本文の内容は、2024年8月7日にMatt Kim が投稿したブログ(https://sysdig.com/blog/why-identity-infused-cdr-is-the-key/)を元に日本語に翻訳・再構成した内容となっております。
クラウド攻撃を阻止するには、脅威の検知、調査、対応にかかる時間を最小限に抑えることが不可欠です。実際、これは今日のクラウドセキュリティにおける最大の控えめな表現かもしれません。現代の脅威アクターは戦術をエスカレートさせ、攻撃をより迅速かつ攻撃的にし、阻止するのがますます困難になっています。クラウド攻撃は電光石火の速さで発生し、セキュリティチームが対応する前に、自動化を活用して機密データやリソースにアクセスします。これにより、防御側は攻撃者に対して不可能な 3D チェス ゲームをしているような気分になります。攻撃者がエクスプロイトを特定してから攻撃を完全に実行するまでに10 分もかからないため、迅速な検知と対応の価値はいくら強調してもし過ぎることはありません。
さらに、AI の進歩により、悪意のある攻撃者は予測が難しい新しい未知の手法を身に付けています。脅威の攻撃者は AI を使用して悪意のあるコードを書き、マルウェアを作成し、ターゲットを絞ったソーシャルエンジニアリングやフィッシング キャンペーンを実行し、リアルなビデオや音声録音を生成することさえあります。これらの AI 主導の手法により、攻撃の速度、有効性、規模が増大し、侵入障壁が低下し、セキュリティにおける ID の基本基盤が徐々に崩れ、脅威の攻撃者が初期防御を回避できるようになります。
この変化した環境で業務を行うには、セキュリティ チームがアクティブなリスクを追跡するという新しい考え方が必要です。予防だけではもはや十分ではありません。脅威アクターが進化し、新しい攻撃ベクトルを開発するにつれて、防御側は未知の攻撃をリアルタイムで検出して阻止することを優先する必要があります。ID とアクセスの管理、脆弱性の管理、その他の予防的制御は、堅牢な防御を構築する上で重要です。ただし、専用のクラウド検出および対応 (CDR) ソリューションがなければ、ゼロデイ攻撃から効果的に防御できる組織はありません。
セキュリティチームが見逃しているもの
最近の攻撃者の多くは、クラウドインフラストラクチャーの広大さと複雑さを利用して防御を回避しています。攻撃者はチェス盤の女王のように行動し、パブリッククラウド、ワークロード、オンプレミス インフラストラクチャーを難なく横断するため、セキュリティ チームが攻撃者の行動をリアルタイムで追跡することは困難です。攻撃から防御するには、セキュリティ担当者は攻撃者の動きを素早く読み取り、攻撃の開始場所、悪用された ID と権限、攻撃のターゲットと目標などの複雑な詳細から一貫した物語を作成する必要があります。
従来の EDR および XDR ツールでは、クラウドの可視性が十分に得られず、チームにはクラウド コンテキストが欠如した不完全でサイロ化されたデータが残ってしまいます。ID の動作、ワークロード アクティビティ、クラウド リソース全体で検出結果を相関させることができなければ、セキュリティ チームは攻撃の全体像を把握できません。検知と対応は数分で完了する必要があるため、このプロセスは自動化され、リアルタイムで実行される必要があります。
最近の攻撃パターンは、セキュリティ チームが未知の攻撃に対処するために支援を必要とする 3 つの重要な領域を浮き彫りにしています。
アイデンティティとその行動に関する洞察の欠如
認証情報は、クラウドで攻撃を開始するために使われる主な攻撃ベクトルですが、アイデンティティとその初期段階の行動に関する知見は依然として限られています。アイデンティティはクラウド セキュリティで最も見落とされがちなリスクの 1 つになっており、近年の多くの大規模な侵害では、過度に許容度の高い認証情報と、何らかの形の横方向の移動または権限昇格が関係しています。Verizonの 2024 年データ侵害調査レポートによると、悪用された認証情報は最も一般的な初期アクセスベクトルであり、侵害のほぼ 40% で使用されています。
