CDRの5つのユースケース

クラウド環境は、現代の企業に比類のない拡張性と柔軟性をもたらしますが、過去10年間におけるクラウドへの移行で新たなセキュリティ上の課題も生じています。攻撃者は、クラウドインフラストラクチャを悪用する独創的な方法を常に模索しています。クラウド環境を保護するには、従来のセキュリティではできない対策が必要になります。企業には、クラウド向けの強力な検知および対応機能が必要です。

CDR（クラウド検知・対応）は、脅威をリアルタイムで特定して軽減することに重点を置いており、クラウドのワークロード、アプリケーション、データの安全性を確保します。CDRは、AIネイティブ分析、継続的モニタリング、自動化されたインシデント対応を組み合わせることで、脅威が発生したときに組織が迅速かつ効果的に行動できるようにします。

CDRは実際にはどのように動作するのでしょうか。この記事では、CDRが重要な役割を果たす実際のユースケースを5つ紹介します。詳細を見てみましょう。

CDRの主なユースケースにはどのようなものがあるでしょうか。

1. 機密データへの異常なAPIアクセス

2. 侵害されたクラウドネイティブアプリケーションの振る舞い

3. クロス/マルチドメイン攻撃の検知と隔離

4. クラウドワークロードへのランサムウェアの侵入

5. 最初の侵害後のラテラルムーブメント

ユースケース1：機密データへの異常なAPIアクセス

AWS S3やGoogle Cloud Storageなどのクラウドストレージサービスに、機密性の高いデータが保存されています。顧客の個人を特定できる情報 (PII)、保護対象保健情報 (PHI)、または事業運営に関連する知的財産が保管されている可能性があります。大きな利益をもたらす標的であるため、脅威アクターはこれらのデータリソースを頻繁に狙って、設定ミスや盗まれた認証情報を利用して不正アクセスを行います。

シナリオ

あるIAMロールにより、機密性の高いPIIが格納されているS3バケットに対して通常と異なるAPI呼び出しが開始されました。調査の結果、バケットのアクセスポリシーの無作為な設定ミスにより、認証なしのパブリックアクセスが許可されていることが判明しました。攻撃者はこの脆弱性を悪用してデータにアクセスし、データを流出させました。

CDRソリューションはアクセスパターンを監視し、異常をリアルタイムで検知するものです。このシナリオでCDRが果たす役割は次のとおりです。

• 設定の脆弱性を分析：バケットのアクセスポリシーを評価し、パブリックアクセスの設定ミスをリスクとしてフラグ付けします。
• 対応を開始：セキュリティチームに自動的にアラートを出し、疑わしいAPIアクティビティをブロックします。さらなる損害を防ぐために、影響を受けるIAMロールを隔離する可能性があります。
• 実用的なインサイトを提供：攻撃者の手法、設定ミス、将来のエクスプロイトを防ぐために推奨される修復手順など、インシデントの詳細なレポートを提供します。

これらの機能により、CDRは攻撃者の攻撃機会を最小限に抑え、元の脅威が進化した場合でも機密データの安全性を確保します。

ユースケース2：侵害されたクラウドネイティブアプリケーションの振る舞い

コンテナ、サーバーレスアーキテクチャ、Kubernetesクラスターを活用したクラウドネイティブアプリケーションは、現代のビジネスに不可欠です。これらは動的で頻繁に更新されますが、そのため、設計や展開の脆弱性を悪用しようとする攻撃者の標的となることもよくあります。

シナリオ

Kubernetesベースのアプリケーションが、脆弱なコンテナを介して侵害された後、未知のIPアドレスへデータを送信し始めました。攻撃者は設定ミスのあるコンテナイメージを悪用し、悪意のあるコードをインストールして不正なデータ転送を開始したため、貴社の機密情報が危険にさらされました。

