本文の内容は、2024年11月13日に ashish chakrabortty が投稿したブログ(https://sysdig.com/blog/top-challenges-for-implementing-multi-domain-correlation/)を元に日本語に翻訳・再構成した内容となっております。
攻撃者は、従来のセキュリティ対策を回避する複雑な多段階のクラウド攻撃を頻繁に使用しますが、従来のセキュリティ対策では脅威を完全に視覚化し、優先順位を付けて対応することが困難です。マルチドメイン相関は、ネットワーク、アプリケーション、データベース、ストレージなど、さまざまなドメインのデータを分析して、相互接続されたリソース全体の潜在的な弱点と攻撃パスを明らかにすることで、この問題に対処します。
このアプローチにより、セキュリティポスチャーが強化され、今日の複雑なクラウド環境における総合的な脅威検知および対応能力が実現できます。
マルチドメイン相関の課題
マルチドメイン相関には、セキュリティ、コンプライアンス、運用効率の適切なバランスが必要です。ただし、いくつかの課題により、組織はクラウド資産全体でエンドツーエンドの可視性を実現できません。
分散インフラストラクチャー
大規模でハイブリッドなクラウド環境では、よりコストのかかる技術が必要です。アイデンティティ、エンドポイント、サービス、データソース、ネットワーク、アプリケーションといったドメイン全体で膨大なデータを処理し相関させるには、計算コストがかかります。例えば、非ネイティブな統合では、データ形式やセマンティクスが異なるログが生成されます。適切に設定されていない場合、統合が正しいデータを取り込めず、クロスドメインの検出が十分に強化されず、調査指標のスピードやリスクの優先順位付けにも影響が生じる可能性があります。
サイロ化されたテクノロジー
サイロ化されたテクノロジーは、さまざまなドメイン タイプで動作し、組織のクラウド資産を包括的に把握することを妨げます。これらの断片化された機能により、クラウド全体に一貫性のないセキュリティ ポリシーが適用され、全体的なリスクプロファイルが増加します。たとえば、ID の構成が誤っていると、過剰な権限が割り当てられ、内部の脅威アクターがセキュリティルールを回避し、人目につかない場所で操作し、クラウドアカウント間を横方向に移動できるようになります。インシデントが検出されると、セキュリティ チームは、複数のアラート、ダッシュボード、ログからのデータを相関させるために貴重な時間を無駄にせざるを得なくなります。
コンプライアンスとガバナンス
コンプライアンス要件は複雑で微妙な場合があります。特定の規制には、データのプライバシーと機密情報の取り扱いに関する厳格な要件があります。これらの規制により、異なる地理的地域または事業部門からのデータの移動や結合が制限される場合があります。たとえば、NIS2、DORA、GDPR、HIPAA などのさまざまなデータ保護法では、ドメイン間でデータを自由に相関させる能力が制限されます。多くの組織では、変化するフレームワークに対応し、すべての相関ルールを監査し、すべてのドメインでコンプライアンス チェックが最新であることを確認することが困難になっています。
数分でクラウドを保護 – 555 ベンチマークを満たすためのチェックリスト
Sysdig のクラウド検出および対応の 555 ベンチマークを使用して、セキュリティ チームが攻撃者に対抗できる速度を測定します。
マルチドメイン相関の構成要素
マルチドメイン相関では、セキュリティの脅威を検出し、コンプライアンスを強化し、インシデント対応を効率化するために、ネットワークログ、ID およびアクセス管理 (IAM) ログ、アプリケーション イベント、エンドポイントの動作など、さまざまなソースからのデータを統合する体系的なアプローチが必要です。
集中型プラットフォーム
組織は、さまざまなクラウド環境からデータを収集、集約、分析するために、クラウドネイティブ サービスとサードパーティ サービスを組み合わせて利用することがよくあります。統合プラットフォームには、次のようないくつかの利点があります。
- セキュリティチームがデータを収集、分析し、主要なデータポイントを相関させて、危険な組み合わせを特定し対処できるようにします。
- セキュリティイベントとパターンの発生状況を明確かつインタラクティブに表示することで、マルチドメイン相関を強化します。
