本文の内容は、2024年9月25日にKat Zivkovic and Marla Rosner が投稿したブログ(https://sysdig.com/blog/bridging-the-cloud-security-skill-gap-with-sysdig-sage/)を元に日本語に翻訳・再構成した内容となっております。
革新的技術の採用と実装のペースには学習曲線があります。トレーニングと教育は遅いスケジュールに従う傾向があり、最先端の発見に追いつくのが困難な場合があります。これが、現在のクラウドセキュリティのスキルギャップにつながっている一因です。
クラウドはソフトウェア開発を変革し、イノベーションと人間の創造性のペースを加速させました。しかし、クラウドは新たなセキュリティ上の課題も生み出していることがわかっています。クラウドは複雑であり、悪意のある行為者に多くの機会を提供します。しかし、IT およびセキュリティの専門家の 4 人に 1 人は、適切な防御に必要なトレーニングを受けるのに苦労しています。
セキュリティ専門家は、進化する脅威に遅れを取らないために迅速に行動する必要があります。クラウドの導入がまだ進行中であるため、小規模なチームでは、自社の環境で何が起こっているかを把握するのに苦労することがあります。誰もが社内に充実した SOC を持っているわけではありません。
そのため、 AI 駆動型クラウド セキュリティ アナリストである Sysdig Sage™ は、あらゆるレベルのセキュリティ専門家が分析と調査を加速し、重要な事項を優先できるように構築されました。しかし、本当に初心者に優しいのでしょうか?
この記事では、Sysdig Sage を非技術的な観点から探ります。ほとんどのサイバーセキュリティ専門家は、製品のウォークスルーに関して 2 人のマーケティング担当者よりも優れたトレーニングを受けていますが、比較的初心者の 2 人が複雑なクラウド セキュリティ環境をナビゲートするのに役立つでしょうか?
250件のイベントが1つのインスタンスで発生する— セキュリティイベントログを見た時にまず目に留まるのは、膨大なデータ量です。クラウドセキュリティ業界ではアラート疲労についてよく耳にしますが、実際にその長いスクロールを目にすると心の準備が追いつかないものです。画面上のすべてが自分の環境内で発生している事象を記録しており、それ自体は非常に有益ですが、何が無害で、何が脅威であり、そしてその脅威の度合いがどれほどかを知らないことが大きな違いを生みます。頭にすぐ浮かぶのは、『一体どこから手をつければいいのだろう?』という疑問です。ー KZ
Sysdig Sage とは?
Sysdig Sageは自律型エージェントのアプローチを採用しており、複数の専門AIエージェントが共通の目標に向かって協力し合い、セキュリティを簡素化・加速し、迅速で情報に基づいた人間の対応を可能にします。
マルチステップの推論とコンテキスト認識の助けを借りて、Sysdig SageはユーザーがUIのどこにいるかを正確に理解し、すべてのランタイムイベントに対して直接的でわかりやすい説明を提供します。また、修復戦略や予防に関するベストプラクティス、改善案も提案します。
これにより、スキルレベルが多様なセキュリティチームにも最適で、チーム全員が必要なサポートを受けることで、より多くの問題を管理し、エスカレーションを減らすことができます。
Sysdig Sage の詳細については、こちらをご覧ください。
セキュリティ プラットフォームにアクセスすると、すぐに情報過多になります。明らかに、大量の貴重なデータがあり、すべて自分の環境で何が起こっているかを伝えていますが、私が話す言語では説明されていません。実際に重要な情報はどれでしょうか? どのイベントが、私が注目する必要がある本当の脅威を表しているのでしょうか? 特定のイベントを取り上げても、実際に何をすべきかはわかりません。手元にある豊富な情報をすべて理解するには、間違いなく助けが必要になります。- MR
Sysdig Sage 初心者向けガイド
どこから始めるか – 優先順位と戦略
一目でわかるように、Sysdig Sageはクラウドセキュリティの用語や概念をより深く理解したいと考えている人にとって、非常に役立つツールであることが明らかです。これはマルチステップ推論の利点の一つです。Sysdig Sageは質問を理解し、シンプルな回答を提供し、さらに優れた対話者のように、以前に話した内容を記憶して、将来の質問に反映させます。
