本文の内容は、2024年2月20日にMARLA ROSNERが投稿したブログ(https://sysdig.com/blog/why-practitioners-need-cnapp-with-runtime-insights/)を元に日本語に翻訳・再構成した内容となっております。
クラウド アプリケーションに対する需要が高まっているため、アプリケーションを迅速に作成して展開する開発チームの機敏性が重視されています。同時に、セキュリティチームは、イノベーションのペースを妨げることなく組織のクラウドインフラストラクチャーを保護するという重要なタスクに直面しています。速度とセキュリティのバランスをどう取るかが極めて重要な課題となっており、セキュリティチームや開発者は、開発から実稼働に至るまで、クラウド ネイティブアプリケーションのライフサイクル全体を保護する統合ソリューションを模索する必要に迫られています。
この需要により、クラウドネイティブ アプリケーション保護プラットフォーム ( CNAPP )の採用が進んでいます。セキュリティ実践者は、ポイントソリューションを単一のプラットフォームに統合することで、クラウドセキュリティプログラムを効率化しようとしています。統一されたユーザーインターフェースで運用されることで、セキュリティチームは組織のクラウド環境やワークロード全体で包括的な脅威の可視性を得ることができ、クラウドセキュリティリスクに対するより効果的かつ効率的なアプローチを提供します。
CNAPP の採用者が自問しなければならない質問が 2 つあります。
セキュリティ チームはどのようにして CNAPP の可能性を最大限に引き出し、その責任を効果的に遂行できるでしょうか?また、開発チームがアプリケーションを迅速に構築して提供できるようにするには、CNAPP をどのように使用すればよいでしょうか?
TL;DR 答え:
重要なのは、セキュリティ担当者が真のリスクを迅速に特定して対処できるようにすることです。ランタイムインサイトは、セキュリティ・チームがその環境における最も重要で関連性の高いリスクに効果的に優先順位を付けることを可能にする、CNAPP の重要な機能です。
クラウドセキュリティの複雑さを乗り越える
CNAPP 実践者にとってリスクの優先順位付けが成功の鍵であることは、おそらく驚くべきことではありません。しかし、この機能を提供する上でのランタイムインサイトの重要性を把握するには、より良い優先順位付けの必要性を促すクラウド・セキュリティの複雑性を理解することが重要です。
エンドツーエンドの可視性の欠如とアラートの過負荷
CNAPP への移行を促進する要因は複数ありますが、最も重要な要因の 1 つは、アプリケーションのライフサイクル全体にわたるリスクを可視化する必要性です。リスクが開発、ステージング、ランタイム運用全体に広がるため、セキュリティチームと DevOps チームの両方が、組織のマルチクラウドフットプリント全体にわたる深い可視性と洞察を必要としています。
包括的な可視性を確保するために、成功するCNAPPは多様なソースからの大量のデータを処理する必要があります。これには、システムコール、Kubernetes監査ログ、クラウドログ、Oktaのようなアイデンティティおよびアクセスツールなどからのデータが含まれます。攻撃には多くの潜在的なエントリーポイントがあり、攻撃者がこれらのドメインを横断して横方向に移動する可能性もあるため、広範なカバレッジは非常に重要です。しかし、このような分析によって、実際のリスクを表すかどうかわからないアラートや発見が大量に生成される可能性があります。セキュリティチームは、アラートのエンドレス・ストリームに圧倒され、リモート・コード実行(RCE)、特権昇格、クラウド・ワークロード全体にわたる横方向の移動など、実際の疑わしい活動を特定する能力を阻害される可能性があります。
開発者は誤検知や低リスクの脆弱性の修復に時間を浪費するため、通知のバックログによって開発が遅れる可能性もあります。この問題に対処しなければ、セキュリティはすぐに障害となり、イノベーションのペースを遅らせる可能性があります。
これらの課題を総合すると、CNAPP はより深い洞察を提供し、ランタイムのコンテキストに基づいて最も重大な脆弱性に優先順位を付けることが重要になります。これがランタイムインサイトの優れた点であり、最も効果的なCNAPPソリューションを他と一線を画しています。
実行時のインサイトで、リスクの迅速な優先順位付けを可能にします
