従来のEDRはクラウド資産にとってリスクとなるか?

By Reiko Nishii - NOVEMBER 16, 2023

SHARE:

本文の内容は、2023年11月16日に MIKE WATSON が投稿したブログ(https://sysdig.com/blog/server-threat-detection/)を元に日本語に翻訳・再構成した内容となっております。

クラウドへの攻撃とのギャップ

組織は猛スピードでクラウドへ移行していますが、すでに手一杯のセキュリティ チームにとって、クラウドセキュリティツールとトレーニングへの着手は遅れがちです。エンドポイントからクラウドへのギャップを埋めるため、チームは 、サーバーにおける従来のエンドポイント検知と対応 (EDR) および拡張検知と対応 (XDR) を”十分な” アプローチで行っている場合があります。

サーバーまたはホストのセキュリティは歴史的に所有権がグレーゾーンであり、保護アプローチは組織の好みに応じて異なります。通常、セキュリティ チームはホスト自体の保護に重点を置いていますが、DevSecOps チームはコンテナ、Kubernetes、VM、ワークロードなどの重要な要素の保護を優先してきました。どちらのアプローチも中途半端な対策であり、適切な結果は得られません。より現実的なアプローチは、サーバーとミッションクリティカルなアプリケーションの両方を保護することです。

従来の EDR はクラウドには遅すぎる

セキュリティチームとリーダーは、ビジネス上の利益を保護するというプレッシャーが増大しています。その理由の1つは、セキュリティ侵害による運用への影響が収益、評判、さらには株価にまで影響を及ぼす可能性があるためです。残念ながら、Mandiant M-Trends 2023 レポートによると、攻撃者が検出されるまでの平均滞留時間は 16 日ですが、 Sysdig 2023年度版 グローバルクラウド脅威レポートで報告されているように、攻撃者がクラウド環境に侵入するまでにかかる時間は平均 10 分のみです。 

Sysdig 5/5/5 フレームワークの出番となりました。検出に5 秒、関連付けに5 分、対応までを5 分で開始します。攻撃を検知するための従来のEDRアプローチは、攻撃のスピードが速く、環境が複雑なクラウドでは通用しません。例えば、コンテナの平均寿命はわずか5分です。攻撃シナリオでは、アナリストがこの5分以内に検知を確認できなければ、アラートだけではイベントの内容を理解することができません。セキュリティ・チームは、迅速かつ忠実度の高い検知と、それに続く複雑なフィードの自動的な文脈化と相関のために、クラウド・ネイティブ・ツール固有の利点を必要としています。クラウド・ネイティブ・サービス全体で検知と相関を高速化することで、チームが対応を開始する際に重要な時間を確保することができます。


上記のSCARLETEELZERO TO ADMINなどの高度な攻撃は、サーバーとクラウドの間を横方向に移動する方法を取ります。通常、従来のEDRはホストを越えて見るための可視性が欠けており、コンテキストと相関関係が制限されます。この近視眼的な見方により、セキュリティ チームは 5/5/5 のフレームワーク内で対応するために必要なインシデントのコンテキストを理解できなくなります。

Sysdig のエンドツーエンドの検出、調査、対応機能によりチームが加速され、SOC がクラウドの速度で脅威に対応できるようになります。従来の EDR では、クラウドで攻撃者の先を行くために必要な速度、コンテキスト、対応することは困難です。

前進するために後退する

EDR の “十分な” アプローチが失敗する理由をよりよく理解するには、一歩下がって、従来の EDR の起源である Windows ワークステーションに目を向ける必要があります。ワークステーション専用に構築され、その後データ センター、ベアメタルサーバー、そして最終的にはクラウドに拡張されると、セキュリティチームが考慮する必要がある重大な欠点が生じます。コンテナ、Kubernetes、サーバーレス環境でのイベントの関連付けやコンテキスト化を試みるなど、時間のかかるタスクでは、チームがイベントを理解するのに時間がかかります。これらの主要な欠点により、セキュリティ チームは失敗することになります。 

スポットをストライプに変更しようとしているにもかかわらず、これらの従来のアプローチでは、エンドポイントに根ざした基盤や未熟な Linux 機能のために、十分な保護を効率的に提供することができません。この限界の核心は、EDRがエンドポイント向けに構築されていることであり、チームがクラウド・ネイティブ・サービスに移行するにつれ、そのような同じバリュードライバーが存在しなくなることです。

たとえば、クラウド内のインシデントは多次元であるため、従来の EDR では、検出されても別の次元で発生しているイベントを接続して状況を把握するのが困難です。単純にそれらを縫い合わせることができないのです。セキュリティ チームがクラウドを真に保護する唯一の方法は、クラウド専用に構築されたツールとプラットフォームを使用することです。

クラウド セキュリティの未来 – セキュリティと開発の融合 

SysdigはコンテナとKubernetesでクラウドの奥深くからスタートしました。このようなクラウドに深く根を下ろしたSysdigのクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)は、クラウドベースのアプリケーションとインフラストラクチャーを保護するために、開発チームとセキュリティチームに力を与えます。Sysdigの統合されたCNAPP機能(下図)は、クラウドエステート全体の開発、エンジニアリング、セキュリティチームをつなぐ架け橋となります。Sysdig CNAPPの検知・対応機能は、クラウドにおける検知と対応(CDR)の一部です。集中管理、脅威検知、インシデントレスポンスなどのこれらの機能は、クラウドで最大の効果を発揮するように構築されています。CDRは、セキュリティセンターがサーバだけでなく、そのコンテンツやより大規模なクラウド関係を所有するようになることをサポートします。 