完全な初心者である私は、本当に基本的な要素の説明が必要なこともあるかもしれません。ランタイムセキュリティに初めて触れる私にとって、ランタイムイベントが何を意味するのかが少し曖昧かもしれません。
そこで、Sysdig Sageに説明を求めました。
この回答の素晴らしい点は、期待通りの働きをしてくれることです。つまり、私が質問した用語を定義してくれるだけでなく、私が定期的に注意を払う必要がある領域に関するヒントを巧みに提案してくれます。この初期段階であっても、すでに優先順位付けに役立っています。
Sysdig Sage はコンテキストを認識するため、UI 内のどこにいるかを認識し、目の前のランタイム イベントを理解しようとする私のパートナーとして機能します。任意のイベントをクリックすると、Sysdig Secure の詳細な概要が表示されます。
この概要は、迅速な対応に役立ちます。イベントの重大度が高く、最近発生したことがすぐにわかるので、優先的に対応する必要があります。また、対応と調査の切り替えもすぐに使えるように準備しました。しかし、経験の浅いユーザーとして、すぐに多くの疑問が浮かびました。
- これはどれほどの脅威なのでしょうか?
- そのeazyminer の行はあまりよくわかりません。どうすればもっとよく理解できるでしょうか?
- adminuserユーザーが明らかに悪用しているID アクセスを停止する必要がありますか?
- これはすべて、より広範なセキュリティインシデントの一部なのでしょうか?
さらにパニックになる前に、Sysdig Sage に詳細を尋ねました。
Sysdig Sageによると、これは間違いなく暗号通貨マイニングイベントでした。私の環境のリソースが不正に利用されていました。また、これはさらに大規模なセキュリティイベントの一部である可能性が高いものでした。私はすぐに行動を起こす必要があると分かり、Sysdig Sageの修復オプションを使って次のステップに進みました。
数分間ツールを操作してみると、Sysdig Sageがランタイムイベントを理解するのに役立つことが明らかになりました。しかし、それはあくまで1つのイベントに過ぎません。
私のイベントログには、多くのイベントが記録されていました。
その多くが最近発生したもので、しかも高い重大度のものばかりでした。
これらすべてに対処しようとするのは不可能です。一度にすべてに目を通そうとすると、重要なことを見逃してしまうかもしれません。より経験豊富なセキュリティ専門家であれば、一目で何が重要かを判断し、それに応じて 1 日の計画を立てることができたかもしれませんが、私にはそれができませんでした。助けが必要だとわかっていました。
そこで、まず対処する必要のあるイベントについて Sysdig Sage に問い合わせました。
Sysdig Sage は、最も重大度の高いイベントの項目別リストを表示しました。Sysdig は堅牢なリスク優先順位付け機能を提供しているので、このリストを他の方法で取得することもできましたが、ここでは、優先度、個々のイベント数、詳細への直接リンク別に分類して、すべてを 1 か所にまとめました。
しかし、リストをさらに詳しく調べたところ、最初のインスタンスにはまだ 336 件のイベントがあることに気付きました。4,036 件よりはずっとましですが、それでもまだ大きな数です。1 日に 8 時間しかない場合、限られた時間ですべてを完了する方法を理解する必要がありました。
Sysdig Sage に計画の整理を依頼しました。
出力では、タスクを推定時間ごとに分類した優先順位付け戦略が得られました。推定時間を見ると、焦点を絞る必要があるかもしれませんが、計画を立てておくことで、調査を開始するときに自信が持てます。
アラート疲れは、セキュリティ専門家の日々の業務で最も困難な側面の 1 つです。リソースが少ない小規模組織では、これは困難な作業から過酷な作業へと簡単に変化します。人間の防御担当者が調査と対応の優先順位付けと迅速化を行うのに役立つツールがあれば、クラウド セキュリティの知識ギャップを埋める画期的な次のステップとなります。
ガイド付き修復
Sysdig Secureを使い始めたとき、私の目標は潜在的な脅威を見つけ、それを修復する方法を学ぶことでした。しかし、実践的な経験が不足しており、知識も限られていたため、それを達成できるかどうか確信が持てませんでした。
