本文の内容は、2024年6月13日に MIKE WATSON が投稿したブログ(https://sysdig.com/blog/edr-or-cdr-how-cloud-has-changed-the-game)を元に日本語に翻訳・再構成した内容となっております。
いくつかの組織はクラウドへの移行を始めたばかりですが、多くの組織はすでにしっかりとクラウドに定着しています。現在、ほとんどすべての組織が何らかの形でクラウドを利用しています。それには十分な理由があります。クラウドは速度、スケーラビリティ、コスト面で大きな利点をもたらすからです。
しかし、冷静に現実を見れば、現代の脅威アクターもクラウドへの移行から利益を得ていることがわかります。クラウドの自動化を武器にすることで、これらの脅威アクターは10分以内に攻撃を完全に実行できるようになりました。代表的な例として、組織にわずか220秒で侵入する高度な作戦 SCARLETEEL があります。現在、脅威アクターは一部のSIEMクエリが結果を返すよりも早くターゲットに侵入できると言っても過言ではありません。
これらの急速なクラウド攻撃は動的であり、さまざまなクラウド戦術や技術を活用して目標に到達します。攻撃の種類は、リソースを消耗させコストを増大させるビットコインマイナーのような単純なものから、データ流出やランサムウェアのような高度な技術まで多岐にわたります。後者は、かなりのダウンタイムとともに、経済的損失や評判の低下を引き起こす可能性があります。
EDRとXDRツールはセキュリティチームをクラウドで失敗に導く
こうしたクラウド攻撃のスピードと複雑さは、今日の CISO にとってロジスティックス上の悪夢です。EDR および XDR ツールは根本的にクラウドに適しておらず、依然としてこれらに依存しているセキュリティチームは、クラウドコンテキストが欠如した不完全でサイロ化されたデータに苦戦し、調査が大幅に遅れています。
「CDR は従来の EDR よりもはるかに複雑です。CDR では、セキュリティチームは 8 ~ 10 の異なるソースからのシグナルを処理します。さらに、それらのシグナルを理解するには 3 ~ 4 つのチームと連携する必要があります。私はこれを 3 次元チェスとチェッカーに例えるのが好きです。」
Jamie Butler, Sysdigのランタイム保護および対応戦略責任者
ジェイミーは、初期のWindowsホスト侵入検知プラットフォームの創設者であり、MandiantでEDRおよびIRのエージェントチームの元ディレクターです。
555クラウド検知および対応ベンチマーク(リサーチに基づく業界標準)によれば、クラウドの調査を行うための時間はわずか5分しかありません。しかし、複雑で多くの利害関係者が関わり、しばしば手動で行われるワークフローに苦しむチームにとって、アラートの調査に5分かけることは、まるで5ミリ秒のように感じられます。そのうえ、セキュリティチームが一度に直面するアラートの洪水を考えれば、このタスクは不可能に思えるでしょう。
調査を迅速化し、5 分間のチャレンジを達成するには、セキュリティチームは次の 3 つの主要な摩擦ポイントに対処する必要があります。
- 調査には時間がかかりすぎます。
- 従来のツールは役に立つ情報を伝えません。
- クラウドネイティブの事業部門は分断されています。
調査に時間がかかりすぎる
多くの場合、不完全でサイロ化されたデータにより、調査プロセスが遅くなります。脅威調査の全体像を把握するために、アナリストは複数のツールやドメインにわたって証拠を手動で収集し、相関させる必要があります。
この断片的で非効率的なアプローチは、セキュリティおよびプラットフォーム チームの生産性を著しく低下させます。応答時間の遅延が連鎖的に発生し、組織のリスクとコストが増大すると同時に、組織のセキュリティ体制が弱まります。攻撃が判明しているシナリオでも、チームは時間内に行動することができません。
レガシーツールはストーリーを伝えるが、役に立つものではない
多次元で複雑なクラウド環境全体にわたって、クラウド検出および対応ユースケースの点と点を素早く結びつけることは、非常に困難な作業です。多くのベンダーがこの課題に対処できると約束していますが、その多くは実現できていません。
多くの場合、アラートフィードと ID データは、未加工でフィルタリングされていない、または不完全なデータストリームのコレクションです。これらのパンくずリストには、一定期間にわたるアラートの量や性質に関する重要な洞察が欠けているため、脅威を理解し、優先順位を付け、効果的に対応することが困難になっています。
クラウドネイティブの事業部門は分断されている
従来、オンプレミス環境で運用されているセキュリティ組織は、脅威のあらゆる側面をエンドツーエンドで処理できました。クラウドの複雑さにより、この責任は多くの場合、異なるチーム間で共有されます。これらのチームは目標や優先順位が異なる場合がありますが、組織のセキュリティを確保するには連携する必要があります。
残念ながら、従来の EDR および XDR アプローチには、侵害が発生する前に誰が、何を、どこで、どのように攻撃したかを把握するために必要なクラウドコンテキストが欠けています。このコンテキストがないと、チームは有意義な連携に必要な重要な情報を理解して伝達するのに苦労します。予防的制御を管理しているチームは保護を強化できず、防御の脆弱性が将来の攻撃に対して無防備なままになります。また、対応チームは効果的に対応できず、クラウド資産における脅威を見逃す可能性が高まり、重大な侵害につながる可能性があります。
さらに、共有プラットフォームがないと、チームは異なる情報や用語で作業することが多くなります。実質的に同じ言語を話さないため、チーム間で共同作業の手順、規範的なコンテキスト、対応アクションを共有することが難しくなります。
トンネルの先に見える光:真のCDR
EDR および XDR ツールはワークステーションの管理に非常に効果的ですが、クラウドセキュリティには基本的に適していません。クラウドの脅威に効果的に対抗するには、セキュリティ チームには、クラウドの複雑さと速度に合わせて特別に構築された、包括的で実用的なクラウド検出および対応ソリューションが必要です。
クラウドに真に対応した検知および対応ソリューションは、組織全体のクラウド環境にわたって既知および未知の脅威をリアルタイムまたはほぼリアルタイムで検知できる必要があります。このソリューションは、ポスチャーとランタイムのインサイトを自動的に関連付け、真のクラウドネイティブな文脈を提供し、ワークフローを加速し、スキルギャップを解消することが求められます。また、主要な利害関係者のためのフィードバックループを開き、分断されたビジネスライン間の摩擦を取り除き、チームに単一の真実の源を提供する必要があります。
これらの機能を提供する真のクラウド検知および対応ソリューションを実装することで、セキュリティリーダーおよび実務者は、アナリストの効率向上、リスクの低減、およびコストの最適化という利点を享受することができます。
クラウドの脅威を求められるスピードと深さで理解することは不可能に思えるかもしれませんが、必ずしもそうではありません。クラウドのスピードで脅威を調査するためには、クラウドに特化したセキュリティソリューションが必要です。555ベンチマークを達成することで、クラウド全体を自信を持って保護し、その真の価値を引き出すことができます。