本文の内容は、2024年8月7日にMaya Levine が投稿したブログ(https://sysdig.com/blog/introducing-cloud-identity-insights-for-sysdig-secure/)を元に日本語に翻訳・再構成した内容となっております。
近年、ほとんどの主要なクラウド侵害は、過剰なパーミッションによる認証情報、それに続くラテラルムーブメント(水平方向の移動)と特権昇格によって特徴づけられています。これらの脆弱性により、攻撃者はシステムを容易に移動し、特権を昇格させて重大な被害を引き起こすことができます。クラウドの脅威に対応するには、脅威が発生した際にその脅威を認識し、これらの攻撃を迅速かつ効果的に封じ込める能力を持つことが重要です。
アイデンティティは、検知と防御をつなぐ重要な要素であり、ユーザーの行動を理解し追跡するために必要なコンテキストを提供します。Sysdigは、アイデンティティセキュリティを管理するソリューションを提供することで、このニーズの最前線に立っています。Sysdigを使用することで、組織はアイデンティティのセキュリティを強化して攻撃を防御し、ユーザーによる異常な行動や疑わしい行動を検知して、潜在的な脅威に対する強固な防御を確保することができます。この先を見越したアプローチは、セキュリティを強化するだけでなく、インシデントへのリアルタイムな対応能力も向上させ、現代のサイバーセキュリティに欠かせないツールとなります。
新機能: Cloud Identity Insights
Cloud Identity Insightsは、攻撃者に不正利用される前に、組織が攻撃を先回りして対策を講じるために必要なコンテキストを提供します。この新しい機能により、Sysdigのクラウド検知と対応(CDR)機能が強化され、アイデンティティの挙動とイベントの相関関係を簡単に把握し、不正利用の可能性があるユーザーを検知して対応することが可能になります。また、同様の攻撃を将来にわたって防ぐこともできます。セキュリティチームは、これらの新しい機能を活用することで、攻撃の進行を即座に封じ込め、アイデンティティのセキュリティを強化してクラウドにおけるゼロトラストを徹底することができます。
潜在的に不正利用される可能性があるユーザー
アイデンティティとシークレットの設定ミスは、攻撃者にとって初期アクセスポイントとなることが多く、あらゆるセキュリティ戦略において重大な脆弱性となります。Sysdigは、侵害のさまざまな段階で一般的に観察される行動パターンを含む異常な活動を検知することで、この問題に対処します。このプロアクティブな検知は、ユーザーが侵害される可能性がある場合に通知を受け、迅速にインシデントの調査を開始する必要があるインシデント対応者にとって不可欠です。Sysdigは、侵害の初期兆候を特定し対処することで、セキュリティ防御を強化し、潜在的な脅威に対するより迅速で効果的な対応を可能にします。
セキュリティ侵害されたユーザー
インシデント対応者は、ユーザーが本当に危険な状態にあるのかどうかを迅速に確認する能力が必要であり、それによって状況を適切にエスカレートまたはデスカレートすることができます。ユーザーが危険な状態にあることが確認されたことを示すフラグを立てる機能により、インシデントが適切に優先順位付けされ、誤検知ではないことをチームに明確に示すことができます。これにより、誤報に気を取られることなく、実際の脅威に優先順位を付けて対処することができ、集中した効率的な対応が可能になります。
セキュリティ侵害されたIDの封じ込め
クラウド脅威に対処する担当者は、進行中の攻撃を阻止するための知識とツールを備えていなければなりません。そうすることで、脅威を封じ込め、ビジネスを守ることができるのです。ユーザーが侵害された可能性があるとフラグが立てられた場合、Sysdigが介入し、侵害を効果的に封じ込めるために、それぞれ強度が異なるさまざまなオプションを提供します。想定される対応策は、アクセスキーの削除や新規作成から、ユーザーの無効化や削除まで多岐にわたります。
Sysdigは、各オプションについて詳細な手順書を提供しており、侵害を封じ込めるために必要な手順をレスポンダーに指示します。この体系的なアプローチにより、セキュリティ担当者は迅速かつ的確に行動することができ、攻撃の影響を最小限に抑え、組織の資産を守ることができます。
スマートなポリシー最適化により、ゼロトラストを実現する
クラウドにおけるゼロトラストを実現するためには、最小権限アクセスの状態に到達することが基本となります。Sysdigの脅威リサーチチームは、平均して全ての許可された権限のうち実際に使用されているのはわずか2%に過ぎないことを発見しました。この問題に対処するために、Sysdigはクラウドログを分析し、実際に使用されている権限のみを含む最小権限ポリシー最適化の提案を生成します。
Sysdigは、これらの最適化が悪意のある行動によって損なわれないようにするため、積極的なアプローチを取ります。ユーザーが潜在的に危険と見なされた後にのみ使用されたすべての権限を追跡し、デフォルトでこれらの権限をポリシー最適化から除外します。この慎重な監視により、セキュリティポリシーの整合性が保たれ、正当な権限のみが付与されることが保証され、脅威アクターによる権限昇格や横方向の移動のリスクが軽減されます。
最もリスクの高いIDを特定し、セキュリティポスチャーの強化を図る
攻撃者は、環境への初期アクセスを獲得するために、多くの場合、IDを標的にします。そのため、セキュリティチームは、これらのエントリーポイントのセキュリティ強化に重点的に取り組む必要があります。Sysdigは、どのユーザーとロールを最初に標的にすべきかについて、独自の推奨事項を提供することで、この取り組みを支援します。Sysdigは、リスクページで最もリスクの高いIDをハイライト表示し、セキュリティチームが取り組みの優先順位付けを行い、効果的に防御を強化できるようにします。
Cloud Identity Insightsで、侵害の兆候をいち早く察知し、攻撃を阻止
クラウド攻撃のスピードを考えると、リアルタイムの脅威検知が不可欠です。 アイデンティティは、悪意のある活動を相関させるために、侵害を理解する上で重要な要素です。 潜在的に侵害された可能性のあるユーザーを特定することで、セキュリティ対応チームは調査が必要であることを認識できます。 SysdigのCloud Identity Insightsは、悪意のあるユーザー活動をリアルタイムで検知し、アイデンティティセキュリティの態勢を強化して、侵害を未然に防ぐ方法を考慮します。
Cloud Identity Insightsと、ここで紹介したすべての機能は現在ご利用いただけます。ご興味をお持ちのお客様は、Sysdigの貴社担当者までお問い合わせください。またはこちらのデモを依頼からご連絡ください。