Last Updated on 2024-10-24 07:20 by admin
Permiso Securityは、Black Hat AsiaでAmazon Web Services(AWS)のイベントログ内のサイバー攻撃の兆候を探すためのオープンソースツール「Cloud Console Cartographer」を発表した。このツールは、AWSの管理コンソールを通じてアクセスする際に発生する大量のイベントを、ユーザーの実際の行動の記録にまとめることを目的としている。AWSのログは、プログラム的なAPIコールごとに単一のイベントを生成するが、ウェブコンソールを介してアクセスすると、イベントの数が指数関数的に増加する。例えば、ユーザー、ワークロード、ロールを81回クリックすると、AWSログファイルに5,370のイベントが記録される。
Cloud Console Cartographerは、CloudTrailによってキャプチャされたイベントのリストを、ユーザーが取った行動の簡潔なタイムラインに変換する。このプログラムは、クラウドログにコメントを追加し、一連のキャプチャされたイベントを実際のユーザー行動、つまり「シグナル」として分類する。現在、ユーザー行動を分類するためのルールが240以上作成されており、ログファイルを豊かにするために使用される。このツールはGitHubで利用可能になり、ウェブインターフェースを通じてシグナルを表にリストアップする。
BohannonとAhmetiは、AWS以外のクラウドプラットフォームでこのツールを開発する可能性について言及しているが、異なるクラウドプロバイダーが異なるログ記録方法を持っているため、AWSで機能するものがMicrosoft AzureやGoogleのCloud Platformで機能するとは限らない。
【ニュース解説】
Amazon Web Services(AWS)のイベントログを解析し、サイバー攻撃の兆候を見つけ出すための新しいオープンソースツール「Cloud Console Cartographer」が、Permiso SecurityによってBlack Hat Asiaで発表されました。このツールは、AWSの管理コンソールを通じて行われる操作が生成する膨大なイベントログの中から、実際のユーザー行動を抽出し、それを明確なタイムラインにまとめることを目的としています。
AWSでは、プログラム的なAPIコールごとに単一のイベントが生成されますが、ウェブコンソールを介して操作すると、イベントの数が指数関数的に増加します。この大量のイベントログは、重要な情報を見つけ出すことを困難にし、攻撃者がデータの洪水の中に隠れることを可能にします。Cloud Console Cartographerは、この問題に対処するために開発され、240以上のルールを用いてイベントをユーザー行動に分類し、ログファイルを豊かにします。
このツールの開発は、クラウド環境におけるセキュリティの強化に貢献します。クラウドサービスの利用が増加する中で、ログデータの解析はサイバーセキュリティの重要な側面となっています。しかし、AWSのようなクラウドプラットフォームが生成するログの量は膨大であり、重要な情報を見つけ出すことが困難です。Cloud Console Cartographerは、この大量のデータから有用な情報を抽出し、セキュリティ担当者が攻撃を迅速に検出し、対処することを支援します。
しかし、このツールはAWS専用に開発されており、Microsoft AzureやGoogle Cloud Platformなど他のクラウドプラットフォームには直接適用できないという制限があります。異なるクラウドプラットフォームはそれぞれ独自のログ記録方法を持っており、このツールの適用範囲を拡大するには、それぞれのプラットフォームに合わせた調整が必要になります。
Cloud Console Cartographerの提供は、セキュリティコミュニティにとって大きな前進です。このツールは、クラウド環境におけるセキュリティ対策の効率化を図ることができ、セキュリティ担当者がより迅速に脅威に対応できるようになります。また、オープンソースとして提供されることで、広くセキュリティコミュニティに受け入れられ、改善や拡張が期待されます。しかし、異なるクラウドプラットフォームへの適用には、追加の開発とカスタマイズが必要となるため、その普及範囲は今後の開発次第と言えるでしょう。
from Open-Source Tool Looks for Signals in Noisy AWS Cloud Logs.
