1. はじめに
Oracle Cloud Infrastructure(以下OCI)のCloud Guardの新しい機能でThread Detectorというセキュリティ脅威に関連するユーザのふるまい検知の機能が加わりましたので、以下に記載します。
2. Cloud Guard Threat Detectorとは
Thread Detectorについてお話する前に、まずMITRE ATT&CK (マイター・アタック)というセキュリティフレームワークについて説明したいと思います。このMITRE ATT&CKは、MITRE社という米国の連邦政府が資金を提供する情報セキュリティ専門の非営利組織によって管理・考案され、敵対戦術とテクニックに関するナレッジベースになります。つまりセキュリティリスクといっても多種多様でセキュリティリスク毎にその対策が異なりますので、それぞれの脅威にどのように検知、対応したらよいのかをMITRE社が実際の観測に基づいてナレッジベース化したフレームワークです。
https://attack.mitre.org/matrices/enterprise/cloud/iaas/
このフレームワークに従ってOCIを利用しているユーザがどのように検知するのかというのを体系化したものが、今回のCloud Guard Threat Detectorです。
元々Cloud Guardは主にOCI上のセキュリティ的な設定ミスを見つけることができるサービスですが、Cloud Guard Threat Detectorは機械学習を使ってユーザアカウントに対してふるまい検知を行い、脅威を検出するサービスになっています。日々、ユーザーのふるまいをラーニングしていくことで通常のふるまいを学習し、いつもと異なるユーザのふるまいがあれば、それを検知することができるサービスになっています。例えば、複数のテナントや地域にまたがる可能性のあるパスワードスプレーのような攻撃をより適切に検知することができます。
この機械学習の進捗に沿って以下の画像の表のように折れ線グラフでユーザごとのリスクスコアがでてきますのでセキュリティリスクの傾向を見ていくことができます。また、このCloud Guard Threat Detectorの利用は課金無し(無償)で利用可能です。
◆Cloud Guard の新しい機能:
- マシーンラーニングを活用した脅威検出サービス
- 標的型脅威モデルの実行
- MITRE ATT&CK®フレームワークに準拠
- 単なる異常ではなく、悪意のある行動を検出
- 目撃情報の重要性と信頼性を評価
- 攻撃の進行状況に応じてグローバルなリスクスコアを付与
- レスポンダ自動化のトリガーとなる問題を作成
- 継続的な改善のためのフィードバックを追跡
3. Cloud Guard Threat Detectorの設定
Cloud Guard Threat Detectorの設定はシンプルで「OCI Threat Detector Recipe」のディテクタレシピをコンパートメントに割り当てるだけで、サービスが有効になります。
メニューからアイデンティティとセキュリティ->ディテクタ・レシピを選択します。
クローンをクリックします。
「クローニング」で「OCI OCI Threat Detector Recipe(Oracle管理)」を選択、
「名前」を入力し、「コンパートメントの割当て」でコンパートメントを選択して、「クローン」をクリックすることで、ディテクタ・レシピに追加されます。
最初はリスクスコアが安定しませんが、ユーザのふるまいを日々ラーニングしていくことで通常のふるまいを学習し、セキュリティリスクを検知可能です。以下はユーザごとのリスクスコアです。
4. まとめ
Cloud Guard Threat Detectorはユーザのふるまいを機械学習し、内部のセキュリティの脅威を防ぐCloud Guardの新しい機能です。ディテクタレシピにThreat Detector Recipeを追加ことでマシーンラーニングによる内部のリスク検知が可能となります。無償で利用できる機能ですので多層防御の観点でもうまく活用頂くことをお勧めします。