インサイトとリサーチ

アイデンティティベースのセグメンテーションによるApache Log4jエクスプロイトの無力化

フィンガープリントとキーボード

ゼットスケーラーのTheatLabzは12月11日に、Log4jのエクスプロイトの試行を実際に確認し、この脆弱性を分析して、推奨される保護戦略を提示しました。こちらこちらのブログを参照してください。この脆弱性の影響を軽減するために推奨される方法の1つが、アイデンティティを使用したアプリ間のマイクロセグメンテーションの適用です。この記事では、初期段階の侵害を防止し、侵害されたワークロードからの脅威の水平移動を阻止する手段として、アイデンティティベースのセグメンテーションが従来のファイアウォールベースのセグメンテーションより優れている理由を説明しています。

従来のアドレスベースのセグメンテーションは、L3/L4ベースのホストファイアウォールのルールを使用して、通信するものをコントロールしますが、このアプローチでは、IPアドレスから通信しているソフトウェアを判断できないため、有効ではありません。プロトコル情報を監視するL7ファイアウォールであっても、通信ソフトウェアのアイデンティティを確実に判断することはできません。例えば、Log4jサーバが侵害されて不正コードがリモートで実行された場合、不正コードは、承認されたファイアウォールポリシーに乗っ取り、環境を水平移動できるようになります。以下の攻撃シナリオでは、第2段階で最終ペイロードが送り込まれた後に、侵害されたLog4jサーバにより、脅威の水平移動が可能になります。

画像:Fastly

アイデンティティベースのセグメンテーションのソリューションは、エクスプロイトの活性化を防止または抑制するのに役立ちます。最初に、アイデンティティベースセグメンテーションとは、どのように動作するのでしょうか。ゼットスケーラーのブログ記事「アイデンティティベースのマイクロセグメンテーションはクラウドセキュリティの基盤である:スプーフィング対策」で解説されています。該当する部分を以下に抜粋します。

「アイデンティティベースのマイクロセグメンテーションを可能にするため、デバイスやソフトウェアの資産ごとに、バイナリのSHA-256ハッシュやBIOSのUUIDなどの資産そのものの数十のプロパティに基づく不変で一意のアイデンティティが割り当てられます。サブプロセスレベルもアイデンティティの対象になるため、個々のJava JARやPythonスクリプトも一意に識別でき、アイデンティティの作成と管理は完全に自動化されているため、簡単に運用できます。

ゼットスケーラーは、通信ソフトウェアのアイデンティティをリアルタイムで検証します。このゼロトラストのアプローチにより、承認されていない不正ソフトウェアの通信を防止できます。承認されたファイアウォールルールを使用したピギーバック攻撃は過去のものになります。アイデンティティこそが、従来のネットワークセキュリティ管理よりシンプルな運用を実現し、強力な保護を提供する秘策です。」

上記の画像のエクスプロイトの例では、アイデンティティベースのセグメンテーションと最小権限の適用が採用されていたならば、複数の防御レイヤによって攻撃リスクを低減することができました。

  1. 攻撃者のIPは許可されたポリシーに含まれないため、最初のインバウンド接続も許可されることはありません。インバウンド接続を受け取ったホストは、ソフトウェアアイデンティティによって保護され、システムへの無差別アクセスは許可されません。
  2. 脆弱性が存在するサーバから未知の外部エンティティへのアウトバウンド通信は、ポリシーによって許可されることはありませんが、ソフトウェアアイデンティティ検証の対象になります。
  3. 最終ペイロードが実行された場合、他のシステムへの通信を試行する前に不正通信ソフトウェアがフィンガープリンティングされるため、水平移動が許可されることはありません。ゼットスケーラーのアイデンティティベースのセグメンテーションソリューションが最初に、フィンガープリントをゼットスケーラーの脅威フィードと照合し、不正と報告された場合は管理者に通知され、ポリシーで許可されていないソフトウェアは自動的にブロックされます。ソフトウェアによるすべての通信がブロックされ、管理者に通知されます。Zscaler ThreatLabzは、こちらZscaler Threat Libraryで説明されている複数のエクスプロイトシグネチャを確認しました。ホストで動作中の他の承認されたソフトウェアは、ビジネスを中断させることなく通信できます。
  4. 正規あるいは承認されたソフトウェアが攻撃に使用される「環境寄生型」攻撃手法が使用された場合、ゼットスケーラーのセグメンテーションソリューションは、承認されたソフトウェアの通信パターンを分析し、環境の他のシステムへの通信が最小権限アクセスポリシーセットで許可されていない場合は、その通信をブロックします。
  5. また、情報の持ち出しのいかなる試行も、アウトバウンド通信のセグメンテーションポリシーで許可されないため、ブロックされます。
  6. 環境が攻撃されていない場合であっても、Zscaler Workload Segmentationによって環境で通信するすべての脆弱なLog4jシステムのインベントリを作成でき、システムが使用しているソフトウェアフィンガープリントハッシュをAPIを使用して取得して、Githubなどの公開されているハッシュと比較することができます。
  7. RandoriによるLog4jに関するブログ記事は、「Log4jライブラリに所属するJARファイルの存在は、アプリケーションがCVE-2021-44228の影響を受ける可能性があることを示している」と指摘しています。検索する具体的なファイルは、「log4j-core-*.jar」というパターンに一致するはずです。Zscaler Workload Segmentationは従来のアプローチとは異なり、Javaだけでなく、個々のJARファイルなどのサブプロセスレベルにまでアイデンティティを拡張するため、通信ソフトウェアのきめ細かいコントロールが可能になります。ゼットスケーラーはさらに、主要JARファイルのインベントリを作成するため、管理者が環境やアプリケーションの通信トポロジをより深く理解できるようになります。
  8. 最後に、管理が複雑すぎるのであれば、いかなるセキュリティソリューションも有効な手段とは言えません。Zscaler Workload Segmentationは、アイデンティティベースのポリシーを最大90%削減しつつ同レベルのセグメンテーションを可能にすることで、ポリシーを簡素化します。機械学習により、セグメンテーションポリシーを自動的に推奨することで、さらなる運用の簡素化を実現します。

すなわち、ゼットスケーラーのアイデンティティベースセグメンテーションは、ソフトウェアのアイデンティティを検証し、既知の無害のアプリケーションだけに最小特権アクセスを適用し、承認されたパスでの通信を許可します。アイデンティティを使用するセグメンテーションは、アプリケーションやネットワークを変更することなく、広範な脅威からの保護を可能にする、極めて有効な手段です。このアプローチにより、ゼロトラストセキュリティをクラウドやデータセンタ環境のワークロードに容易に拡張できます。ゼットスケーラーの他のソリューションとの連携により、ゼロトラストアーキテクチャを使用して、リスクと将来の脆弱性の影響を最小限にすることができます。

次のアクション:

ワークロードセグメンテーションのカスタムデモを依頼して、今すぐ移行を開始してください。

無料のインターネット攻撃対象領域分析で、Apacheの使用に伴う外部からの攻撃対象領域をチェックできます。

12月15日(水)開催のウェビナーでは、今回のApacheの脆弱性の詳細をエキスパートが解説します。

最新のデジタルトランスフォーメーションのヒントやニュースをご覧ください。

送信ボタンをクリックすると、ゼットスケーラーの プライバシーポリシーに同意したものとみなされます。