本文の内容は、2024年3月14日に LORIS DEGIOANNI が投稿したブログ(https://sysdig.com/blog/urgent-need-real-time-cloud-detection-and-response)を元に日本語に翻訳・再構成した内容となっております。
クラウドセキュリティ市場がここ数カ月で検知と対応を爆発的に拡大したことは印象的です。
ユーザーとベンダーの両方におけるこの業界は、最新のクラウド攻撃の複雑さを急速に認識しています。自動化とAPIによって促進される攻撃は、クラウド環境のコンテキストが欠如していたり、ポスチャーのみに焦点を当てた従来のソリューションでは効果的に対抗することができません。
Sysdigはこのことをかなり以前から認識していました。Sysdigは、クラウドネイティブな脅威の検知と対応のためのオープンソースの標準であるFalcoを作成し、クラウド攻撃に備える「旅」を始めました。最近では、当社の脅威リサーチチームが主要なクラウド攻撃(SCARLETEEL、AMBERSQUID、SSH-Snake)を発見し、悪質な行為者が損害を与えるのに10分もかからないことを突き止めました。この研究により、セキュリティチームがクラウド攻撃と歩調を合わせるために達成しなければならないベンチマークを開発することになりました。私たちはこれを「クラウドセキュリティの5/5/5ベンチマーク」と呼んでいます。
最近の出来事からも、私たちと同じ考えを持つ人が増えていることがわかります:
- Falcoはクラウドネイティブコンピューティングファウンデーション(CNCF)内でグラデュエーションステータスを達成しました。このマイルストーンは、クラウドネイティブコミュニティが検知と対応の重要な役割を認識していることを強調するものです。
- 直近の決算説明会において、クラウドストライクのリーダーシップは、クラウド攻撃のスピードが劇的に加速していることを強調しました。
- 最後に、WizはGem Securityの買収を発表しましたが、これはポスチャー中心の製品に検知と対応を追加する試みです。
クラウドには包括的な戦略が必要
このような緊急性を要する理由は明らかです。従来のポスチャーベースのアプローチは重要ではあるものの、最新のクラウド攻撃への対応には不十分だからです。同様に、エンドポイントやオンプレミスネットワーク向けに構築された脅威検知・対応ソリューションには、クラウド攻撃や「ゼロデイ」を阻止するために必要な、クラウドやDevOpsの豊富なコンテキストが欠けています。
その解決策は明らかになりつつあり、包括的な戦略が必要です:
- ポスチャー管理と検知および対応を統合することが重要です。誤設定やサプライチェーンの脆弱性を実際の攻撃行動と関連付けるリスクの全体的なビューだけが、盲点をなくし、無関係な検知結果が氾濫するのを防ぐことができます。
- 多数のデータソースを活用することが不可欠です。これには、エージェントレススキャンからの構成情報、エージェントからのワークロードシグナル、クラウドサービスからの証跡、OktaやGitHubなどのアプリケーションからのログなどが含まれます。詳細で豊富なこれらすべてのデータは、収集されるだけでなく、正確に関連付けられなければなりません。
- 真にリアルタイムであることは譲れません。ログをSIEMやレガシーな検知・対応プラットフォームに送信しなければならない場合、データが取り込まれインデックスが作成されたときには、すでに手遅れです。
- クラウド攻撃を真に理解するには、エージェントレスとエージェントベースのテレメトリーを組み合わせる必要があります。
簡単に言えば、クラウドセキュリティにはランタイムインサイトが必要です。予防的な対策では、ゼロデイ攻撃を検知、封じ込め、管理することはできません。
Sysdigのここ数年のビジョンは、ランタイムを活用したCNAPPです。私たちは、ランタイムインサイトの活用が後付けではなく、基本的な設計原則となる、最高の統合プラットフォームを構築することに全力を注いできました。私たちのプラットフォームは、最短時間で最高のインサイトを提供することを目指しています。
当社のユーザーはこのビジョンを積極的に受け入れています。OktaとGitHubの統合をリリースしてからわずか数週間で、数十社のお客様がこれらを導入し、高度な脅威の検出と対応に活用しています。
Sysdigのビジョンは、企業がクラウドで安全にイノベーションを起こせる世界を作ることです。そのためには、リアルタイムの検知と対応を中心に据えたCNAPPソリューションが必要です。最も巧妙なクラウドの脅威から保護するために、検知とレスポンスを活用した、豊富で強力に統合されたソリューションをお探しのセキュリティリーダーには、2つの選択肢があります:
- 他のベンダーが戦略を定義し、買収を完了させるのを待ち、その後、新しい製品を既存のプラットフォームにシームレスに統合するために時間を与える。
- 今すぐSysdigを選択する。
ご存知の通り、敵は待ってくれません。
Sysdig 5/5/5ベンチマークの詳細はこちらをご覧ください。