クラウド中心の検知へアップグレードする 

エンドポイントに根ざしているということは、EDRツールが主にWindowsワークステーション/エンドポイント中心であることを意味します。この関係性のズレにより、WindowsやLinuxのサービスやアプリケーションに焦点を当てるべきクラウド攻撃の可視性が制限されます。さらに、EDRによる横の動き(ラテラルムーブメント)の特定はネットワークの可視性に大きく依存しますが、クラウドセキュリティツールはアイデンティティとエンタイトルメントによって横の動きの可視性を向上させます。基本的に、クラウドのログとAPIコールの記録は、(従来のオンプレミスのワークロードと比較して)デフォルトでより優れた可視性と相関性を提供しますが、横方向の動きは推測でしかありません。これらの不整合は、Linux環境における収集、エンリッチメント、相関、レスポンスのための重要なインストルメンテーション全体に大きな影響を与えます。

従来の EDR ブラックボックスの限界を捨てましょう

従来のEDRが不透明なブラックボックスモデルで運用されているのに対し、SysdigのLinux検知は際立っています。Falco をベースにした Sysdig の Linux サーバ向け透過的なルールは、攻撃の種類を問わず 100 以上あり、クラウドにおける従来の EDR 機能を超えています。振る舞いベース、ファイルレス、機械学習(ML)による攻撃検知は、チームが組織を保護するために活用できるカスタマイズ可能なロジックに、追加の保護レイヤーを追加します。カーネルレベルの攻撃に対するリアルタイムの侵入検知と応答は、通常の動作からのわずかな逸脱を発見し、BPFバックドア侵入のようなステルス技術を、難読化を試みても検知します。マルウェアに特化した検出では、振る舞い、ML、人工知能(AI)のアプローチを活用し、クリプトマイナーやファイルレス攻撃など、クラウドに関連する広範なマルウェアからクラウド資産を保護します。Windowsのサポートは、Sysdigの優れた透明性を提供し、お客様固有の環境に適合するカスタムロジックをサポートします。

クラウドのスピードで相関性のある文脈に基づいた調査を実現

従来のEDRを使用するセキュリティチームは、孤立したイベントを手作業でつなぎ合わせる必要があり、効果的な対応に時間がかかります。Sysdigは、関連性の高いリッチなコンテキストに簡単にアクセスできるため、セキュリティチームはコンテナ、ホスト、クラウドのアクティビティを横断してイベントを追跡し、構築することができます。アクティビティ監査は、すべてのネットワーク接続、ファイルアクセス、プロセス作成を含む、すべてのインタラクティブなコマンド実行をキャプチャします。システムコールキャプチャは、コンテナがなくなっても、すべてのシステムコールを再作成できます。イベントの詳細は、Sysdigのプロセスツリー(下図)で強化され、ルートプロセスへの祖先の系譜など、ワークロード関連のイベントを視覚化します。フォレンジックコンテキストとドメイン間の相関を単一のビューに簡素化することで、トリアージと調査を加速します。

Sysdig プロセス ツリー

クラウドレスポンス機能でツールボックスのすべてを実現

限られた可視性と手動でイベントをつなぎ合わせる必要があることに加え、従来のEDR対応は依然としてエンドポイントアプローチにとどまっています。セキュリティチームは、ホストを超えてコンテナに侵入する脅威に対応する場合、限られた能力しか持ちません。たとえば、マルウェアを含む侵害されたイメージ(ソフトウェアのサプライチェーンの改ざんによるものなど)を持つサーバーが本番環境に導入されたとします。EDR がマルウェアを検出できれば、不正なプロセスまたはコンテナ全体を強制終了または隔離できる可能性があります。残念ながら、従来のEDR ツールには、侵害されたイメージが本番環境に展開されるのを防ぐ機能がありません。

ノートパソコンでは、強制終了や隔離のアクションは適切かもしれませんが、クラウドでは根本的に欠陥があります。なぜなら、クラウドのコンピューティング単位は、インフラがインターネットの限界まで拡張できることを保証するオートスケーラーによって支えられているからです。このシナリオでは、インスタンス/コンテナの数がオートスケーリンググループリソースで指定されたしきい値と等しくなければならないため、オートスケーラーがワークロードを再作成するか、仮想インフラをホストしてダウンタイムを制限します。このような場合、従来のEDRとクラウドインフラにおけるその限られた機能は、痛みを遅らせるための減速させる仕組みとしてしか機能しません。

Sysdigは、クラウド対応に対して根本的に異なるアプローチを持っています。Sysdigは既存のクラウドInfrastructure-as-Code(IaC)リソースと統合し、クラウドのリソースレベルで変更を加えることができます。クラウドのVMやコンテナは根本的に異なるため、従来のエンドポイントやワークステーションと同じように扱うことはできません。

さらに、Sysdig のアクション可能でランタイムを認識する攻撃パス(下図)により、チームはクラウド環境全体にわたる広範な対応機能によって、脅威とリスクをプロアクティブに軽減することができます。マルウェアプロセスは自動的に阻止され、コンテナ中心のアクションは一時停止、停止、強制終了オプションによってより堅牢になります。検知後、Sysdigは自動的にフォレンジックキャプチャを作成し、迅速なトリアージと原因分析を行えます。必要に応じて、セキュリティチームはSysdigのRapid responseを使用して、影響を受けたホストに直接乗り込み、修復アクションを実行することができます。

Sysdig の攻撃パス

進むべき道

企業がリフト&シフトから完全なクラウドネイティブへとクラウドの旅を続ける中で、セキュリティチームと開発チームは並行して進化する必要があります。Sysdigは、クラウドに深く根ざし、ベスト・オブ・ブリードのCNAPPを提供することで、クラウドスピードでイノベーションを推進する最適なパートナーとして、開発とセキュリティを融合します。