アイデンティティとアクセス管理（IAM）だけでは現代の攻撃を止められない理由

IAMのセキュリティ・ギャップ

IAMソリューションは、アクセスポリシーと認証を実施するために不可欠ですが、リアルタイムでアクティブな脅威を検知 するようには設計されていません。攻撃者がアカウントを乗っ取ったり、権限を昇格させたり、ハイブリッド環境を横断したりする際には、IAMログでは得られない可視性を得るために、専用の脅威検知が必要です。

攻撃者はいかにしてIAMを回避するか

1.危殆化した認証情報 

IAMは認証を強制するが、正当なアカウントが乗っ取られた場合は検知 できない。

2.特権のエスカレーションとインサイダーの脅威 

IAMはアクセス許可を与えるが、攻撃者がアクセスを悪用して特権をエスカレートさせた場合の検知 行わない。

3.クラウドとSaaSの横の動き 

IAMはアクセスポイントを保護するが、内部に侵入した攻撃者の動きを可視化するには不十分だ。

IAMの可視性ギャップが現実にもたらすもの

下図のようなScattered Spider攻撃では、IAMは所属ユーザを強制するが、正当なユーザと侵害されたアカウントを区別することはできない。予防的コントロールだけでは、インサイダーのように振る舞う脅威が入り込む余地がある。

そこで、Vectra AIのリアルタイム行動分析が、欠けていた可視性を提供する。

IAMがアクセスを確保し、Vectra AIが次に来るものを確保する

IAMはアクセス・ポリシーを実施するために重要だが、ユーザーが認証された後のことは監視できない。攻撃者が盗んだ認証情報を活用したり、権限を昇格させたりする場合、その行為を捕捉するために継続的な行動監視が必要です。

IAMは認証と承認のポリシーを実施するが、しかし：

• 攻撃者がすでに有効なクレデンシャルを持っている場合はどうするのか。IAMは彼らを正当なユーザーとして扱う。
• 攻撃が複数のクラウドサービスにまたがって移動したら？ IAMはハイブリッド環境やSaaS環境をまたがる攻撃者の動きを追跡しない。
• 攻撃者がクラウド内部で特権をエスカレートさせたら？IAMは権限を付与しますが、リアルタイムで不正な権限昇格を検知 ことはできません。

Vectra AIがギャップを埋める方法

IAMはアクセスを制御しますが、能動的な脅威やIDの不正使用を検知 ことはできません。Vectra AI Platformは、IDベースの脅威をリアルタイムで検知し、攻撃者がエスカレートする前に阻止します。

• アカウント乗っ取りを検知：AI主導のモニタリングにより、IDの漏洩や不正アクセスを発見します。
• 特権のエスカレーションとインサイダーの脅威を阻止します：認証情報が正当なものであるように見えても、攻撃者の行動を追跡します。
• IAMとの連携：認証ログを超えたリアルタイムのID脅威検知を提供することで、IAMを補完する。

Vectra AIを使用すれば、IDを悪用する攻撃者を、実害が発生する前に阻止することができます。

Vectra AIがIAMを補完する方法

IAMはアクセスを制御し、Vectra AIは認証を超えたアクティブな脅威を検知する。両者の比較は以下の通りだ：

Vectra AIはIAMに取って代わるのではなく、アクセス・ポリシーだけでは阻止できないIDベースの脅威を検知することでIAMを強化する。