AI を使用してクラウド内の横方向の動きを検知して停止する

横方向への移動とは、敵が目標やターゲット（機密データの流出やワークロードの乗っ取りなど）に到達するために、環境を移動してアクセスを拡大するために使用する戦術です。長年にわたり、横方向の移動は、Active Directory、SMB、NTLMなどのネットワークプロトコルやサービスに基づいて、オンプレミスネットワークを標的とするために使用されてきました。

攻撃者は、侵害後、クラウド内で横方向に移動するための多くの手段を追求します。例えば、侵害された仮想マシンから認証情報を盗んで他のサービスに移動したり、権限の昇格を利用して未使用かつ監視されていない地理的領域にリソースを配置したりする。このような手法は、実際の攻撃でも数多く見られます。

接続されたハイブリッド環境の普及は、この課題をより深刻なものにしている。ハイブリッドクラウドにおける攻撃者は、アカウントの不正使用、漏洩した認証情報、脆弱性などの新しいテクニックを活用して信頼関係を悪用し、接続されたサーフェス間を横方向に移動します。Vectra AWSのクラウド検知とレスポンス (CDR)は、特許取得済みのAttack Signal IntelligenceTMを搭載しており、ハイブリッドクラウドの展開における横方向の動きを検出するためにエンティティに焦点を当てたアプローチをとり、SOCチームが対処すべき最も緊急な脅威を浮上させます。

クラウドにおける横方向の動きを検出する上での主な課題

ハイブリッドクラウドの可視化におけるギャップ：SOCチームは、データセンターネットワーク、アイデンティティ、SaaS、AWSのようなパブリッククラウドを含むハイブリッドクラウドの展開全体を可視化する必要があり、ファイアウォールのような単一のソースにのみ依存するのではなく、インバウンドおよびアウトバウンドのトラフィックに検知 。

脅威検知の技術的深化：SOCチームは、統合されていなかったり、単に高度な攻撃者がサーフェス間を横方向に移動するために悪用できるギャップを残していたりする複数のベンダーのバラバラなツールに投資することなく、さまざまな接続サーフェスにまたがる高度な振る舞い 分析機能を必要としている。

運用上の課題の増大：ツールの増加に伴い、SecOpsのツール、時間、工数のオーバーヘッドが増加します。SOCチームは、さまざまなソースからのデータを手作業で照合するためのリソースと時間を過剰に費やすことなく、ハイブリッドクラウドのデプロイメントを保護する必要があります。これは、平均調査時間（MTTI）や平均対応時間（MTTR）などの主要なSOCメトリクスに悪影響を及ぼします。

検知 クラウドにおける横移動にAIがもたらす主なメリット

最新のクラウド検知、調査、レスポンス （CDR）ソリューションを選ぶ理由とは？

• ハイブリッド環境における可視性の向上： データセンター・ネットワーク、SaaS、アイデンティティ、AWSなどのパブリック・クラウドなど、接続されたサーフェス全体から優先順位付けされたエンティティを1枚のガラスに表示します。
• AI主導 検出：クラウドのキルチェーン全体にわたる高度な攻撃者の行動を検出し、漏洩した認証情報、サービスの不正利用、特権の昇格、データの流出に対する深い保護を提供する高度な検出のポートフォリオ。
• 横移動の防止一元化されたUIで監査証跡を提供しながら、接続されたサーフェス全体で横方向の移動を試みる攻撃者の行動を集中的に監視します。これにより、従来バラバラだったソースからのデータを手作業で照合するSOCチームの負担が大幅に軽減されます。

適切なAIソリューションを選択するために考慮すべき主な基準

クラウドの課題を克服することは、過度に複雑であったり、SOCチームの作業を増やしたりする必要はない。次のことを考えてみよう：

1. ハイブリッドクラウドのフットプリントをカバー：現代のハイブリッド攻撃は、パブリッククラウド、データセンターネットワーク、ID、SaaSなど、複数の接続サーフェスにまたがっている。これらのサーフェス全体から脅威をサーフェスする脅威検知、調査、レスポンス ソリューションが必要である。
2. シグナルの明瞭化に注力高度な攻撃者の行動をリアルタイムで特定するだけでなく、発見した内容に優先順位を付け、SOCチームが重要なものと緊急なものを識別できるようにするAI技術を活用する。
3. SOCのオーバーヘッドの削減：複数のツールの運用とSOC要員のトレーニングは、企業にとって高いセキュリティ・コストにつながる可能性があります。理想的なソリューションは、攻撃サーフェス全体の脅威を簡単に調査し、ワークフローを合理化することです。

成功の鍵

• ハイブリッドなデプロイメントを幅広くカバー： Vectra CDR for AWSのようなCDRソリューションは、Vectra AIプラットフォームにシームレスに適合し、クラウドからだけでなく、接続されたサーフェスからの脅威を単一プレーofグラスで表面化し、優先順位付けします。
• Attack Signal Intelligence™によるリアルタイムのシグナル明瞭化：業界をリードするVectra AIのAttack Signal Intelligence 、専用のAI検出モデルを強化し、高度な脅威をリアルタイムで特定します。Vectra CDR for AWSは、真のソース帰属のためにAIを使用するため、SOCアナリストは、元の行為者を特定するために一時的な資格情報間のアクションを相関させる必要がありません。これにより、調査時間を数時間節約できます。
• 調査と修復を可能にする強力なワークフロー：Vectra CDR for AWSには、優先順位付けされたエンティティに関する主要な集約されたインサイトや、生ログをクエリする機能など、脅威を調査するための強力な機能が含まれており、アナリストはより多くのサイクルをアクティブな脅威ハンティングに投資することができます。また、CDR for AWSは、自動化された実施、または企業で活用されている既存のワークフローとの統合により、修復を可能にします。

今日では、オンプレミスのデータセンター、IDプロバイダー、SaaSサービス、パブリッククラウドなど、接続されたサーフェスで構成されるハイブリッドな展開が行われている。洗練された攻撃者は、1つのサーフェスを侵害し、その後に接続されたサーフェスに移動して目的を達成することを目的としています。このような攻撃は、クレデンシャルの盗難、オンプレミス・ネットワークのホストの侵害、パブリック・クラウド環境の主要リソースに最終的に軸足を移すIDベースの脅威など、さまざまな形で現れます。現代のSOCチームは、このようなハイブリッドクラウドの導入を標的とした攻撃によるデータ漏洩、サービスの中断、組織の評判へのダメージを排除することを使命としています。

一旦クラウドに侵入すると、これらの行動を特定することは困難であり、攻撃者が接続されたハイブリッドフットプリントを検出されずに移動できる時間が長ければ長いほど、潜在的な被害は大きくなります。Vectra CDR for AWSを使用することで、SOCチームは、クラウド環境における高度な横移動テクニックの特定に深く焦点を当てながら、接続されたサーフェス全体にわたる脅威を1枚のガラスで幅広く可視化することができます。Vectra AIは、Attack Signal Intelligence™を活用してクラウド上のユーザーとサービス全体の行動を監視し、脅威の優先順位を決定して、組織のフットプリントへの影響リスクを軽減します。