私は上記で説明したのと同じイベントから始めることにしました。
これは明らかに重大度の高いイベントであり、Sysdig Sage の助けを借りて、その理由をよりよく理解することができました。しかし、その知識だけでは環境をより安全にすることはできませんでした。私が本当に知る必要があったのは、この脅威に対して何をすべきかということでした。そこで、Sysdig Sage に頼りました。
私が見ているものを言葉で表現できないときでも、Sysdig Sage は UI のどこにいるのか、何を修正したいのかを正確に把握していました。
Sysdig Sage には、問題のホストを隔離し、疑わしいeazyminerに関連するプロセスやアクティビティをすべて終了し、パスワードを変更し、その他の侵害の兆候がないか完全スキャンを実行するなど、試すべき推奨修復戦略のリストがありました。Sysdig Sage には、スタッフとの定期的なセキュリティ トレーニングの実施など、将来同様の脅威が発生するのを防ぐための長期的な提案もありました。これらの提案のそれぞれについて、Sysdig Sage は、実行可能な明確な手順に細分化しました。
Sysdig Sage がホストを分離する方法についてさらに詳しいガイダンスを提供できるかどうかを確認したかったのです。
Sysdig Sage は、マルチステップの推論機能により、私たちが話していた内容を記憶し、人間のガイドと同じくらい自然に会話を続けました。
まさにその通りで、より詳細な内訳と、従うべき明確な指示が得られました。Sysdig Sage は、ネットワークから切断してネットワーク接続を無効にするといった大まかな指示から始まり、さらに特定の環境に応じたより具体的な手順を示しました。また、ホストを分離した後、次に何をすべきかも示してくれました。
しかし、それがそんなに単純ではなかったらどうでしょう? たとえば、誰かがパスワードを 12345 に設定したという単なる単発的な事件ではなく、私の環境に対するより大きな脅威の兆候だったとしたらどうでしょう? どうすればわかるのでしょうか?
私はSysdig Sageに自分の悩みを相談しました。
Sysdig Sage は、推奨されるアクションを提案しました。
これで、より広範なセキュリティ インシデントが発生しているかどうかを確認するために実行できる手順がわかりました。最近の他のすべてのイベントを調べて、パターンを構成する可能性のあるものを見つけ出すのは、依然として困難な作業でしたが、Sysdig Sage はすぐにそのデータの調査を開始しました。
Sysdig Sage は、悪意のあるバイナリイベントに類似するパターンの共通点を分析し、CIEMの情報からも着目すべきAWSアカウントを示唆しました。
私は、どのように進めていけばよいのか全くわからないまま、重要なランタイム イベントを見つめながらこの演習を開始しました。しかし、数分以内に、理解できる言葉で個々の脅威に対処するために何をする必要があるかを正確に学ぶことができました。また、さらに情報が必要な場合は、さらに質問することができました。より広範囲にわたるインシデントの可能性を確認し、完全な調査を開始する準備が整いました。
Sysdig Sageはすべての人に
クラウドは急速に変化しています。経験豊富なセキュリティ専門家も初心者も、遅れを取らないようにする必要があります。Sysdig Sage はクラウド セキュリティのスキル ギャップを埋め、あらゆるスキル レベルのチームが環境で何が起こっているかを迅速に把握し、脅威に対応できるようにします。理想的なクラウド セキュリティ アナリストとして機能し、迅速に行動して本当に重要なことに集中できるようにします。
Sysdig Sage はコンテキストを提供し、イベントの優先順位付けを支援し、実行可能な手順を推奨します。Sysdig Sage は、複雑な調査を通じてユーザーをガイドし、リアルタイムの修復提案を提供することで、意思決定を大幅に改善し、専門知識に関係なく、誰もが環境を制御できるようにします。
Sysdig Sage がセキュリティ運用をどのように強化できるかについて詳しくは、こちらのブログ投稿をご覧ください。実際の動作を確認し、AI 主導の調査の威力をここで直接体験してください。