CDRソリューションは、このような脅威を検知して対応するために役立ちます。その仕組みは次のとおりです。

• 振る舞いを相関させる：振る舞い分析を使用して、コンテナが通常のアクティビティと比較して異常なパターンを示しているかどうかを判断します。
• 侵害されたコンテナを隔離する：影響を受けたコンテナを自動的に隔離して、さらなるデータの流出を阻止し、環境内でのラテラルムーブメントを防止します。
• 修復を可能にする：脆弱性に関する詳細なインサイトと、パッチ適用やコンテナのセキュリティベースラインの改善など、軽減のための実用的な手順を提供します。

CDRは、迅速な検知と封じ込めによって潜在的な損害を制限し、複雑なクラウドネイティブアプリケーションでも保護された状態を維持できるようにします。

ユースケース3：クロス/マルチドメイン攻撃の検知と隔離

現代のクラウドエコシステムは本質的に相互接続されており、アプリケーション、サービス、アイデンティティは複数のクラウドプロバイダーとインフラストラクチャにまたがっています。この複雑さは、ドメイン間の可視性とセキュリティのギャップを悪用して高度なクロスドメイン攻撃を実行する攻撃者にとって主な標的となっています。こうした攻撃は、多くの場合、1つのドメインにおける認証情報の侵害や設定ミスから始まり、攻撃者がエンドポイント、アイデンティティシステム、クラウド環境を移動して目的を達成できるようになります。

シナリオ

攻撃者は、パブリックリポジトリで見つかった盗まれたAPIキーを利用して、クラウドアカウントへの初期アクセスを獲得します。この足がかりを利用して、最初のクラウドプロバイダー（クラウドA）内のリソースを列挙し、設定ミスのあるアプリケーションに保存されているクラウドアクセス認証情報を見つけ出し、それを使用して別のプロバイダーの環境（クラウドB）に侵入します。そこから、攻撃者は権限を昇格し、機密性の高い顧客データにアクセスし、制御を維持するための永続化メカニズムを設定します。

CDR（クラウド検知・対応）がこの課題に対処する方法

1. クロスドメインの脅威をリアルタイムで特定：CDRは、ランタイムワークロードテレメトリをクラウド固有の攻撃指標と統合し、ドメイン全体のアクティビティを継続的に分析します。この場合、クラウドAでの列挙の試みを検知し、権限昇格やデータの流出など、クラウドBでの不審なアクティビティと相関付けます。

2. 攻撃の進行を防止：振る舞い分析を適用することで、CDRは、通常の使用範囲外でのリソースへのアクセスや、ドメイン間で認証情報の使用に一貫性がないといった異常なパターンを認識します。自動応答により、侵害されたアカウントを隔離し、攻撃者がさらに攻撃を進める前に疑わしいセッションを終了します。

3. 統合された攻撃パスの可視化を提供：包括的な調査タイムラインを通じて、CDRは両方のクラウドプロバイダーにわたる攻撃者の手順をマッピングし、初期アクセス、ラテラルムーブメント、エスカレーション戦術の詳細を示します。これにより、セキュリティチームは攻撃の範囲と影響を迅速に把握できます。

4. 将来のレジリエンスの向上：ランタイム検知から得られたインサイトは、より厳格な認証情報管理プラクティスの実装、アイデンティティアクセス制御の強化、すべてのドメインにわたる攻撃対象領域を削減する設定の適用などの予防措置に役立ちます。

CDRは、従来のセキュリティツール間のギャップを解消することで、組織がますます複雑化するクロスドメイン攻撃から防御できるようにし、最新のクラウドインフラストラクチャのセキュリティとレジリエンスを確保します。

ユースケース4：クラウドワークロードへのランサムウェアの侵入

ランサムウェア攻撃は広範囲に及ぶ脅威です。クラウドインフラストラクチャは、その接続性という性質により、重要なファイルを暗号化し、その解除と引き換えに身代金を要求しようとする攻撃者にとって魅力的な標的となります。

