新着情報 – 2023年12月 総括

By 清水 孝郎 - JANUARY 3, 2024
Topics: クラウド セキュリティ, コンテナ、Kubernetes、ホストのセキュリティ

SHARE:

本文の内容は、2023年12月28日に MIKE WATSON が投稿したブログ(https://sysdig.com/blog/whats-new-in-sysdig-december-2023-recap/)を元に日本語に翻訳・再構成した内容となっております。

Sysdig最新情報ブログシリーズの12月号へようこそ。今回は、過去12ヶ月間にSysdigが経験したいくつかの重要なハイライトに焦点を当てたいと思い、1年を振り返ることにしました。この1年を振り返ってみると、クラウド・セキュリティの状況は課題と進化に直面しています。クラウドが成熟し、より多くのクラウド・ネイティブ・サービスを利用する企業が増えているため、クラウド環境全体を管理、保守、セキュリティ保護するために、さまざまな業務部門に負担がかかっています。企業がクラウド・ネイティブな機能を活用するようになっただけでなく、攻撃者もクラウド・ネイティブになっています。クラウドにおける攻撃はこれまでとは異なるものであり、2023年に多くの人が気づいたことは、従来のセキュリティ・ツールでは防御や検知、対応を強化するには不十分だということです。Sysdigとクラウド・セキュリティの1年を振り返りながら、いくつかの重要な出来事に焦点を当てます:

  • クラウドにおける攻撃のスピードに関する脅威リサーチチームによる重要なインサイト
  • クラウドにおける迅速なセキュリティの必要性を際立たせる、新しいクラウド・セキュリティ・ベンチマーク
  • セキュリティと開発部門のギャップを埋めるためにクラウドにおける検知と対応が果たす重要性
  • クラウドにおける防御と堅牢化、およびリアルタイム検知と対応の両立

クラウドでは、偵察から攻撃まで10分しかありません

8月、Sysdig 脅威リサーチチームは「2023 グローバルクラウド脅威レポート」を発表し、クラウドにおける攻撃は電光石火であり、検知から深刻な被害が発生するまでには数分しかないという驚くべき事実を明らかにしました。クラウドの攻撃者は、企業をクラウドに誘い込むのと同じことを利用していることは明らかです。防御する側はソフトウェアのライフサイクル全体を保護する必要がありますが、攻撃者は1回だけ正しければよく、自動化がそれをさらに容易にしています。

主な調査結果

  • 武器はクラウドの自動化で作成。 クラウド攻撃は素早く起こります。偵察とディスカバリーはさらに速いです。これらのテクニックを自動化することで、攻撃者はターゲット・システムのギャップを見つけたら即座に行動することができます。偵察アラートは何かがおかしいという最初の兆候であり、ディスカバリーアラートはブルーチームが遅すぎることを意味します。
  • 痛みまで10分。クラウドの攻撃者は迅速かつ場当たり的で、攻撃を開始するまでに費やす時間はわずか10分です。Mandiant社によると、オンプレミスでの滞留時間の中央値は16日であり、クラウドのスピードが際立っています。
  • 90%安全なサプライチェーンでは十分ではありません。先進的なサプライチェーン脅威の10%は、標準的なツールでは見えません。回避技術により、攻撃者はイメージがデプロイされるまで悪意のあるコードを隠すことができます。この種のマルウェアを特定するには、ランタイム解析が必要です。
  • クラウド攻撃の65%が通信事業者とフィンテックを標的にしています。通信事業者と金融事業者は、貴重な情報を豊富に持ち、手っ取り早くお金を稼ぐ機会を提供しています。どちらの業界も、詐欺の標的として魅力的です。

Sysdig、クラウドの検知と対応に関する新しいベンチマークを発表

クラウドの検知と対応に関する5/5/5ベンチマークは、組織がクラウドにおける攻撃をいかに迅速に検知し、トリアージし、対応すべきかを示す新しいフレームワークです。クラウドで安全に運用するには、時間に対する考え方を変える必要があります。そのため、クラウド・セキュリティ・プログラムでは、最新のベンチマーク(検知に5秒、インサイトの関連付けと何が起きているかの理解に5分、対応にさらに5分)を設定する必要があります。