- 相関ルールの継続的な調整と最適化を容易にし、その正確性を確保し、誤検知を減らし、さまざまなクラウドドメインにわたる真のセキュリティインシデントを検出するシステムの能力を向上させます。
- 本質的に互換性のある機能を統合し、オーバーヘッドコストなしでシームレスに統合します。
- チーム間でのインシデントへの協調的な対応を促進し、コミュニケーションとコラボレーションを改善します。
データ取り込みのためのクラウド API
データ取り込み用のクラウド API は、マルチドメイン インフラストラクチャー全体でデータを集約するための構造化されたスケーラブルなリアルタイムの方法を提供し、ハイブリッドまたはマルチクラウド設定全体の一元的なビューを可能にするため、不可欠です。APIを使用することで、セキュリティチームは複数のソースからデータを抽出、正規化、分析し、包括的な可視性を実現します。これにより、攻撃チェーンの早い段階で複雑で多段階のセキュリティインシデントを検出できます。
エージェントとエージェントレス監視
堅牢なマルチドメイン相関のために、エージェントベースとエージェントレスの両方の監視により、複数のクラウドドメインにまたがるセキュリティイベントを包括的にカバーし、洞察を得ることができます。たとえば、エージェントはエンドポイントでの権限昇格を検出し、エージェントレス IAM 監視はユーザー ロールの変更を検出します。これらを組み合わせることで、潜在的な内部脅威や横方向の移動を示唆できます。
異常検出のための人工知能
クラウドでの異常検出に AI や機械学習を活用すると、複雑な脅威をより正確かつ効率的に特定できます。たとえば、十分にトレーニングされた機械学習モデルは、真の脅威と無害な異常を区別し、従来のルールベースの方法では見逃される可能性のある異常なパターンを検出し、検出されたすべてのインシデントに関するコンテキストが豊富な洞察によってインシデント対応を加速するように調整されています。
対応と緩和を自動化
自動化された対応と緩和策により、脅威調査における人的エラーのリスクが排除され、すべてのドメインで一貫性があり、再現可能で信頼性の高い対応が実現されます。マルチクラウドやハイブリッドインフラストラクチャーにおいて、これらの自動対応はスケーラブルな運用を可能にし、潜在的なインシデントへの対応時間を短縮します。
数分でクラウドを保護 – 555 ベンチマークを満たすためのチェックリスト
Sysdig のクラウド検出および対応の 555 ベンチマークを使用して、セキュリティ チームが攻撃者に対抗できる速度を測定します。
Sysdigでマルチドメイン相関を実現
Sysdig は、クラウドインフラストラクチャー、アプリケーション、コンテナ環境全体のさまざまなソースとドメインからのデータを統合し、クラウド内でマルチドメイン相関を実行する集中型プラットフォームを提供します。このテクノロジーは、マルチクラウド、クラウドネイティブ、コンテナ化された環境に重点を置いており、ネットワーク、ワークロード、アプリケーション、ユーザー アクセスなどの複数のレイヤーにわたる可視性を提供します。
以下に一般的なユースケースをいくつか示します。
- Sysdig プラットフォームは、セキュリティデータを一元的に取り込み、集約し、分析して、マルチクラウドまたはハイブリッド インフラストラクチャを一元的に表示します。
- Sysdig のレーヤー分析は、コンテナ イメージを OS レベルまで詳細に表示することで、セキュリティポスチャーを強化します。組織が既存のギャップを視覚化し、脆弱性を管理し、ガイド付きの推奨事項で対処するのに役立ちます。
- Sysdig のコンテキスト豊富な洞察は、セキュリティ侵害が発生した場合に、セキュリティ チームが侵害された ID、グループ、およびユーザー ロールを特定して修復するのに役立ちます。
- Sysdig は、コンピューティング、ID、Kubernetes、ストレージリソース全体の潜在的なリスクを視覚化して理解し、それらのリスクをリアルタイムイベントと相関させ、悪意のある攻撃者がシステムに侵入するために取る可能性のある重要なパスを特定するのに役立ちます。これらのリスクは、インフラストラクチャーでの調査結果に基づいて定期的に再評価され、優先順位が再設定されます。
- Sysdig のお客様は、リアルタイムの脅威検出とカスタマイズ可能な Falco ルールを統合し、異常検出に機械学習ポリシーを活用することで、クラウド環境全体で高度な脅威を特定し、軽減します。
