はじめに:予防からランタイムへ重点をシフト
クラウドセキュリティは過去10年間予防に的を絞ってきました。コンフィギュレーションを厳格にし、脆弱性をスキャンし、CNAPP(Cloud Native Application Protection Platforms)を通じてベストプラクティスを適用することです。これらの機能も引き続き重要ではありますが、クラウド攻撃が発生するのはそこではありません。
攻撃はランタイムに発生します。それは動的かつ短命な、絶えず変化する実行レイヤーであり、そこではアプリケーションが実行され、権限が付与され、アイデンティティが機能し、ワークロード間の通信が発生します。また、ランタイムは防御者にとってこれまで可視性が最も限られ 、対応に使える時間が最も少ないレイヤーでもあります。
現在の脅威ランドスケープでは抜本的なシフトが求められています。今やクラウドリスクを軽減するには、ポスチャやCNAPPのみの静的なアプローチを超えて、さまざまなワークロードおよびアイデンティティにわたるリアルタイムのビヘイビア検知を行うとともに、フォレンジック用の証拠を自動的に保全する必要があります。防御者に必要なのは、組織のクラウド環境の「正常」についての継続的な、リアルタイムの理解と、膨大なデータストリームを処理して攻撃者による動作の発生を示す逸脱を見つけだすことのできるAIです。
ランタイム:攻撃が発生するレイヤー
ランタイムは動いているクラウドです — コンテナが開始/停止され、サーバーレス関数が呼び出され、IAMロールが割り当てられ、ワークロードが自動スケールし、数百のサービス間をデータが流れています。また、攻撃者が次を行うところでもあります:
- 盗まれた認証情報を武器化
- 権限を昇格
- プログラムによるピボット
- 悪意ある計算リソースのデプロイ
- データを改ざんあるいは抜き出し
問題は複雑です:ランタイム証拠は短命だからです。コンテナは消滅し、重要なプロセスデータは数秒で消失します。人間のアナリストが調査を始めるころには、アラートを理解し対応するために必要なデータは、既になくなっていることがしばしばです。この揮発性によりランタイムは監視が最も困難なレイヤーでああるとともに、保護すべき最も重要なレイヤーでもあります。
Darktrace/ CLOUDがランタイム防御にもたらすもの
Darktrace / CLOUD はクラウド実行レイヤーのために開発されたツールです。攻撃の数時間後あるいは数日後ではなく、その進行と同時に検知、封じ込め、理解するのに必要な機能を統合しています。その価値を定義する要素は4つあります:
1. ビヘイビアベースの、リアルタイム検知
クラウドサービス、アイデンティティ、ワークロード、データフローに渡る通常のアクティビティを学習し、シグネチャが存在しなくても、実際の攻撃者の挙動を示す異常を見つけ出します。
2. フォレンジックレベルのアーチファクトを自動収集
Darktraceは脅威を検知したその瞬間に、揮発性のフォレンジック証拠をキャプチャします。エフェメラルリソースからのデータを含め、ディスク状態、メモリ、ログ、プロセスコンテキストを自動的に保全します。これにより、ワークロードが停止し証拠が消える前に何が起こったかについての真実を記録することができます。
3. AI主導の調査
Cyber AI Analystはクラウドの動作を、理解しやすいインシデントストーリーにまとめ、アイデンティティの挙動、ネットワークの流れ、クラウドワークロードの動作を相関付けます。アナリストは個別のダッシュボード間を移動したり、タイムラインを人手で再構築したりする必要がなくなります。
4. リアルタイムのアーキテクチャ認識
Darktraceはクラウド環境の動作状況を継続的にマッピングします。これにはサービス、アイデンティティ、接続、データの経路が含まれます。このリアルタイムの可視性により異常が明確に識別でき、調査が劇的に加速します。
これらの機能が統合され、ランタイム第一主義のセキュリティモデルが構築されています。
CNAPPだけでは不十分な理由:
CNAPPプラットフォームは、デプロイメント前のチェックから開発者ワークステーションまで、設定ミスの発見、問題のある権限の組み合わせ、脆弱なイメージ、リスクの高いインフラの選択などを特定するのに優れています。しかしCNAPPのカバーする範囲の広さは、その限界にもなります。CNAPPは体制を管理するものです。ランタイム防御は動作を問題にしています。
