VectraのセキュリティAI主導のAttack Signal IntelligenceTM(ASI) forクラウドを活用することで、SecOps チームは SaaS やクラウド環境全体の高度な脅威をリアルタイムで継続的に監視し、発見することができます。Vectra ASIは、攻撃者の行動から数分以内にアラートを配信し、攻撃意図を特徴付け、ビジネスへの全体的な影響を理解するために必要なコンテキストを提供することで、より迅速かつ正確な脅威の発見、調査、レスポンス を可能にします。
Vectra NDR(Network Detection and Response)をご存知の方は、ネットワーク環境における攻撃者に対する業界トップクラスの脅威検知とレスポンス能力をご存知でしょう。クラウド向けのVectra ASI エンジンの導入により、Vectra NDR のリアルタイム検知機能は、Vectra CDR(cloud detection and response) にまで拡張され、悪意のある行動をほぼリアルタイムでハイライトします。これにより、クラウド環境全体で行われているアクションに比類ない可視性を提供し、SecOps チームを強化します。しかし、なぜ私たちはクラウドのために新しい脅威検知エンジンを構築したのでしょうか?また、なぜ NDR と CDR の両方のセキュリティソリューションが必要なのでしょうか?
クラウドにおける攻撃は、データセンターにおける攻撃とは異なる。
クラウドのインフラ、データ、コネクティビティの間には、アイデンティティを接着剤とする複雑な多対多の関係が存在する。現代のCI/CDパイプラインの移動速度と相まって、攻撃を防ぐことが不可能な、非常に広範なアタックサーフェスを提示している。クラウド、従来のオンプレ環境における攻撃者の最終目標は変わらないが、クラウド攻撃は以下の点で異なる:
- クレデンシャルに焦点を当てる: クラウド、ほとんどのエクスプロイトの核心は、漏洩した認証情報にある。フィッシング・キャンペーンであれ、コード・リポジトリに偶然書き込まれた認証情報であれ、攻撃者は機密認証情報を盗み出し、アカウントにアクセスする斬新な方法を見つけます。
- キルチェーンが浅い: これは、クラウドプロバイダーが提供する膨大な数のサービスの結果である。コンピュート、ストレージ、データレイク、サーバーレス・サービス、コンテナ化されたワークロード、多数の地域にまたがるアプリケーションなど、さまざまな種類のサービスが提供されているため、侵入から高額資産までのギャップが著しく小さくなっている。
- 進行の速さ: オンプレミス環境とは異なり、クラウドの攻撃はより速く進行する。これは主に、クラウドにおける一時的なクレデンシャルの刹那的な性質によるものである。攻撃者は侵入方法を見つけると、持続的なアクセスを確保するために迅速に行動しなければならない。
ディフェンダーは違う考え方をする必要がある
攻撃の展開方法の根本的な違いに加え、攻撃を効果的に阻止するためにセキュリティチームが利用できる成果物の特性も大きく異なる。ネットワーク・パケット・データに依存するデータセンター環境とは異なり、クラウドプロバイダーは監査可能なロギングを活用している。マルチクラウド環境における脅威検知のためのこれらのログの分析は、以下の理由により困難である:
- 複数のログソース: クラウドには多数のログソースがあり、それぞれで関心のある情報が異なる。例えば、制御プレーンのログ、データプレーンのログ、ワークロード監査ログ、ネットワークログがある。検知 セキュリティの観点からは、攻撃者の行動を効果的に検知するために、これらのログは相互に組み合わされる必要がある。
- 一貫性のないログスキーマ:各プロバイダーは、ログを公開する際に独自のフォーマットを使用します。さらに、同じクラウドプロバイダーが、ログの送信先のみに基づいてログスキーマを変更する場合もある!このような一貫性のないプロセスは、ログの分析をセキュリティチームに負担をかける可能性があります。
- 予測不可能なデリバリー:サービスや複数の環境(クラウド)にまたがる多様なログは、配信に不確実な要素があることを意味する。関連するアクションが、任意の時間間隔で区切られた異なるログファイルに表示されることがあります。この遅延により、整合性が取れなくなり、リソースに対して行動しているプリンシパルを追跡することが困難になります。
これらは、クラウドにおける監査アクションを、標準プロトコルが遵守され、パケットがリアルタイムで受信されるデータセンター環境とは根本的に異なるものにしている。
ソリューション - Vectraクラウド検知とレスポンス 。Attack Signal Intelligence
クラウド向けの新しいASIエンジンにより、Vectra はその技術プラットフォームを再構築し、全く異なるデータから高度な脅威を探し出し、Vectra NDRと同じスピードと精度で浮上させる。さらに、AI主導の優先順位付け機能が組み込まれており、検知ごとにアラートの優先順位付けが自動化されるため、セキュリティチームはどの脅威が最も緊急性が高いかを知ることができる。脅威は自動的に分析され、スコア化され、ランク付けされるため、セキュリティチームはどこに最も労力が必要かを知ることができます。下の画像は、Attack Signal Intelligence 、製造業のAWS環境を標的とした攻撃に優先順位を付け、阻止した様子を示しています。
クラウド環境全体で攻撃に優先順位をつけて阻止するために、VectraCDRには次のような定義的特徴がある:
- より迅速な検知: Vectra CDRには、企業規模でログをリアルタイム分析するためのツールが装備されている。VectraのAI主導のアトリビューション手法のようなエンリッチメントと組み合わせることで、Vectra CDRはログを精査し、数百のユーザーとサービスから数百万のイベントを相関させることができます。高信頼性の検知は、悪意のある行動が観察されたわずか数分後に実行されるようになり、これは、進行中の攻撃を阻止するか、事後的に分析するかの違いとなります。
- 豊富なコンテキスト:単純なシーケンスのログをクエリすると、小さなデプロイメントでも何千ものアラートが発生し、SOCチームのリソースを溺死させてしまう。そこで、環境コンテキストが大きな違いを生み出します。新しいASIエンジンを使用して、Vectra CDRは、個々のユーザーが環境内の異なるロールやサービスとどのように相互作用するかを追跡することができます。この状態の永続性により、環境固有の権限異常などのユースケースが可能になります。
- 高度な脅威ベクトルに対するカバレッジ:Vectraは、クラウド、より巧妙な攻撃者の手法を特定することができます。そのような攻撃者の手法の1つは、複数の時間を区切ったセッションにわたって悪意のある活動を行うことです。これにより、攻撃者は従来の検知メカニズムから逃れることができます。Vectra CDRは、時間、セッション、エンティティにまたがる学習をつなぎ合わせることで、洗練された攻撃の進行さえも正確に描き出します。
SaaSとして提供されるVectra CDRは、拡張性、パフォーマンス、信頼性という付加的な利点を提供し、SOCチームがマルチクラウドやハイブリッドクラウド フットプリントに挑戦する際に、MTTD/MTTR目標を達成する上で重要な役割を果たす。
次のステップ
Vectra CDR powered byAttack Signal Intelligence のパワーを無料トライアルで直接体験してください。