Sysdig、業界をリードするCNAPPにリアルタイムの攻撃経路分析機能を追加

SEPTEMBER 28, 2023

SHARE:

複数ドメインを相関させることで、差し迫ったリスクを特定し、実際の攻撃経路を数秒であぶり出す

<このプレスリリースは9/27/2023に米国で発表されたリリースの抄訳です>

9/27/2023 – 米国カリフォルニア州サンフランシスコ発 — ランタイム・インサイトを活用したクラウドセキュリティのリーダーであるSysdigは本日、業界初(*1)のリアルタイムで攻撃経路の分析や、リスク優先順位付けを提供するCloud Attack Graphを発表しました。この新機能は、本番環境からのリアルタイムのインサイトを活用し、目に見えないが差し迫った脅威や進行中の攻撃を特定します。さらに、重大な脆弱性を有する使用中のインスタンスや、未使用の認証情報を持つロールなどの情報を表示する統合検索機能により、包括的なクラウドの可視性を提供する新しい「クラウドインベントリ」をリリースしました。また、Sysdigはエージェントレススキャンをリリースし、ソフトウェアのライフサイクル全体にわたって完全なエージェント&エージェントレスソリューションを提供します。

 * 1: リアルタイムの攻撃パス分析を行うツールとして(自社調べ2023年9月)

クラウドでは1秒1秒が重要です。環境はより複雑になり、攻撃は著しい速度で発生します。オンプレミスの攻撃が数週間単位で行われるのに対し、クラウドの攻撃はわずか数分で行われます。攻撃者はクラウドの複雑さと自動化を悪用して、横方向に移動し、権限を昇格させ、影響範囲を最大化します。その瞬間に何が起きているかを知ることで、お客様は対策から防御まで、より適切な情報に基づいた意思決定を行うことができます。

主な調査結果

業界をリードするSysdigのクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)は、ランタイム・インサイトにより、Sysdigのリアルタイム検知とマルチドメイン相関を可能にし、環境全体でリスクのある組み合わせに優先順位を付けます。
  • Cloud Attack Graphは、Sysdig CNAPPの中枢として機能し、資産、ユーザー、アクティビティ、リスクを横断するマルチドメイン相関を適用して、脅威をリアルタイムに特定します。Sysdigは、即時検知、使用中の脆弱性、使用中の権限を重ねることで、環境全体の点と点を結びつけ、脅威が拡大する前に緩和することができます。
  • Risk Prioritizationは、クラウド・ネイティブ環境全体で対処すべきリスクの優先順位付けを支援する、スタック・ランクのリストです。このリストは、イベントのリアルタイム検知、使用中のパッケージに関連付けられた脆弱性、使用中のパーミッションとレイヤー化された実行時のインサイトから独自に生成され、任意の瞬間に発生している最も差し迫った攻撃に注意を向けます。ードを隠すことができます。この種のマルウェアを特定するには、ランタイム解析が必要です。
   <Risk Prioritization画面>

  • Attack Path Analysisは、攻撃可能なリソース間の依存関係を視覚的に表現し、潜在的な攻撃経路を明らかにするのに役立ちます。他のソリューションとは異なり、Sysdigはリアルタイムの検知を重ねることで、横方向への移動などのアクティブな攻撃行動を明らかにし、攻撃者の行動を阻止するのに役立ちます。
<Attach Path Analysis画面>

上記図の説明:
「Store-fronend」ワークロードではクリプトマイニングの実行とコンテナエスケープのランタイム脅威を検知しているが、このワークロードにはCVE-2022-22965の脆弱性と特権コンテナとして実行される設定ミスがあり、インターネットから到達可能な状態となっている。「Store-fronend」ワークロードをホストしている「store-frontend-host」では、EC2メタデータサービスへのアクセスをランタイム脅威として検知している。「store-frontend-host」ホストにアクセスできる「AdminAccess」ロールには使われていない過剰な権限が割り当たっており、このロールは「S3-Sensitive」バケットにアクセスできる権限も有している。
  • Inventory は、ランタイム・インサイトの力により、ユーザー、ワークロード、ホスト、Infrastructure as Code にまたがるクラウド環境内のすべてのリソースの完全な検索可能なリストです。動的なフィルタリングにより、クラウド環境全体で最も関連性の高い情報に即座にアクセスし、さまざまな方法で利用することができます。アクティブなパッケージの脆弱性を特定することで、セキュリティチームは重要な修正に優先順位を付けることができます。また、インベントリを使用して、使用中のパッケージでインターネットに公開されている Log4j のインスタンスをすべて特定するなど、脆弱性への露出を迅速にチェックすることもできます。顧客は、関連する設定ミス、コンプライアンス違反、および脆弱性をリアルタイムに表示することで、潜在的に侵害されているワークロードをさらに深く掘り下げることができます。
  • Complete Agentless Scanningにより、Sysdigのエージェントおよびエージェントレス・ソリューションが完成しました。Sysdigは、設定ミスや脅威の検知を行う既存のエージェントレススキャン機能を拡張して、エージェントレスでのホストスキャンも実現しました。Sysdigのエージェントレスアプローチは、クラウドセキュリティの全体像を把握し、脆弱性、設定ミス、使用中の権限、脅威をハイライトします。一方、スケーラブルで高性能なエージェントは、他のワークロード属性に加えて、ファイルアクセス、ネットワーク接続、アクティブプロセスのリアルタイム分析を提供します。そして、優先度を付けて保護するために、使用されていないパッケージの脆弱性をフィルタリングします。

apree health社 情報セキュリティ・シニアマネージャー David Quisenberry氏のコメント

セキュリティーチームには使命があります。何が起こっているかを「 知らない 」チームではなく、「 知っている 」チームであってほしいのです。セキュリティによって開発スピードを遅らせてはなりません。」「予防は必要ですが、クラウドのスピードを考えると、すべてを防ぐことはできません。また、リアルタイムで防御する準備も必要です。クラウドセキュリティには、点と点を結びつけ、コンテキストを提供するツールが必要ですが、重要なのは、それがリアルタイムでなければならないということです。」

Sysdig社 プロダクト担当VP, Knox Anderson(ノックス・アンダーソン)のコメント

「セキュリティチームには、すべてを把握し、関連付け、数秒以内に実行可能なインサイトに集約するツールが必要です。Cloud Attack Graphの特徴は、クラウド専用に設計されていることです。これにより、ユーザーはリスクを可視化し、重要な脅威に優先順位を付け、ライブ攻撃が発生した場合はリアルタイムで警告を発し、セキュリティチームが優先的に取り組むことができます。「クラウドではコンテキストとスピードがすべてであり、ランタイム・インサイトはクラウドセキュリティにとって重要な機能です。

参考資料

Sysdig Logo

Sysdigについて
クラウドでは、1秒1秒が重要です。攻撃は瞬時に進行します。その環境でセキュリティチームはビジネスを減速させることなくクラウドを保護しなければなりません。Sysdigは、ランタイムインサイトとオープンソースのFalcoによってリスクの変化を即座に検出し、クラウド攻撃をリアルタイムで阻止します。クラウドのワークロード、アイデンティティ、サービス全体のシグナルを相関させることで、隠れた攻撃経路を発見し、真のリスクに優先順位を付けます。予防から防御まで、Sysdigは企業が重要なこと、すなわち自社のイノベーションに集中できるよう支援します。SECURE EVERY SECOND. – Sysdigで1秒1秒をセキュアに