攻撃者はクラウド内のマシン間を移動できるため、アイデンティティの動作とワークロードのアクティビティが切り離され、最初の検出後でも攻撃の完全な履歴を再構築することが困難になります。クラウドインフラストラクチャーが拡張され、さまざまなアイデンティティとロールが含まれるようになったため、人間やマシン以外のアイデンティティが急増し、複雑さが増しています。分析するユーザー、権限、ログが数千に及ぶため、EDR/XDR ツールでは、特にマルチクラウドおよびハイブリッド クラウド環境全体で、クラウド アイデンティティに関するユーザー アクティビティの可視性を提供するのが不十分です。
クラウドの複雑な性質によるカバレッジのギャップ
チェスのゲームのように、今日のクラウド防御者の戦場は、その複雑さ、多様性、広大さにおいて多次元的です。パブリック、プライベート、ハイブリッド クラウド環境にわたるワークロードの多様性をカバーするのは困難です。エクスプロイトはクラウド全体のワークロードとサービスに現れますが、フォレンジックパターンは通常、関連する侵害された ID 全体でかなり早い段階で確認できます。現在のツールには、コンテナ、Kubernetes クラスター、マイクロサービス、サーバーレスなどの 3 つの多様なクラウド ネイティブ構造に対する詳細な可視性がないため、ギャップが多すぎます。
一般的に使用されている EDR/XDR ツールは、クラウドネイティブ インフラストラクチャーに関しては完全な可視性を提供できず、悪意のあるフォレンジック パターンを認識することができません。XDR エージェントには、クラウド ワークロードに必要な可視性とコンテキストが欠けています。
一方、クラウド セキュリティポスチャ管理 (CSPM) ベンダーは、真のリアルタイム カバレッジを欠いた、完全にエージェントレスなアプローチを採用しています。これを修正するために、CSPM に重点を置くベンダーのいくつかは、未熟なセキュリティエージェントもリリースしました。しかし、これらのエージェントには、リソース消費量が多い、対応時間が遅い、インストールプロセスが面倒などの問題が山積しています。これらのカバレッジと可視性のギャップにより、クラウド防御者は盲目になり、脅威の検出が遅れ、運用コストが上昇し、セキュリティ侵害のリスクが増大することがよくあります。
サイロ化により、チームが協力して防御を強化することが妨げられる
セキュリティ チームでは、クラウドの検知アクティビティは、クラウド ID や権限管理などのクラウドポスチャーのユース ケースとは別のものとして見なされています。そのため、近年のクラウド攻撃のほとんどで侵害された ID、ワークロード、クラウド リソースがリンクされているにもかかわらず、範囲全体で ID に関する洞察を共有することができません。
検知と予防の活動全体を結びつけることが急務です。理想的には、検知および対応チームから学んだことを伝え、ポスチャー戦略に統合して、クラウドの堅牢な防御を確保する必要があります。
真のCDR: アイデンティティ行動 + カバレッジ
EDR および XDR ツールには、クラウド ID に関する洞察やクラウドワークロードの包括的なカバレッジを提供できないという制限があるため、クラウドセキュリティには根本的に適していません。進行中の攻撃を効果的に阻止するには、クラウドインフラストラクチャーを完全に可視化し、ID、ワークロード、クラウド リソースを網羅する専用のCDRソリューションが必要です。
検知と予防を個別のものとして捉えることはできません。脅威アクターの意図を予測し、攻撃に先んじるためには、アイデンティティの行動とワークロードの活動を関連付けてリアルタイムで全体像を把握するツールが必要です。アイデンティティのコンテキストは、クラウド戦略におけるゼロトラストの中心となりますが、検知と対応のワークフローにも統合されなければなりません。
アイデンティティのコンテキストを組み込むことで、セキュリティチームは特権ユーザーの作成といったアイデンティティベースの行動を検出した際にすぐに対応できるようになります。これらはしばしば攻撃チェーンの初期段階を示すものです。アイデンティティのコンテキストと広範なワークロードカバレッジを組み合わせることで、セキュリティチームは侵害の兆候を見逃さずに攻撃を初期段階で阻止し、脅威アクターを事前に排除することができます。クラウドの脅威を攻撃チェーンの早期段階で阻止するためには、クラウド向けに構築されたセキュリティソリューションが必要です。クラウド検出と対応のための555ベンチマークを満たすことができれば、クラウド全体を自信を持って保護し、その真の価値を引き出すことができます。