クラウドは複雑だ。AWSだけでも200以上のサービスがあり、その数は着実に増えている。現代の組織の規模で運用するために、これらのサービスの小さなセット全体にわたってセキュリティを構成することは、さまざまな課題を生み出します。インフラは、常に流動的な何百ものサービスを包含する可能性があり、サイバー衛生状態を良好に保つことは困難です。実際、今日、クラウドアプリケーションを安全にデプロイすることは、不可能と言っても過言ではない。クラウドのフットプリントが指数関数的に増加し続ける中、攻撃者は環境全体を悪用するためにたった1つの隙をつくだけでいいのだ。そして、全体的なスピードと俊敏性が増すにつれて、サイバー衛生の不備のリスクも増大し、最終的にはあらゆる種類のセキュリティ問題を引き起こす可能性がある。
さらに、クラウドの監査は一筋縄ではいかない。ネットワーク・パケット・データやログ・データなど、脆弱性を監視すべきデータ・ソースは複数存在する。1つのデータ・ソースに現れるアクションが、他のソースには存在しないこともあり、隅々までカバーするには独特の課題がある。組織が安全なクラウドデプロイメントを確立し維持しようとするとき、これらの脅威面を広範囲にカバーするソリューションを採用しなければならない。
クラウド脅威の表面はひとつではない...
そしてもちろん、クラウド攻撃がすべて同じように作られているわけではない。攻撃は、標的にされる脅威の表面によって異なる形で現れる。
Vectra AWSコントロールプレーン
AWSコントロールプレーンを例にしてみよう。近年、攻撃者が悪意を持って組織のAWSフットプリントにアクセスする(例えば、スピアフィッシングキャンペーンで盗まれた認証情報を利用する)コントロールプレーンに関わるさまざまな攻撃が発覚している。一旦環境内に入ると、攻撃者は通常のユーザーのようにシステム内を徘徊し、さまざまなロールを想定し、特権をエスカレートさせ、暗号鍵、S3データストア、機密情報を格納するデータレイクなどの価値の高いリソースにアクセスする。これは、1億人以上の顧客データが流出した有名なCapital Oneの攻撃でまさに起こったことだ。このような攻撃は、攻撃者のアクションが通常のユーザーアカウントから発生しているように見えるため、検知はほぼ不可能です。この種の攻撃はますます一般的になりつつあり、成熟したクラウドを導入している組織で何度も確認されている。このような攻撃を特定する唯一の手段は、AWS のサービスやリージョンにまたがるプリンシパルの行動分析です。さらに、これらの行動パターンはログデータを通じてのみ現れ、他のデータソース(例えば、ネットワークパケットデータ)には現れない。
そこで、AWSコントロールプレーンに対するVectraのカバレッジの出番となる。クラウドのフットプリント内で、Vectra Platformはすべてのリージョンでアカウントとサービス(EC2、S3、IAM、KMS、Config、Organizationsなど)を継続的に監視し、クラウドのキルチェーン(発見、横移動、流出)のさまざまな段階を通じて、粒度の細かいレベルで悪意のある攻撃者の行動を迅速に特定します。発売以来、AWS Control Planeに対するVectraのカバレッジは、攻撃者の行動を特定し阻止することで、クラウドのデプロイメントをセキュアにするために多くの組織を支援してきました。2022年初頭、Vectraプラットフォームは、フォーチュン500企業のAWS環境から暗号化された秘密を引き出すために盗まれた認証情報を悪用する攻撃者を特定しました。このプラットフォームは、この悪意のあるエンティティを効率的に優先順位付けし、想定される役割の迷路を通して真のソース帰属を特定し、発見を迅速に調査する機能により、SecOpsチームは攻撃のソースを迅速に特定し、組織に深刻な影響を与える前に対応することができました。
Vectra AWSネットワーク
AWSの制御プレーンに直交するのがネットワークである(同様に重要ではあるが)。このサーフェスへの攻撃は、リフト・シフト環境でよく見られる。より多くの組織が現在のデプロイメントをクラウドのために再利用するにつれて、必然的にギャップが残り、攻撃者が好んで悪用する脆弱性が導入される。
このような攻撃がネットワーク・パケット・データで顕在化した一般的な例として、クラウドホッパー攻撃 がある。2019年、攻撃者はネットワークの脆弱性を利用して、クラウド 。彼らは盗んだ認証情報を使ってアクセス権を獲得し、クラウドホストにマルウェアをインストールすることで、検知を回避するためにホスト間をシームレスにジャンプできるようにした。ハッカーたちは、このアクセスを利用して、史上最大規模の企業スパイ活動を推進した。
この攻撃を発見する唯一の手段は、ネットワークトラフィックを注意深く監視することであったであろう - これこそが、Vectra for the AWS Network が達成するために設計されたものである。Vectra によるオンプレミスのネットワーク脅威検知とレスポンスソリューションをご存知の方にとって、AWS Network 向けのカバレッジは、AWS パブリッククラウド における同じソリューションの拡張を意味します。このプラットフォームは、lift-n-shift デプロイメントでよく見られるホストに対する悪意あるアクションを監視する。この脅威ベクトルに対するカバレッジは、クラウドにデプロイする組織にとって引き続き大きな懸念事項となっています。AWS Network 内では、Vectra プラットフォームがトラフィックミラーリングを使用して EC2 仮想マシンのネットワークトラフィックを監視します。このソリューションの詳細については、こちらをご覧ください。
AWSコントロールプレーンのカバレッジは、AWSネットワークのカバレッジとどう違うのか?
両者の主な違いは、カバーする脅威サーフェスにある。AWSネットワークのためのVectraのカバレッジがパケットデータを監視することによってクラウドデプロイのネットワークコンポーネントを保護する一方で、AWSコントロールプレーンのためのカバレッジはAWSログデータを分析することによってコントロールプレーンを強化する。共に、クラウドの2つの主要な脅威サーフェスにわたって網羅的なカバレッジを提供する。
脅威の表面以外では、両者にはいくつかの重要な違いがある。その概要を下表に示す:
私の組織にはどれが適切か?
私たちがよく受ける質問は、AWSコントロールプレーン用のVectraとAWSネットワーク用のVectraのどちらのソリューションが、クラウドにデプロイする組織に適しているかということです。 前述したように、両者は別々の脅威サーフェスをカバーし、お互いを補完しています。
クラウドネイティブのデプロイメントを持つ組織には、攻撃者の行動を素早く把握するために、まずAWSコントロールプレーン用のVectraをデプロイすることをお勧めします。Vectraプラットフォームは、数分でエンタープライズ規模のAWSフットプリント全体のコントロールプレーンの脅威監視を提供します。一方、組織がクラウドにリフト・アンド・シフト方式で移行する場合、コントロールプレーンを即座にカバーするためにAWSコントロールプレーン用のVectraから開始し、その後、機密性の高いネットワークトラフィックを監視するために価値の高いエンクレーブでAWSネットワーク用のカバレッジを有効にすることをお勧めします。クラウドつまり、Vectraのコントロールプレーンに対するカバレッジとAWSネットワークに対するカバレッジの両方が互いに連携して、組織のAWSフットプリントに対する包括的なカバレッジを提供します。どちらも、クラウドの既存および新たな脅威に対するSOCの武器を強化する上で非常に貴重なものです。 興味深いと思われますか?詳細をご覧になり、無料トライアルにお申し込みください!