クラウドの横移動：AIを活用した検知と防止

ラテラルムーブとは、敵が目標やターゲット(機密データの流出やワークロードの乗っ取りなど)に到達するために、環境を移動してアクセスを拡大するために使用する戦術です。長年にわたり、ラテラルムーブは、Active Directory、SMB、NTLMなどのネットワークプロトコルやサービスに基づいて、オンプレミスネットワークを標的とするために使用されてきました。

攻撃者は、侵害後、クラウド内でラテラルムーブするための多くの手段を追求します。例えば、侵害された仮想マシンから認証情報を盗んで他のサービスに移動したり、権限の昇格を利用して未使用かつ監視されていない地理的領域にリソースを配置したりする。このような手法は、実際の攻撃でも数多く見られます。

接続されたハイブリッド環境の普及は、この課題をより深刻なものにしている。ハイブリッドクラウドにおける攻撃者は、アカウントの不正使用、漏洩した認証情報、脆弱性などの新しいテクニックを活用して信頼関係を悪用し、接続されたサーフェス間を横方向に移動します。Vectra AWSのクラウド検知とレスポンス (CDR)は、特許取得済みのAttack Signal IntelligenceTMを搭載しており、ハイブリッドクラウドの展開における横方向の動きを検出するためにエンティティに焦点を当てたアプローチをとり、SOCチームが対処すべき最も緊急な脅威を浮上させます。

クラウドにおける検知を検知する上での主な課題

ハイブリッドクラウドの可視化におけるギャップ：SOCチームは、データセンターネットワーク、アイデンティティ、SaaS、AWSのようなパブリッククラウドを含むハイブリッドクラウドの展開全体を可視化する必要があり、ファイアウォールのような単一のソースにのみ依存するのではなく、インバウンドおよびアウトバウンドのトラフィックに検知 。

脅威検知の技術的深化：SOCチームは、統合されていなかったり、単に高度な攻撃者がサーフェス間をラテラルムーブするために悪用できるギャップを残していたりする複数のベンダーのバラバラなツールに投資することなく、さまざまな接続サーフェスにまたがる高度な振る舞い 分析機能を必要としている。

運用上の課題の増大：ツールの増加に伴い、SecOpsにおけるツール関連のコスト、時間、および人的リソースの負担が増大しています。SOCチームは、さまざまなソースからのデータを手作業で照合するためにリソースや時間を過剰に費やすことなく、ハイブリッドクラウド環境を保護する必要があります。これは、調査にかかる平均時間（MTTI）や対応にかかる平均時間（MTTR）といったSOCの主要指標に悪影響を及ぼします。

検知 クラウドにおけるラテラルムーブにAIがもたらす主なメリット

最新のクラウド検知、調査、レスポンス (CDR)ソリューションを選ぶ理由とは？

• ハイブリッド環境における可視性の向上： データセンター・ネットワーク、SaaS、アイデンティティ、AWSなどのパブリッククラウドなど、接続されたサーフェス全体から優先順位付けされたエンティティを1枚のガラスに表示します。
• AI主導 検出：クラウドのキルチェーン全体にわたる高度な攻撃者の振る舞いを検知し、漏洩した認証情報、サービスの不正利用、特権の昇格、データの流出に対する深い保護を提供する高度な検出のポートフォリオ。
• ラテラルムーブの防止一元化されたUIで監査証跡を提供しながら、接続されたサーフェス全体でラテラルムーブを試みる攻撃者の振る舞いを集中的に監視します。これにより、従来バラバラだったソースからのデータを手作業で照合するSOCチームの負担が大幅に軽減されます。

適切なAIソリューションを選択するために考慮すべき主な基準

クラウドの課題を克服することは、過度に複雑であったり、SOCチームの作業を増やしたりする必要はない。次のことを考えてみよう：

1. ハイブリッドクラウドのフットプリントをカバー：現代のハイブリッド攻撃は、パブリッククラウド、データセンターネットワーク、ID、SaaSなど、複数の接続サーフェスにまたがっている。これらのサーフェス全体から脅威をサーフェスする脅威検知、調査、レスポンス ソリューションが必要である。
2. シグナルの明瞭化に注力高度な攻撃者の振る舞いをリアルタイムで特定するだけでなく、発見した内容に優先順位を付け、SOCチームが重要なものと緊急なものを識別できるようにするAI技術を活用する。
3. SOCのオーバーヘッドの削減：複数のツールの運用とSOC要員のトレーニングは、企業にとって高いセキュリティ・コストにつながる可能性があります。理想的なソリューションは、攻撃サーフェス全体の脅威を簡単に調査し、ワークフローを合理化することです。

成功の鍵

• ハイブリッド環境全体を広くカバー： Vectra CDR for AWSなどのCDRソリューションは 、Vectra AI にシームレスに統合されます。クラウドだけでなく、接続されたあらゆる表面からの脅威を単一の管理画面で可視化し、優先順位付けします。
• Attack Signal Intelligence™によるリアルタイムシグナルの明瞭化：Vectra AIの業界をリードするAttack Signal Intelligenceを活用することで、専用のAI検知モデルを強化し、高度な脅威をリアルタイムで特定できます。Vectra CDR for AWSはAIを活用して真の攻撃元アトリビューションを実現するため、SOCアナリストは一時的な認証情報間でのアクションの相関関係を分析する必要がなくなり、元の攻撃者を特定できます。これにより、調査時間を数時間も短縮できます。
• 調査と修復を可能にする強力なワークフロー：Vectra CDR for AWSには、優先順位付けされたエンティティに関する主要な集約されたインサイトや、生ログをクエリする機能など、脅威を調査するための強力な機能が含まれており、アナリストはより多くのサイクルをアクティブな脅威ハンティングに投資することができます。また、CDR for AWSは、自動化された実施、または企業で活用されている既存のワークフローとの統合により、修復を可能にします。

今日、システム環境はハイブリッド化が進んでおり、オンプレミスのデータセンター、IDプロバイダー、SaaSサービス、パブリッククラウドといった相互接続された基盤で構成されています。高度な攻撃者は、1つの脆弱な基盤を侵害し、そこから目的達成のために接続された他の基盤へと横方向に移動することを狙っています。こうした攻撃は、認証情報の窃取、オンプレミスネットワーク内のホストの侵害、あるいは最終的にパブリッククラウド環境内の重要リソースへと攻撃の矛先を向けるIDベースの脅威など、さまざまな形で現れます。 現代のSOCチームは、こうしたハイブリッドクラウド環境を標的とした攻撃によるデータ漏洩、サービスの中断、および組織の評判への損害を排除することを使命としています。

一旦クラウドに侵入すると、これらの振る舞いを特定することは困難であり、攻撃者が接続されたハイブリッドフットプリントを検知されずに移動できる時間が長ければ長いほど、潜在的な被害は大きくなります。Vectra CDR for AWSを使用することで、SOCチームは、クラウド環境における高度なラテラルムーブテクニックの特定に深く焦点を当てながら、接続されたサーフェス全体にわたる脅威を1枚のガラスで幅広く可視化することができます。Vectra AIは、Attack Signal Intelligence™を活用してクラウド上のユーザーとサービス全体の振る舞いを監視し、脅威の優先順位を決定して、組織のフットプリントへの影響リスクを軽減します。