Sysdig Secureの新しい調査機能のご紹介

By 清水 孝郎 - JUNE 17, 2024

SHARE:

本文の内容は、2024年6月17日に HARRY PERKSが投稿したブログ(https://sysdig.com/blog/sysdig-introduces-new-cdr-investigation-features)を元に日本語に翻訳・再構成した内容となっております。

クラウドへの移行と継続的なイノベーションにより、組織はスピード、スケーラビリティ、コストなどにおいて大きなメリットを得ることができます (いくつか例を挙げると)。ほとんどのセキュリティチームには、急速に拡大する攻撃対象領域をサポートし保護するために、少なくとも何らかの形でクラウドに移行する以外に選択肢はありません。 

しかし、組織やセキュリティチームだけが攻撃を受けているわけではありません。脅威アクターは、クラウドのスピードを活かすために、その技術をすぐに適応させています。その結果、クラウド攻撃は高速化し、ターゲットのクラウド資産を素早く巡り、広範な機能を利用して目的を達成します。 

代表的な例はSCARLETEEL攻撃です。この攻撃は、組織に侵入し、クリプトマイナーを実行し、クラウド認証情報を暴き、他のクラウド アカウントに切り替え、最終的に独自のデータを盗み出します。これらすべてがわずか 220 秒で実行されます。SCARLETEEL のようなクラウド攻撃の調査は、従来、手間がかかり、エラーが発生しやすい、手作業のプロセスでした。防御側にとって不利な状況であり、セキュリティチームは攻撃が完了する前に脅威を調査できないことが多いのが現実です。

そのため、クラウド セキュリティの唯一の業界標準であるクラウド検出および対応の 5/5/5 ベンチマークでは、攻撃が実行される前に阻止するためにクラウド調査を実行する時間はわずか 5 分であると定められています。

新機能: 強化された調査機能

今日、Sysdigはイベント、ポスチャー、脆弱性からアイデンティティへの自動収集と相関を通じて、クラウド検知および対応(CDR)のユースケースを効率化しています。これらの機能が提供するクラウドコンテキストは他に類を見ないものです。この情報のインタラクティブな視覚化により、アナリストは攻撃を即座に把握でき、最も高度な脅威に対する5分間の調査を実現します。

調査を強化する主な新機能は次のとおりです。

  • 攻撃連鎖の可視化
  • リアルタイムのアイデンティティ相関 
  • 調査ワークフローの最適化

攻撃連鎖の可視化 

セキュリティ チームは、Sysdig Cloud Attack Graph を使用して、アラートや疑わしい発見を調査の出発点として活用できます。グラフは攻撃チェーンの視覚化を提供し、セキュリティアナリストがリソース間の関係と、クラウド環境全体にわたる攻撃連鎖への影響を迅速に理解できるようにします。

脅威のコンテキストを Sysdig セキュリティ グラフに重ね合わせると、対応者は攻撃の爆発半径をすぐに把握できます。

Sysdig による攻撃連鎖の可視化は、クラウドおよびワークロード イベントを ID に自動的に関連付けることで調査を加速します。コマンド履歴、ネットワークおよびファイル アクティビティからの詳細なコンテキストは、オーバーレイから簡単に収集できます。Sysdig の自動キャプチャーにより、アナリストはデジタルフォレンジック証拠をイベントに自動的に結び付けて、より深く調査することができます。リアルタイムのコンテキストは、脆弱性および構成ミスの検出結果と組み合わされ、脅威の包括的かつ全体的なビューを提供します。ワークフローをさらに簡素化し、必要に応じて調査ウィンドウを絞り込むために、すべての調査は MITRE にマッピングされ、フィルター可能です。 

アクティビティ監査やプロセス ツリーなどの、ポスチャ、脆弱性、詳細なランタイム分析情報をコンテキスト化します。

リアルタイムのアイデンティティ相関 

本質的に、すべてのクラウド攻撃はアイデンティティを中心に展開します。人間であれマシンであれ、1 つであれ複数であれ、アナリストは疑わしい発見をアイデンティティとその関連する動作に結び付ける方法を必要とします。Sysdig の強化された調査機能は、クラウド イベントを強化されたアイデンティティデータと自動的に相関させます。攻撃チェーンの視覚化を使用することで、アナリストは異常なログイン、あり得ない移動シナリオ、悪意のある IP アドレスなどの疑わしいアイデンティティ動作を迅速に把握できます。このコンテキストにより、チームはインフラストラクチャ内の脅威アクターが誰で、何を、どこで、どのように行うかを迅速に把握できます。

ID 調査により、クラウド環境で発生しているアクティビティを把握します。

この可視性により、チームは、悪意のある攻撃者によって侵害される前の権限に権限を構成するなどして、過剰な権限を迅速に適正化することもできます。 

添付されたロールを理解し、さらに調査します。

調査ワークフローの最適化 

単一の専用プラットフォームでサイロを解消し、下流の活動を効率化できます。セキュリティは、主要な関係者に関連性の高い高度なガイダンスを提供することで、重要かつ貴重なビジネス パートナーになります。迅速な調査結果により、インシデント対応、プラットフォーム、開発者、DevSec チーム全体にわたる対応アクションの規範的なガイダンスが可能になります。これらの迅速な調査結果により、対応チームは5/5/5 ベンチマークで概説されている 5 分間の対応基準に従って、5 分以内に対応を開始できます。 

これらの調査によって提供される強化されたインシデント報告結果(例えば、攻撃を引き起こすために悪用された設定ミス、権限、および脆弱性など)は、予防的なコントロールを調整し強化するために共有されます。この予防的コントロールの継続的な改善に焦点を当てることで、インシデントの再発を防止し、組織のクラウドリスクを軽減することができます。 

 

Sysdig の強化された調査でクラウド攻撃を先取り

クラウドの検知と対応の高速化は、現代の攻撃に対抗するために不可欠です。自動化によって加速するクラウド攻撃は、調査をさらに迅速に進める必要があることを意味します。Sydig の強化された調査により、効率が向上し、スキル ギャップが減り、セキュリティ チームとプラットフォーム チームがより情報に基づいた意思決定をより迅速に行えるようになります。 

今後開催されるウェビナー「わずか5 分でわかるクラウド調査にご参加ください。セキュリティ専門家とクラウド検出と対応の進化とその影響について話し合います。