms, attackers are modifying their tactics, techniques and procedures (TTPs) in order to compromise cloud infrastructure.

As a result, a new classification of threat actors has emerged, labeled by Unit 42 as “cloud threat actors.” Unit 42 defines a cloud threat actor as an individual or group posing a threat to organizations through directed and sustained access to their cloud platform resources, services or embedded metadata.

While cloud threat actors follow the same overall operational workflow as traditional threat actors, cloud threat actors have evolved their TTPs to a level of sophistication that enables them to potentially modify, create or delete cloud environment resources. Let’s dive into some of the details of who these cloud threat actors are and what they have in common with each other.

Unit 42’s Industry-First Cloud Threat Actor Index

To assist in defending against the growing threat of cloud threat actors, Unit 42 researchers created an industry-first Cloud Threat Actor Index, which charts the specific operations performed by threat groups who target cloud infrastructure.

The data found in the Cloud Threat Actor Index follows the MITRE ATT&CK® cloud and container matrices, giving security professionals a common framework around which to communicate and discuss the TTPs employed by these threat actors. The Cloud Threat Actor Index also employs the Unit 42 ATOM service to provide security professionals with all of the known indicators of compromise (IoCs) used by the cloud threat actors packaged within the industry standard STIX/TAXII format. This format allows for easy integration with cloud security tools and platforms.

The groups highlighted in the Cloud Threat Actor Index all directly target cloud service platforms. Going a step further, once they bypass traditional security defenses, they are able to gain an initial foothold within the compromised organization’s cloud infrastructure.

In the following section, we will explore one of the top five cloud threat actors targeting the cloud (this cloud threat actor can also be found in the index). We will then follow that example by explaining how these groups could be prevented from being able to execute at least two of their TTPs.

WatchDog: The Stealer

A description of WatchDog and their TTPs from the Cloud Threat Actor Index can be found below:

“WatchDog is a cloud-focused threat group that has a history of cryptojacking operations as well as cloud service platform credential scraping. They were first known to operate on Jan. 27, 2019. They use a variety of custom-built Go Scripts as well as repurposed cryptojacking scripts from other groups, including TeamTNT. They are currently considered to be an opportunistic threat group that targets exposed cloud instances and applications.”

In the chart above, the red background denotes TTPs specific to cloud platforms, whereas the green background denotes TTPs that are container-platform specific. TTPs in red font denote operations that can lead to the wider compromise of cloud infrastructure.

As shown in the chart, there are several TTPs WatchDog employs that are container-specific and even allow for the possibility of container escape. Interestingly, these techniques can occur across any stage of the operational workflow – from execution all the way through to discovery.

Container Security: The Iron Man to a Modern Thanos

Dr. Strange only saw one possible outcome to defeating Thanos once and for all, which involved Iron Man sacrificing his own life; similarly we see one way (and only one) to ensure that cloud threat actors are unable to perform container-specific and container escape/resource-specific TTPs. And that one way would be through container security. Luckily, proper container security can be achieved through best practices – no heroes need sacrifice their lives.

By ensuring that your organization has purpose-built security that addresses vulnerability management, compliance, runtime protection and network security requirements for containerized applications, you are putting into place a prevention strategy that keeps you protected all the way from build to runtime and everything in between.

If you’re curious what to look for, this informational article provides insight into what a full lifecycle container security solution should have.

Why You Need a Cloud Native Application Protection Platform (Cue the Avengers Theme Song)

So Dr. Strange and Iron Man have helped make sure your containers can’t be targeted by Thanos, but what about all those other TTPs just waiting to be put to malicious use to infiltrate your cloud infrastructure some other way? That’s where the rest of the Avengers come in, and we all know that the team together is more powerful than any hero working alone.

When all the Marvel heroes work together: from Dr. Strange and Iron Man, to Captain America and Spider Man, to Black Widow and Hawkeye and the rest of the Avengers, Thanos doesn’t stand a chance. In the same way, when your organization deploys full lifecycle cloud security, neither does WatchDog or any other cloud threat actor.

For that reason, it is essential to assemble your own arsenal of defenses against these cloud threat actor groups, who are looking for any way to infiltrate your organization and take control of it. The best way to do that would be to employ a cloud native application protection platform (CNAPP).

With a CNAPP, you have the equivalent of every infinity stone and Avenger on your side: cloud code security, cloud security posture management (CSPM), cloud workload protection (CWPP), cloud network security (CNS) and cloud identity security. Sure, all of these capabilities are powerful on their own, but when your organization brings them together, cloud threat actors will be rendered powerless.

Get Your Copy of Unit 42’s Cloud Threat Actor Index

In Unit 42’s latest Cloud Threat Report, “IAM The First Line of Defense,” cloud threat researchers provide five cloud threat actor TTPs charts. They also dive into how proper identity and access management can be your first line of defense in protecting against being targeted by cloud threat actors. Finally, Unit 42 researchers provide in-depth recommendations for getting started on protecting your organization today, including how to deploy CNAPP suite integration, how to harden IAM permissions and how to increase security automation.

Download the Unit 42 Cloud Threat Report, Volume 6, now and learn how you can get started with implementing a Cloud Native Application Protection Platform that combines key defenses like a team of heroes and keeps your organization secure from code to cloud.

P.S. Want to learn about the research and recommendations directly from the experts? Watch our LinkedIn Live event on-demand now!