シナリオ

クラウド環境内のVM（仮想マシン）がランサムウェアに感染した後、共有ストレージ全体のファイルの暗号化を開始します。この攻撃は、ユーザーのアカウントを侵害する悪意のあるリンクを含むフィッシングEメールから始まり、攻撃者は組織のクラウドワークロード全体にランサムウェアを展開できるようになりました。

CDRソリューションは、このようなランサムウェアインシデントを次のような方法で処理します。

• 異常な暗号化アクティビティを検知：ランサムウェアに特徴的な異常なファイル変更を識別し、VMの振る舞いを疑わしいものとしてフラグ付けします。
• 感染したVMを隔離：侵害されたVMを自動的に隔離し、ランサムウェアが他のワークロードや共有リソースに拡散されるのを防ぎます。
• 自動応答をトリガー：攻撃者のアクセスをブロックし、進行中の暗号化アクティビティを停止するワークフローを開始すると同時に、セキュリティチームにインシデントを警告します。
• データ復旧を可能にする：バックアップシステムと統合して自動復旧プロセスを促進し、身代金を支払うことなく影響を受けたファイルを復元できるようにします。
• フォレンジックデータを提供：侵害されたユーザーアカウントなどの攻撃の発生源に関するインサイトと、将来のインシデントを防ぐための推奨事項を提供します。

CDRは、ランサムウェアを早期に検知し、迅速に対応することで、ダウンタイムを最小限に抑え、重要なデータを保護し、攻撃者が身代金を要求するために利用する手段を排除します。

ユースケース5：最初の侵害後のラテラルムーブメント

最初の足場を築いた後、攻撃者はクラウド環境内でラテラルムーブメントしようとすることがよくあります。盗まれた認証情報や設定ミスのある権限を悪用して、権限を昇格し、機密システムにアクセスしようとします。これにより、重大なデータ侵害や業務の中断が発生する可能性があります。

シナリオ

攻撃者は、パブリックコードリポジトリに誤って公開されたAPIキーを入手します。このキーを使用してクラウド環境に認証し、追加の脆弱性の調査を開始します。権限を昇格した後、攻撃者は機密性の高い顧客データを含むデータベースにアクセスできるようになります。

CDRソリューションは、クラウド環境内でのラテラルムーブメントを特定して軽減できます。その仕組みは次のとおりです。

• 包括的な調査を可能にする：攻撃者の経路、悪用された脆弱性、修復手順を詳細に説明したインシデントレポートを提供します。
• 将来の防御を強化：キー管理方法の改善や異常なAPIアクティビティに対するより厳格な監視の実装などのポリシー変更を推奨します。

CDRは、ラテラルムーブメントを迅速に阻止することで、攻撃者がクラウド環境全体を悪用するのを防ぎ、重大なシステムと機密データをさらなる侵害から保護します。

クラウドストライクによる常時クラウド保護

クラウド環境は動的であり、本質的に複雑です。当然のことながら、これは高度な攻撃の格好の標的となります。CDRは、クラウドワークロード、アプリケーション、データ全体のセキュリティを確保するために重要です。脅威を検知し、迅速に対応して、セキュリティインシデントの潜在的な損害を最小限に抑えます。

CrowdStrike Falcon Cloud SecurityのCDRは、リアルタイムの脅威検知と振る舞い分析を可能にし、クラウド環境内でのランサムウェア攻撃、インサイダー脅威、ラテラルムーブメントなどの悪意のあるアクティビティを迅速に特定してブロックします。比類のない可視性と24時間365日の保護を実現するために、現代の企業はこれらの機能をFalcon Complete次世代MDR（マネージド検知・対応）およびFalcon Counter Adversary Operationsの脅威インテリジェンスおよびハンティングと組み合わせています。

クラウドストライクの常時クラウド保護が組織のセキュリティをどのように強化できるかについて詳しくは、今すぐクラウドストライクの担当者にお問い合わせください。