2023年版グローバルクラウド脅威レポートでは、一部のソフトウェア・サプライチェーンに潜む脅威と、クラウドでの自動化がどのように武器化されたかを分析しています。
<このプレスリリースは8/2/2023に米国で発表されたリリースの抄訳です>
8/2/2023 – 米国カリフォルニア州サンフランシスコ発 — ランタイム・インサイトを活用したクラウドセキュリティのリーダーであるSysdigの最新レポートによると、偵察から攻撃完了までの平均時間はわずか10分となっています。Sysdigの脅威調査チームは、2023年版グローバルクラウド脅威レポートのために世界中のハニーネットを使用し、驚くべき事実を明らかにしました。クラウドの攻撃者は、企業をクラウドに誘い込むのと同じことを利用していることは明らかです。防御側はソフトウェアのライフサイクル全体を保護する必要がありますが、攻撃側は1回だけ正しければよく、自動化によってさらに容易になっています。
ブログ記事を読む 2023年世界クラウド脅威レポート: クラウド攻撃は光の速さ
主な調査結果
- クラウド自動化の武器化: クラウド攻撃は素早く起こります。偵察と発見はさらに速い。これらのテクニックを自動化することで、攻撃者はターゲット・システムのギャップを見つけたら即座に行動することができます。偵察アラートは何かがおかしいという最初の兆候であり、発見アラートはブルーチームが遅すぎることを意味します。
- 10分で攻撃開始: クラウドの攻撃者は迅速かつ場当たり的で、攻撃を開始するまでに費やす時間はわずか10分です。Mandiant社によると、社内での滞留時間の中央値は16日であり、クラウドのスピードが際立っています。
- 安全性が90%のサプライチェーンでは十分ではない:先進的なサプライチェーンの脅威の10%は、標準的なツールでは見えません。回避技術により、攻撃者はイメージが展開されるまで悪意のあるコードを隠すことができます。この種のマルウェアを特定するには、ランタイム解析が必要です。
- クラウド攻撃の65%が通信事業者とフィンテックを標的に: 通信事業者と金融事業者は、貴重な情報を豊富に持ち、手っ取り早くお金を稼ぐ機会を提供しています。この両業界は、詐欺スキームの魅力的なターゲットです。
Sysdig社 脅威リサーチ・ディレクター、Michael Clark(マイケル・クラーク)のコメント
「攻撃者はクラウドを悪用することに長けており、単に偵察スクリプトを作成したり、クリプトマイナーやその他のマルウェアを自動展開したりできるだけではありません。クラウドのパワーを最大限に引き出すツールを武器に変えてしまうのです。Infrastructure-as-Code(IaC)を悪用して保護ポリシーを回避するのは、その一例です。」
Sysdig社 脅威リサーチエンジニア、Alessandro Brucato(アレッサンドロ・ブルカート)のコメント
クラウドネイティブの攻撃者は、”everything-as-code “のエキスパートであり、自動化のファンです。Falcoのようなオープンソースの”detection-as-code”のアプローチは、ブルーチームがクラウドで一歩先を行く方法です」
*ブルーチーム:サイバー攻撃への防御力を検証するため、自組織を模擬的に攻撃するレッドチームに対し、それを防御するチームのこと。
方法論
2023年グローバルクラウド脅威レポートは、オープンソースインテリジェンス(OSINT)とSysdigのグローバルデータ収集(ハニーポットネットワークを含む)を通じて発見されたデータと、Falcoオープンソースコミュニティからの入手可能な情報に基づいています。Sysdigは、2022年10月から2023年6月にかけて、アジア、オーストラリア、欧州連合、日本、北米、南米、英国で調査を実施しました。
参考資料
Sysdigについて
クラウドでは、1秒1秒が重要です。攻撃は瞬時に進行します。その環境でセキュリティチームはビジネスを減速させることなくクラウドを保護しなければなりません。Sysdigは、ランタイムインサイトとオープンソースのFalcoによってリスクの変化を即座に検出し、クラウド攻撃をリアルタイムで阻止します。クラウドのワークロード、アイデンティティ、サービス全体のシグナルを相関させることで、隠れた攻撃経路を発見し、真のリスクに優先順位を付けます。予防から防御まで、Sysdigは企業が重要なこと、すなわち自社のイノベーションに集中できるよう支援します。SECURE EVERY SECOND. – Sysdigで1秒1秒をセキュアに