Falcoによるコンテナランタイムセキュリティ向けのMITRE ATT&CK フレームワーク

本文の内容は、2019年5月10日にSysdigのPawan Shankarが投稿したブログ(https://sysdig.com/blog/mitre-attck-framework-for-container-runtime-security-with-sysdig-falco/)を元に日本語に翻訳・再構成した内容となっております。

MITER ATT＆CKとは、攻撃者が攻撃の過程で使用する可能性がある包括的なナレッジベース、および、200を超える技法で整理された複雑なフレームワークです。 MITREのfullATT＆CKフレームワークは一般に公開されており、3つの要素で分類されています。

1. 戦術 -  ATT＆CKテクニックの「なぜ」を表します。 つまり、敵が行動を起こす理由・戦術的目的です。
2. テクニック - 敵が行動を実行することによって、「どのように」戦術的目的を達成するかを表現しています。 例えば、敵対者は認証情報を使用した接続を達成するために証明書をダンプする事もあります。
3. 手順 - 特定の敵対者による実際の方法や、ソフトウェアへ実装する方法を表現しています。これらはATT＆CKテクニックのセクション例で説明されています。

MITERは、高度な攻撃手法で攻撃する可能性があるすべての戦術、テクニック、および手順（TTP）を分析し、それらを11のカテゴリに分類しました。

実行：実行戦術は、ローカルまたはリモートシステムにおいて敵対者が制御するコードの実行をもたらすテクニックを表現しています。

永続化：永続化は、敵にシステム上の永続的なプレゼンスを与えるシステムへのアクセス、アクション、または設定変更を示します。

特権の昇格：特権の昇格は、攻撃者がシステムまたはネットワーク上でより高いレベルの権限を取得することを可能にするアクションを示します。

防御回避：攻撃者が検出の回避、または、他の防御を回避するために使用する可能性のある技法で構成されています。 時に、これらのアクションは特定の防御や緩和を覆すために、同一か、もしくは、他のカテゴリーのテクニックを組み合わせる事もあります。

認証情報アクセス：企業環境内で使用されるシステム、ドメイン、またはサービスの認証情報へのアクセスまたは制御を行う手法を示します。

探索：これは敵がシステムと内部ネットワークについての知識を得ることを可能にする技術となります。

横展開：これは、敵対者がネットワーク、クラウドのリモートシステムへアクセスを行い、制御することを可能にする技法で構成されています。また、リモートシステム上で実行させるツールも含まれている事もあります。

持ち出し：攻撃者がターゲットネットワークからファイルや情報を削除するのに役立つ、またはそれを手助けするテクニックや属性を示します。

MITRE ATT&CKフレームワークをベースとしたSysdig Falcoルール

Sysdig Falcoは、オープンソースのコンテナセキュリティツールとして、コンテナ内の異常な活動を検出するように設計されています。 Sysdig Falcoはシステムコールを利用して、すべてのシステムアクティビティのイベントストリームを生成します。 Falcoのルールエンジンは、このイベントストリームに基づいてルールを作成することを可能にし、異常に見えるシステムイベントを警告することを可能にします。 柔軟性のあるFalco言語により、ホストレベルでルールを書き、疑わしい行動を特定することができます。

現在、Sysdig Falcoは、コンテナ環境（合計46、さらに追加中）に焦点を当て、8つの主要なMITERフレームワークに準拠したルールを提供しています。 以下は、これらのルールをまとめたものです。 詳細については、対応するセクションのFalcoルールをクリックしてください。

Sysdig Falco MITRE ルールマトリクス

実行

• DB program spawned process
• Run shell untrusted
• Terminal shell in container
• Netcat Remote Code Execution in Container

永続化

• Modify Shell Configuration File
• Schedule Cron Jobs
• Update Package Repository
• Write below binary dir
• Write below monitored dir
• Write below etc
• Write below root
• Write below rpm database
• Modify binary dirs
• Mkdir binary dirs
• User mgmt binaries
• Create files below dev
• Launch Package Management Process in Container
• Remove Bulk Data from Disk Set 
• Create Hidden Files or Directories
• Setuid or Setgid bit

特権昇格

• Launch Privileged Container
• Non sudo setuid

防御回避  

• Clear Log Activities
• Delete Bash History

認証情報アクセス

• Read sensitive file trusted after startup
• Read sensitive file untrusted
• Search Private Keys or Passwords
• Read sensitive file untrusted

探索

• Read Shell Configuration File
• Read ssh information
• Contact K8S API Server From Container
• Launch Suspicious Network Tool in Container
• Launch Suspicious Network Tool on Host

横展開 

• Launch Privileged Container
• Launch Sensitive Mount Container
• Launch Disallowed Container

持ち出し

• System procs network activity
• Interpreted procs inbound network activity
• Interpreted procs outbound network activity
• Unexpected UDP Traffic
• Launch Suspicious Network Tool in Container
• Launch Suspicious Network Tool on Host

Sysdig Falcoの詳細については、ホームページ、または、githubを参照ください！