クラウド・セキュリティ・ポスチャー・マネジメント（CSPM）だけでは現代の攻撃を阻止できない理由

CSPMのセキュリティ・ギャップ

CSPMソリューションは、コンフィギュレーションのドリフトを特定し、ポリシーを実施するために不可欠ですが、「あるべき」ものに焦点を当て、実際に起きていることには目を向けません。攻撃者がIDを乗っ取ったり、権限を乱用したり、クラウドとSaaSの間を行き来したりする場合、こうした可視性のギャップを埋めるために、継続的なAI主導 脅威検知が必要です。 

攻撃者はどのようにCSPMを回避するか

1.侵害されたクラウド・アイデンティティ

CSPMは設定の誤りにフラグを立てるが、盗んだ認証情報を使用する攻撃者や正当なアクセスを悪用する攻撃者を検知 ことはない。

2.過剰なパーミッションの悪用 

脅威者は、CSPMのポリシー・チェックを回避して特権をエスカレートさせるために、過度に寛容なロールを活用する。

3.クラウドとSaaSの横の動き

CSPMは設定を監視するが、クラウド・ワークロードとSaaSアプリケーション間の攻撃者の動きは追跡しない。

CSPMの可視性ギャップが現実にもたらすもの

下図のようなScattered Spider攻撃では、 CSPMは設定チェックを実施するが、窃取した認証情報、APIベースのピボット、マルチサービスのワークフローを使用する攻撃者は、通常の使用に紛れ込む。Vectra AIの継続的なアナリティクスは、アイデンティティ侵害と横方向の移動の各段階にフラグを立てる。

‍

CSPMはコンフィギュレーションを保護する -Vectra AIは次に来るものを保護する

CSPMはガバナンスとポスチャのために不可欠ですが、認証後に何が起こるかを監視することはできません。クレデンシャルの盗難、権限の昇格、ハイブリッド・クラウドのピボットなどをリアルタイムでキャッチするには、環境全体にわたるAI主導 行動監視が必要です。 

CSPMは、ポリシーの実施とコンフィギュレーション管理を適用するが、しかし：

• 攻撃者が既に有効なクラウド認証情報を持っている場合は？CSPM はリアルタイムのアカウント・アクティビティを監視しません。
• 攻撃が複数のクラウド・サービスにまたがる場合は？CSPMには、クロス・クラウドやSaaSの横移動に対する検知機能が欠けている。
• 攻撃者がクラウド内部で特権をエスカレートさせたら？CSPMは設定ミスを特定するが、積極的な特権検知 しない。

Vectra AIがギャップを埋める方法

CSPMはクラウドセキュリティ態勢を監視しますが、能動的な脅威やIDの不正検知 しません。Vectra AI Platformは、クラウドとIDベースの脅威をリアルタイムで検知し、攻撃者がエスカレートする前に阻止します。

• アイデンティティと特権の濫用を検知-AI主導 モニタリングで、クラウドアカウントの乗っ取りや特権の昇格を検知します。
• クラウドベースの横移動を阻止- 正規の認証情報に見える場合でも、クラウドやSaaS環境全体にわたる攻撃者の活動を追跡します。
• CSPMとXDRとの連携-コンプライアンスとポリシー実施にとどまらず、リアルタイムの脅威検知を提供することで、CSPMを補完します。

Vectra AIがあれば、クラウドIDを悪用する攻撃者を、実害が発生する前に阻止することができます。

Vectra AIがCSPMを補完する方法

CSPMはクラウド・セキュリティ・ポリシーを実施し、Vectra AIは設定チェック以外のアクティブな脅威を検出する。両者の比較は以下の通りだ：

Vectra AIはCSPMを置き換えるのではなく、構成監視が見逃すクラウドネイティブやIDベースの脅威を検出することでCSPMを強化する。