クラウドの攻撃は迅速かつ巧妙であるため、クラウドのスピードに合わせた堅牢な脅威検知・対応プログラムが必要です。オンプレミスの攻撃には平均16日かかり、時代遅れのフレームワークでは、セキュリティ・チームは侵害に60分以内に対応しなければなりません。悪質な業者は、クラウドの自動化と規模、そして新しいテクニックを悪用し、攻撃のすべての段階を加速させ、数分以内に損害を与えています。5/5/5ベンチマークは、敵が攻撃を完了するよりも早くクラウド攻撃を検知し、対応するための指針です。

課題

  • 5秒以内に脅威を検知。 企業は、クラウドセキュリティツールからリアルタイムで検知シグナルを収集し、エフェメラルな資産の可視性を確保する必要があります。
  • 5分以内の関連付けとトリアージ。チームは、関連する最初のアラートを受信してから 5 分以内に、相関するすべてのシグナルの完全なコンテキストを収集できる必要があります。
  • 5分以内の対応開始。組織は、攻撃が進行中であることを確認してから5分以内に戦術的対応を開始できる必要があります。

CDRなくしてCNAPPなし

6月、SysdigはCloud Detection and Response(CDR)とCloud-Native Application Protection Platform(CNAPP)の統合を実現した最初のベンダーとなりました。このアプローチにより、Sysdigは、ワークロード、アイデンティティ、クラウドサービス、サードパーティ製アプリケーションにまたがる360度の可視性と相関性により、クラウドのあらゆる場所で即座に脅威を検出することができます。

2023年に企業が直面する課題を整理してみると、企業がクラウド環境を構築する際に、潜在的に脆弱なアプリケーション、サービス、IDが数多く存在するスプロールに直面することは驚くことではありません。ほとんどのクラウド・セキュリティ・ツールは不審な挙動を特定するのに時間がかかり、一度警告が発せられると、組織は何が起こったのかをつなぎ合わせるために、スナップショットを調べるのに何時間も、いや何日も費やすことになります。これは悪質な行為者にとって最善のシナリオであり、数時間から数日かけて最大限の損害を与えることになります。以下は、6月にリリースされたCDRをCNAPPに組み込むための主な機能です。

エンドツーエンドの脅威検知で侵害を即座に阻止

  • Falcoをベースとしたエージェントレスクラウド検知: Sysdigによって開発されたFalcoは、クラウド脅威検知のためのオープンソースソリューションとして広く採用されており、現在はCloud Native Computing Foundationの管理下にあります。以前は、Sysdigの中でFalcoのパワーを活用するために、企業は自社のインフラ上にFalcoをデプロイする必要がありました。このリリースにより、お客様は、クラウド、アイデンティティ、ソフトウェアサプライチェーン、およびその他のソースにわたる脅威を検出するために使用されるクラウドログを処理する際に、Falcoのエージェントレスなデプロイメントで利用する事ができます。
  • アイデンティティ脅威の検知: Sysdig Oktaの新しい検知機能により、セキュリティチームは、スパミングやアカウント乗っ取りによる多要素認証の疲労などのアイデンティティ攻撃から保護することができます。Sysdigは、Oktaのイベントをリアルタイムのクラウドやコンテナのアクティビティと連携させることで、ユーザから影響までの攻撃全体を詳細に検知します。
  • ソフトウェアサプライチェーンの検知: Sysdigの新しいGitHub検知機能により、脅威の検知をソフトウェアのサプライチェーンにまで拡大します。開発者やセキュリティチームは、リポジトリにシークレットがプッシュされた時など、重要なイベントをリアルタイムでアラートできます。
  • ドリフトコントロールの強化: 元のコンテナに含まれていない実行可能ファイルを動的にブロックすることで、一般的なランタイム攻撃を防止します。