CNAPPは問題が起こる可能性を教えてくれますが、ランタイム検知は今現在どんな問題が起こっているかを知らせます。
短命な証拠を保全する、動作をドメイン間で相関付ける、あるいは実際のインシデント発生中に必要な精度とスピードをもって攻撃を封じこめるといったことは、CNAPPには不可能です。予防も不可欠ですが、予防だけでは、既にクラウド環境内で活動している攻撃者を阻止することはできないのです。
実際にAWSで発生したシナリオ:ランタイム監視が有効な理由
Darktrace / CLOUDが最近検知したあるインシデントは、クラウド侵害の進行の様子と、ランタイム可視性が必要絶対条件である理由を示す好例です。以下に紹介するすべてのステップは、動作をリアルタイムに監視している場合にのみ可能な検知を表しています。
1. 外部での認証情報の使用
検知: 通常とは異なる外部ソースの認証情報使用:攻撃者がこれまでに見られたことのない場所からクラウドアカウントにログインします。これはアカウント乗っ取りの最も早い兆候です。
2. AWS CLIピボット
検知: 通常とは異なるCLIアクティビティ:攻撃者はプログラムによるアクセスに切り替え、疑わしいホストからコマンドを発行することで自動化し、同時にステルス性も獲得します。
3. 認証情報の操作
検知: 稀なパスワードのリセット:新たなパスワードをリセット、割り当てることにより、永続性を確立し既存のセキュリティコントロールをすり抜けます。
4. クラウド偵察
検知: 大規模なリソースディスカバリ:攻撃者はバケット、ロール、サービスの列挙を行い、高価値なアセットを識別して次のステップの計画を立てます。
5. .権限昇格
検知: 異常なIAM更新:許可のないポリシー更新またはロール変更により、攻撃者に高いアクセス権限やバックドアを与えます。
6. 悪意ある計算リソースのデプロイ
検知: 通常と異なるEC2/Lambda/ECS 作成:攻撃者はマイニング、水平移動、またはさらなるツールのステージングのための計算リソースをデプロイします。
7. データアクセスまたは改ざん
検知: 通常と異なるS3変更:攻撃者はS3権限またはオブジェクトを変更します。多くの場合データ抜き出しまたは破壊の前段階です。
ポスチャスキャンではこれらのアクションの一部しか発見できず、しかも事後になります。
これらすべてのランタイム検知は、攻撃が進行している間のリアルタイムの動作監視によってしか可視化できません。
クラウドセキュリティの未来はランタイム第一主義
クラウド防御はもはや予防だけを中心にすることはできません。現代の攻撃は、高速に変化するワークロードやサービス、そして — きわめて重要な — アイデンティティが複雑に入り組んだ、ランタイムで進行します。リスクを軽減するには、悪意あるアクティビティが発生次第、短命な証拠が消失し攻撃者がアイデンティティレイヤーを移動する前に、それを検知、理解、封じ込める能力が必要です。
Darktrace / CLOUD はクラウドで最も揮発性かつ重大な結果を伴うランタイムに対し、動作、ワークロード、アイデンティティに対する一元的な可視性を通じて、完全に防御可能なコントロールポイントに変えることによりこのシフトを実現します。Darktrace / CLOUDは以下を提供します:
- リアルタイムビヘイビア検知: ワークロードおよびアイデンティティのアクティビティ
- 自律遮断: アクションによる迅速な封じ込め
- 自動的なフォレンジックレベル証拠: イベントが起こった瞬間に保全
- AI駆動の調査: 実際の攻撃者のパターンから弱いシグナルを識別
- リアルタイムのクラウド環境インサイト: コンテキストと影響を即座に理解
クラウドセキュリティは問題が起こる可能性 に対する防御から現在 起こっていることに対する、ランタイムの、さまざまなアイデンティティに渡る、攻撃者と同じスピードでの防御へ進化する必要があります。防御者がアドバンテージを取り戻すための方法は、ランタイムとアイデンティティの可視性の統合です。
[related-resource]
Darktrace / CLOUDの機能について知る
ソリューション概要をお読みになり、Darktrace / CLOUD が多様なクラウド環境に対応するリアルタイムクラウド検知および対応により、クラウド脅威をランタイムで防御する仕組みをご確認ください。
.avif)