セキュリティチームがクラウド環境全体で最も影響力のある問題に優先順位を付ける鍵となるのは、ランタイムインサイトです。実行時の洞察は、現在何が実行されているかに関する知識に基づいて、環境内の最も重大な問題に関する実用的な情報を提供します。これにより、デプロイメントで実際に何が起こっているかを把握できるようになり、セキュリティチームと開発チームが現在の悪用可能なリスクに集中できるようになります。
ランタイムインサイトは、アラート疲労を排除し、詳細な可視性を提供し、チームが実際の関連性のある不審なアクティビティを特定できるようにするための、効果的なCNAPP ソリューションにとって不可欠な機能です。
たとえば、ランタイムインサイトを備えた CNAPP は次のようになります。
- ランタイムにどのパッケージが使用されているかを分析することで、修正すべき最も重大な脆弱性を優先します。 Sysdig の調査によると、コンテナ イメージの 87% に重大な脆弱性または重大な脆弱性がありますが、ランタイムに読み込まれるパッケージに実際に関連付けられている脆弱性は 15% のみです。
- 真の差し迫ったリスクをもたらす異常な振る舞い、不審なアクティビティ、または姿勢のずれを迅速に特定するのに役立ちます。
- ランタイムアクセスパターンを活用することで、最初に修正すべき過剰なパーミッションを明確にします。
- 修復作業をガイドし、最終的にチームが最も重要な場所、つまり構成ミスや脆弱性の問題の原因に基づいて、情報に基づいた意思決定を直接行うのに役立ちます。
ランタイムユースケース: 横方向の動きの防止
ランタイムインサイトを備えた CNAPP が、組織の 2 つのクラウド ベンダー環境にわたるラテラルムーブメント攻撃を効果的に特定し、軽減する方法を見てみましょう。
攻撃経路:
- エントリ:攻撃者は、公的に公開されている重大な脆弱性を悪用します。
- アクセス:侵入を獲得した攻撃者は、Kubernetes ワークロードにアクセスできるようになります。
- 権限昇格:特権コントロールの不備や 過剰な未使用パーミッションを悪用し、攻撃者は特権をエスカレートさせ、管理者権限でパーミッションを取得します。
- 横方向の移動:攻撃者は取得した認証情報を使用してクラウド環境を移動し、機密性の高い Amazon S3 バケットに到達します。
ランタイムインサイトによって攻撃が軽減される仕組み:
使用中の脆弱性を特定して初期アクセスを停止します。
課題:チームは膨大な数のシステム脆弱性に直面しています。
解決策:セキュリティ チームは、ランタイムインサイトを使用して、どの脆弱性が実際に使用されているかを正確に特定できるため、担当者は悪用可能なエントリポイントに即時パッチを適用することを優先できます。
横方向の動きをブロックするために過剰な権限を追跡および制御します。
課題:権限を整理するのは大変で、過剰で不必要なアクセスにつながります。
解決策:セキュリティチームはランタイムインサイトを活用して、アクティブに使用されているアクセス許可と過度に割り当てられているアクセス許可を区別できるため、最小特権の原則を適用していることを効果的に確認できます。
ランタイムを適切に可視化することで、チームは長期間(例えば30~90日間)にわたってパーミッションの使用状況を徹底的に分析することができます。この間、より高いレベルのパーミッションが未使用のままであれば、それは通常の運用には不要である可能性が高いことを示します。このプロアクティブな可視化により、チームは不要なパーミッションを迅速に削除するための知識を得ることができ、攻撃者による権限のエスカレーションを効果的に阻止し、横の動きを防ぐことができます。
ランタイムインサイトを活用することで、セキュリティ担当者は、ラテラルムーブメント攻撃の重要な要素を検出、優先順位付け、対処する能力を大幅に向上させることができ、最終的に組織のクラウドインフラストラクチャーをこのようなセキュリティ脅威から守ることができます。
まとめ
ランタイムインサイトを利用して CNAPPアラートに優先順位を付けることで、セキュリティ担当者はより効率的かつ確実にクラウドセキュリティの問題を防止し、対応できるようになります。組織がクラウドセキュリティの複雑さをますます克服するにつれて、ランタイムインサイトは包括的な可視性を提供し、迅速なリスクの優先順位付けを可能にし、アラートの過負荷を軽減することで決定的な利点をもたらします。
エンドツーエンドの可視化とアラート疲労という課題に対処することで、ランタイムインサイトを備えた CNAPP は、セキュリティチームと開発チームが重要な脆弱性を迅速に特定し、優先順位を付けて対処できるようにし、組織のクラウドセキュリティ態勢がイノベーションのペースにシームレスに沿うようにします。