AWS Behavioral Analytics、Attack Chain Visualization、Cloud Identity Insights、Sysdig Sage TMなどの最近リリースされたクラウド検知および対応 (CDR) 機能は、イベントの優先順位付けを自動化し、リスクをコンテキスト化し、実用的な修復手順を提案することで、セキュリティワークフローを簡素化します。
シナリオ例
セキュリティ侵害されたコンテナの検出
シナリオ: コンテナ化されたアプリケーションが異常なプロセスアクティビティを示し、特権モードでシェルを生成し、外部ネットワーク接続を開始します。
SysdigのFalcoルールは、コンテナ(ワークロードドメイン)内でrootとして起動されたシェルを検出します。プロセスツリーは、エージェントが実行時にキャプチャしたコマンドラインの実行タイムラインを追跡し、ユーザーからプロセスへのキルチェーンを示します。これには、プロセスの系譜、コンテナおよびホスト情報、悪意のあるユーザーの詳細、影響範囲が含まれます。
Sysdigは、攻撃経路のグラフィカルな概要を提供します。ポスチャーの設定ミス、既存の脆弱性、起動されたプロセス、アクティビティ監査など、複数のソースからのデータを相関・統合することで、進行中の脅威の影響を評価します。一目でイベントの重要なコンテキストを理解でき、以下のような情報が得られます:
- このイベントの根本的な原因は何でしたか?
- 脅威アクターがアクセスした他のシステムで、危険にさらされている可能性があるものはありますか?
- 影響を受けたワークロードで実行されたプロセスとコマンドは何ですか?
- どのような脆弱性や誤って構成された権限が使用されていますか?
- どのような権限と ID が昇格されましたか?
攻撃チェーンにより、ネットワークに公開されているクラスター内の追加のワークロードが明らかになりました。ネットワークトポロジーにより、認識されていない IP (ネットワーク ドメイン) への複数のアウトバウンド接続が明らかになりました。Sysdig は、攻撃者がネットワークから機密データを盗み出すのを阻止するための最適化されたポリシーを生成します。
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: generated-network-policy
namespace: legacy-webapp
spec:
ingress: []
egress:
- to:
- namespaceSelector: {}
ports:
- port: 53
protocol: UDP
policyTypes:
- Ingress
- Egress
Sysdigは、Kubernetesクラスター内で監査証跡をキャプチャし、検出された異常を特定して、指定した期間内に生成されたすべてのコマンドおよびネットワークアクティビティを分離します。これにより、セキュリティチームは影響を受けたワークロードが終了した後でもログを調査することができ、コンプライアンス基準やガバナンスフレームワーク(コンプライアンスドメイン)に準拠します。
統合プラットフォームは、ワークロードデータとネットワークデータを相関させ、影響を受けたIAMリソース(アイデンティティドメイン)およびクラウドアカウントを明らかにします。SysdigのIdentity Insightsビューは、調査を拡大し、攻撃者が目的を達成するために正当なユーザーアカウントを侵害したかどうかを確認します。
Sysdig は、イベントのタイムラインを相関させ、攻撃者がネットワークにアクセスできるようにしたすべての要因を明らかにします。アクティブな権限を監視し、権限を減らして攻撃者がユーザー アカウントを悪用するのを阻止するための最適化された構成を推奨します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:describeinstances"
],
"Resource": [
"*"
]
}
]
}
このマルチドメイン相関戦略は、実用的なインサイトと効率的なインシデント対応と組み合わせることで、Sysdigが堅牢な防御を提供し、顧客がクラウドセキュリティにおける555ベンチマークを達成できるようにします。
数分でクラウドを保護 – 555 ベンチマークを満たすためのチェックリスト
Sysdig のクラウド検出および対応の 555 ベンチマークを使用して、セキュリティ チームが攻撃者に対抗できる速度を測定します。