本文の内容は、2023年9月26日にNICK FISHER が投稿したブログ(https://sysdig.com/blog/next-phase-cnapp)を元に日本語に翻訳・再構成した内容となっております。
Sysdigではここ数カ月、ガートナー社のCloud-Native Application Protection Platform (CNAPP)というカテゴリーでも知られる、業界をリードするクラウドセキュリティプラットフォームを構築するというビジョンを加速させるため、驚くほどの製品開発スピードを実現してきました。6月には、エンド・ツー・エンドの検知とレスポンスでプラットフォームを強化しました。本日、ランタイムインサイトによる新機能スイートを発表できることを嬉しく思います:
- Cloud Attack Graph: クラウド攻撃のスピードと高度化に対応した、クラウドリスクの点と点をリアルタイムで結ぶ新しいエンジンです。
- 差し迫ったリスクの優先順位付け: Cloud Attack Graphによって生成されたリスクの優先順位付けされたリスト。
- 出現しつつあるアタックパス: リソース間のリスクと悪用可能なリンクを視覚化し、アクティブなラテラルムーブメントの動きを明らかにするためにリアルタイムの検出を重ね合わせます。
- インベントリー: in-useのパッケージで発見された脆弱性を含め、クラウド環境内のすべてのコードとデプロイされたリソースを継続的に可視化します。
- エージェントレススキャン: エージェントレスホストスキャンは、既存のエージェントレスミスコンフィギュレーションスキャンと脅威検出機能を拡張したものです。
クラウド攻撃のスピードと高度化にはランタイムインサイトが必要です
クラウドが優れているのと同じことが今、武器化されています。クラウドサービスのスケーラビリティと拡張性はイノベーションの原動力ですが、攻撃者はこの攻撃対象の拡大を悪用して、偵察の自動化、ラテラルムーブメント、そしてクレデンシャルを悪用しています。つまり、今日のクラウド攻撃は高速かつ巧妙で、従来のEDRソリューションを回避しています。
Sysdig 2023年度版グローバルクラウド脅威レポートによると、クラウドの攻撃者が攻撃を実行するのに費やす時間は10分未満です。これは、オンプレミスでの滞留時間の中央値16日(Mandiant社)と比較してみてください。
さらに、クラウドサービスの相互接続性により、複雑な依存関係と潜在的な脆弱性が生じるため、クラウドの膨大なスケールと複雑性は、セキュリティ上のユニークな課題となっています。実際、今年に入ってから、このような状況を利用して、環境を横断的に移り、クラウドのIAM認証情報を盗み、永続性を獲得し、データ漏洩を行う攻撃者が目立って増えています。
SCARLETEELはクラウド上でデータを盗む巧妙な作戦でした。
クラウド攻撃のスピードと巧妙さは、クラウドセキュリティの3つの主要要件に対応するランタイムインサイトを組み込んだ新しいアプローチを要求しています
1.アクティブな脅威を、スナップショット・アプローチで得られる数時間や数日ではなく、リアルタイムで検知する。
ストリーミング・アプローチは、コンテナエスケープのようなイベントを2秒未満で検出することができます。
2.マルチドメイン相関により、機密データへの攻撃経路となる環境全体のリスクの高い組み合わせを特定します。
クラウドリスクの点と点を結ぶことで、クラウドフォレンジック調査を5倍高速化
3.ノイズを大幅に排除し、In-Useのリスクに焦点を当てることで、最も重要なセキュリティ・リスクの優先順位付けを行います。
ランタイムインサイトは、In-Useのパッケージでフィルタリングすることで、脆弱性のノイズを85%以上削減することができます。
クラウドの新たなダイナミクスに対応し、次のような疑問に答えるには、新しいアプローチが必要なのは明らかです:
- クラウド全体の資産状況を簡単に把握するには?
- 相互接続されたすべてのリソースと環境において、現在の最大のリスクはどこにあるのか?
- 防御に失敗した場合、またそのような状況に陥った場合、どうすれば攻撃を阻止できるのか?