クラウドの調査とインシデントレスポンスをリアルタイムで加速

  • ライブマッピング: Sysdigは、侵害が発生したときに、関連するすべてのリアルタイムイベントを1つのビューにまとめる、エンドポイント検知と対応(EDR)のようなアプローチを実現しています。Kubernetes Liveにより、チームはライブのインフラストラクチャーとワークロード、およびそれらの関係を動的に確認し、インシデント対応を迅速化できます。
  • コンテキストに沿った攻撃履歴: Sysdig Process Treeは、プロセスのリネージ、コンテナとホストの情報、悪意のあるユーザーの詳細、影響など、ユーザーからプロセスまでの攻撃の流れを明らかにすることで、脅威の迅速な特定と根絶を可能にします。
  • 脅威ダッシュボード: ダッシュボードは、クラウド、コンテナ、Kubernetes、ホストにまたがるイベントにスポットライトを当てることで、重要なセキュリティ問題を一元的に把握し、脅威の優先順位付けをリアルタイムで行うことができます。また、Sysdigは、クラウドネイティブ環境のMITREフレームワークに対する動的マッピングも提供するため、セキュリティチームは、任意の瞬間に何が起きているかを正確に把握することができます。

Sysdig、クラウド攻撃リアルタイムグラフを追加

9月、Sysdigは新しいクラウド・アタック・グラフを発表し、リアルタイムの攻撃経路分析とライブリスク優先順位付けを提供します。クラウドでは1秒1秒が重要です。環境はより複雑になり、攻撃はワープスピードで発生します。オンプレミスの攻撃が数週間単位で行われるのに対し、クラウドの攻撃はわずか数分で行われます。攻撃者はクラウドの複雑さと自動化を悪用して、横方向に移動し、権限を昇格させ、影響範囲をできる限り広げます。その瞬間に何が起きているかを知ることで、予防から防御まで、より良い情報に基づいた意思決定を行うことができます。組織が堅牢化と防御に検知と対応と組み合わせることを可能にする主な機能には、次のようなものがあります。:

今重要なことにフォーカスする新機能

クラウド・アタック・グラフは、Sysdig CNAPPの中核として機能し、資産、ユーザー、アクティビティ、リスクをまたがるマルチドメイン相関を適用して、脅威をリアルタイムに特定します。Sysdigは、即時の脅威検知、実際に使用されている脆弱性、実際に使用されている権限を重ねることで、環境全体の点と点を結びつけ、脅威が拡大する前にその影響を軽減します。

リスクの優先順位付けは、クラウドネイティブ環境全体で対処すべきリスクの優先順位を決定するための、スタックランクのリストです。このリストは、イベントのリアルタイム検出、実際に使用されているパッケージに関連付けられた脆弱性、実際に使用されている権限と階層化されたランタイムの洞察から生成され、任意の瞬間に発生している最も差し迫った攻撃に注意を向けます。

攻撃経路分析は、リソース間の悪用可能な依存関係を視覚的に表現し、潜在的な攻撃経路を明らかにするのに役立ちます。他のソリューションとは異なり、Sysdigはリアルタイムの検知を重ねることで、横方向への移動などのアクティブな攻撃行動を明らかにし、攻撃者の行動を阻止するのに役立ちます。

インベントリー。ランタイム・インサイトによるインベントリーは、ユーザー、ワークロード、ホスト、Infrastructure-as-Codeにまたがるクラウド環境の全リソースの完全な検索を可能にします。動的なフィルタリングにより、クラウド環境全体の最も関連性の高い情報に即座にアクセスし、さまざまな方法で使用できます。

完全なエージェントレス・スキャンニングは、Sysdigのエージェントおよびエージェントレス・ソリューションを完成させます。Sysdigは、既存のエージェントレススキャンを拡張し、設定ミスや脅威の検出を行うホストスキャンを含むエージェントレス機能を拡張しました。

2023年の締めくくり

今年を締めくくり、これまでの道のりを振り返ってみると、この1年がクラウド・セキュリティという現在進行形の旅において極めて重要な章であったことがわかります。クラウドの成熟度の向上とクラウド・ネイティブ・サービスの利用拡大、リモートワークへの世界的なシフト、イノベーションを第一に考える組織、クラウド攻撃の高度化など、クラウド・セキュリティの進化は着実に進んでいます。クラウドでは1秒1秒が重要であることを忘れてはなりません。