アイデンティティはクラウドの境界です

SysdigとNetskopeを活用した、より優れたアイデンティティ脅威の検知と対応
By 清水 孝郎 - OCTOBER 29, 2024
Topics: クラウド セキュリティ

SHARE:

本文の内容は、2024年10月29日に Crystal Morin & Steve Riley が投稿したブログ(https://sysdig.com/blog/sysdig-and-netskope/)を元に日本語に翻訳・再構成した内容となっております。

昨年のデータ侵害の 93% は、認証情報の漏洩から始まりました。クラウド以前は、セキュリティ境界は物理的な壁とネットワーク境界によって定義されていましたが、クラウドではその境界はほぼ消滅しています。

2023 年 11 月に何が起こったか考えてみましょう。クラウドオブザーバビリティベンダーが、ステージング環境 (顧客データと個人情報を保管する環境) への不正アクセスの証拠を発見しました。調査の過程で、攻撃者が盗んだ認証情報を、アクセス権と権限昇格能力を付与した 1 人の従業員のアカウントに関連して使用していたことが判明しました。

残念ながら、そのような例はたくさんあります。攻撃者の手口はさまざまですが、いずれもユーザーまたはマシンの認証情報をある程度利用しています。つまり、クラウドアプリケーションまたはサービスへのアクセス権を取得し、権限を昇格させてデータを盗み出します。

不正使用または悪用された ID を悪用した攻撃は、組織に数百万ドルの損害をもたらす可能性があります。攻撃者がプロアクティブなセキュリティ防御を突破した場合、深く入り込む前に攻撃者を見つけて阻止する必要があります。そのために、Sysdig はCloud Identity Insightsなどの発表や Netskope とのパートナーシップを通じて、ID セキュリティを優先してきました。 

Netskope は、クロスドメイン ID 管理によって顧客の予防的および事後的な ID セキュリティを強化する、グローバルなセキュアアクセスサービス エッジ (SASE) リーダーです。Sysdig と Netskope を使用すると、セキュリティチームは、過度に許可されたリスクの高いユーザーを最小限に抑え、より効率的に作業できます。自動化された防止により、コンプライアンスが簡素化されます。 

Sysdigが検知し、Netskopeがブロック

SysdigとNetskopeのパートナーシップ

セキュリティ チームは、組織がクラウドファースト、クラウドネイティブ、クラウドラストのいずれであるかに関係なく、クラウドに注意を払う必要があります。現代のサプライチェーンを通じて、すべての組織は何らかの形でクラウドに関わっています。この要件は、クラウドからの、またはクラウドへのラテラルムーブメント攻撃の増加によってさらに高まります。攻撃者はクラウド内のマシン間を移動できるため、ID の動作がワークロードアクティビティから切り離され、最初の検知後でも攻撃の完全な履歴を再構築することが困難になります。クラウドインフラストラクチャーが拡張され、さまざまな ID とロールが含まれるようになったため、人間/マシン以外の ID が急増し、複雑さが増しています。 

組織がパブリック、プライベート、オンプレミス、ハイブリッドなど、クラウドをどのように設定しているかに関係なく、クラウド環境のランタイムインサイトを活用することがクラウドに対する最善の防御策です。Sysdig と Netskope のパートナーシップにより、ネットワーク、クラウド、エッジ全体の可視性が向上し、脅威の検知と対応が加速され、攻撃をリアルタイムで阻止できます。Sysdig で Webhook を作成してセキュリティイベントアラートを転送し、Netskope でリアルタイムのブロック/制限ルールをカスタマイズするだけで簡単に実行できます。

このパートナーシップを通じて、Sysdig は Netskope の機能をクラウドに拡張し、アイデンティティを活用したクラウド検出および対応 (CDR) を強化し、クラウドを超えた侵害も封じ込めます。 

  1. 複数のゼロ トラスト ネットワーク アクセス (ZTNA) ポリシーを微調整して、最小許可ポリシーを最適化できるため、侵害の発生を 防止できます。付与された権限の 98% は使用されませんが、改善の余地があります。
  2. マルウェアに感染した S3 バケットや感染したクラウド資産の使用から従業員を保護します。
  3. 潜在的に侵害されたユーザーと人間以外の ID を数秒で検出します。
  4. 侵害された従業員のデバイスを追跡して無効化することで、リスクのあるユーザーや役割に迅速に対応します。
  5. インターネット、アプリケーション、または企業ネットワークへのアクセスをブロックすることで、脅威と侵害されたユーザーを封じ込めます。

実際の使用例

ストーリー:

悪意のある攻撃者は、ダークウェブで購入した盗まれた ID を通じて、企業の AWS コンソールにアクセスします。この ID は、日常的な操作のために AWS へのアクセスを必要とする開発者またはネットワーク管理者のものです。攻撃者は、他の多くの攻撃者と同様に検知を回避することを意識しているため、CloudTrail ログに移動してログに記録された操作を削除し、最初のアクセスの証拠を消去します。

  1. Sysdig では、「CloudTrail Trail Deleted」イベントは重大度が高いとみなされます。イベントコンテキストには、アカウント、リージョン、ユーザー、リスクタグなどが含まれます。 
  2. パートナーシップ統合により、イベントの詳細は、イベントの種類、重大度、リスク評価、および Netskope がユーザーの以前の動作についてすでに知っていることと、Sysdig がユーザーのデバイスリスクについて知っていることの組み合わせに基づいて、Netskope のユーザー信頼度指数 (UCI) に自動的に変換されます。
  3. Netskope は、ユーザーおよびエンティティの行動分析 (UEBA) ダッシュボード内ですべてのユーザーの UCI スコアを維持および追跡します。Sysdig アラートを受信すると、Netskope UEBA でユーザーの UCI スコアが更新 (減少) されます。 
  4. 異常なユーザー行動があると、ユーザーの企業デバイスに Netskope 非準拠アクション ポップアップが表示され、ユーザーは自分の行動を正当化するか、誤検知を報告する必要があります。この応答と関連するインシデント情報は、確認のために組織の Netskope 管理者に送信されます。
  5. Sysdig は、削除された CloudTrail ログを含む攻撃者の行動と動きを追跡することで、調査をサポート/可能にします。誤検知の場合、Netskope 管理者は UCI を復元できます。 
  6. 調査後、セキュリティ チームは Sysdig で ID を「compromised」としてタグ付けし、ブロックリストに含めることができます。これにより、事前に設定されたパラメータに基づいて自動制限がトリガーされます。

まとめ

この統合により、お客様がクラウド以外で実行できる予防措置の範囲が広がります。Sysdig がクラウド内で疑わしいアクティビティを検知すると、Netskope を使用してクラウド外の関連する ID とロールをブロックできます。これにより、組織のネットワーク、エッジ デバイス、およびアカウントが過去にアクセス権を付与されていたすべての SaaS アプリケーションがプロアクティブに保護されます。 

Sysdig と Netskope を使用すると、物理デバイスやネットワーク デバイス、クラウド全体で ID のライフサイクルを追跡できるため、可視性の制限はなくなりました。クラウド攻撃の規模と速度は既知であるため、この統合により、セキュリティ チームは数分で潜在的な脅威に対応でき、攻撃者が被害を与える機会が大幅に減少します。