それでは、今回発表している内容をご紹介しましょう。
ランタイムインサイトによる Cloud Attack Graph
多くのセキュリティベンダーが何らかの形でセキュリティグラフや脅威グラフを提供していますが、クラウド攻撃のスピードと巧妙さを考えると、複雑なクラウドの関係をモデル化し、リアルタイムの分析レイヤーをビルドするために、第一原理的なアプローチを取る必要がありました。
Cloud Attack Graph は、Sysdigプラットフォームの中核として機能し、資産、ユーザー、アクティビティ、リスクを関連付け、リアルタイムで脅威を特定します。
他のセキュリティグラフとの違いは、私たちが「ランタイム・インサイト」と呼んでいる機能で、Cloud Attack Graphを4つのユニークな機能で強化します:
- セキュリティイベントのリアルタイム検出
- 実際に何が使用されているかのコンテキストを理解し、何を修正すべきかの優先順位を決定します。
- このコンテキストを使用してマルチドメイン相関を行い、環境間で危険な組み合わせを特定します。
- 高度なAIをデプロイすることで、より忠実な検出とグラフのシンプルなクエリーを実現します。
Sysdig Cloud Attack Graphの詳細はこちら
Topリスクの優先順位付けと攻撃経路の可視化
前述したように、Cloud Attack Graph はSysdigプラットフォームの中核として機能し、ドメイン間の資産、ユーザー、アクティビティ、リスクの点と点を結びつけます。
この技術の強力なアウトプットは、クラウド環境全体で修正すべきことの優先順位付けを支援する、リスクの最新スタック・ランキング・ビューです。リスクは、調査結果、コンテキスト、潜在的な攻撃経路の特定の組み合わせを評価することによって生成され、迅速に対策を講じるためのガイド付き修正案とともに提示されます。
ここでは、セキュリティ上の発見が単独でどのように広まっているのか、また、それらをどのように関連付けることで、クラウド環境全体のTopリスクを明らかにできるのかを見てみましょう。
このような発見事項の組み合わせは、対処すべきリストの最上位に位置する差し迫ったリスクにつながります。このようなリスクにスポットライトを当てるには、イベントのリアルタイム検出、使用中のパッケージに関連する脆弱性、使用中のパーミッションを重ねたランタイムインサイトが必要です。
スタックランク付けされたリストにより、環境全体で最も懸念され緊急性の高いリスクが明らかになります。
各リスクについて、リソース間の悪用可能なリンクを可視化し、潜在的な攻撃経路を明らかにすることができます。他のソリューションとは異なり、Sysdigはリアルタイムの検知を重ねることで、アクティブな横の動きを明らかにし、脅威イベント、脆弱性、または設定ミスに対応するためのワークフローを開始することができます。
攻撃経路を可視化し、各検出の詳細を掘り下げ、アクションを実行します。
リスクと攻撃経路分析の詳細はこちら
強化されたインベントリーによるクラウドの完全な可視化
セキュリティ・リーダーからよく聞かれる悩みの1つは、「クラウドに何があるのか」ということです。しかし、一見単純に見えるこの質問に対する答えは、特に対策を講じるために必要な詳細とコンテキストを考えると、驚くほど複雑です。
インベントリーは、ユーザー、ワークロード、ホスト、コンテナ・イメージなど、クラウド環境内のすべてのリソースを検索可能なリストとして提供します。Sysdigのランタイム・インサイトにより、アクティブなパッケージの脆弱性を検索し、重要なものに優先順位を付けます。例えば、インベントリーを使用して、「実行中のパッケージに含まれ、インターネットに公開されている Log4j のすべてのインスタンス」のような注目度の高い脆弱性への露出をすばやくチェックします。
その後、関連するイベント、脆弱性、態勢をリアルタイムに表示することで、潜在的に侵害されているワークロードをさらに深く掘り下げます。
インベントリーの詳細はこちら
クラウドホストのエージェントレススキャン
Sysdigは、既存のエージェントレススキャンを補完し、設定ミスや脅威を検出するホストスキャンを含むエージェントレス機能を拡張しました。
オンボーディング・エクスペリエンスでは、お客様の環境にアクティブなコンポーネントがなく、稼働中のホスト、クラスター、ポッドを中断することなく、数分でスキャン結果が表示されるようになりました。
Sysdigは現在、完全なエージェントとエージェントレス・ソリューションを提供しています。Sysdigのエージェントレスアプローチは、クラウド内の脆弱性、設定ミス、使用中の権限、脅威の概要を提供することで、クラウドのセキュリティ体制を包括的に可視化します。このアプローチは、ワークロードとホスト全体でアクティブなプロセスをリアルタイムで分析し、優先順位付けに重要な実行されていないパッケージに関連する脆弱性をフィルタリングできる、スケーラブルで高性能なエージェントによって補完されます。
エージェントレススキャンの詳細はこちら
さらに詳しく知りたいですか?
これらの新機能は、トップクラスの CNAPP ソリューションを大幅に強化します。お客様のクラウドの旅がどのようなものであれ、セキュアな旅のお手伝いをいたします。Sysdigプラットフォームの詳細については、こちらをクリックしてください。