Corelight cloud security header

要点

  • クラウドの移行はしばしば死角を生み出し、サイバー防御にリアルタイムの可視性が不可欠になる

  • ネットワーク層の遠隔測定はクラウドログの不整合を克服できる

  • 可視性の監視と運用のステップに従うことで、防御を改善できる

  • この記事は、Corelight DefeNDRsのポッドキャストにインスパイアされています。こちらからお聞きください。

クラウドがシンプルであるという幻想

“セキュリティの心配はご無用、クラウドでカバーできます!”

クラウドへの移行は、しばしば “セキュリティは自分で何とかする “と約束されてきた。

実際には、動的なインフラ、重複するAPI、コンテナの乱立、マルチクラウド・アーキテクチャによって、セキュリティ・チームが保護すべき新たな死角や攻撃対象が生み出されている。

一般的な攻撃はEDRツールも回避するようになったため、防御担当者は、クラウド防御にはネットワーク防御と同様にトラフィックの可視化が必要であるという、おなじみの教訓を再確認している。

アナリストの利点とデータ正規化の課題

クラウドネイティブのログを標準化することは、プロバイダーごとに異なるフィールドや構造を使用しているため、複雑な場合があります。

「CorelightのフィールドCTOであるVince Stoffer氏は、「私たちのクラウドリサーチチームは、膨大な量のAPIコールと、クラウドプロバイダー間で絶え間なく追加される新しいサービスが、ログの標準化と分析をいかに困難なものにしているかを理解しています。

この断片化は、プロバイダーや環境間で一貫性を保つ共通項であるネットワーク・テレメトリの重要性を強調しています。

幸いなことに、ほとんどのサイバーセキュリティ・アナリストはネットワーク・データを見ることに既に慣れているため、クラウドのテレメトリが同じように表現されていれば、奇妙なパターンや疑わしいパターンをすぐに見つけることができる。クラウド・インベントリのコンテキスト(アカウント、プロジェクト、VPC/VNet、クラスター/ポッドのラベルなど)を追加し、一緒にすることで、検出と調査のためのプロバイダーにとらわれない共通のシグナルが作成される。

これがネットワーク検知と対応(NDR)が輝くところです。マルチ・クラウドやハイブリッド・クラウドに一貫したリアルタイムの可視性を提供し、環境間の遠隔測定を正規化します。

a.fl_button { background-color:#border:1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

Corelight NDRを使用してマルチクラウド環境を保護する

世界で最も機密性の高いネットワークの防御に信頼されているCorelightのネットワーク検出と応答(NDR)プラットフォームは、深い可視性と高度な行動および異常検出を組み合わせ、SOCがクラウド環境を保護するのを支援します。

今すぐクラウドの保護を開始

動的なクラウド環境における敵対パターンの検出

クラウドの展開がよりダイナミックで複雑になっても、セキュリティの基本は変わりません。短期間のワークロードであっても、安定したパターンで話し、予測可能なポートを使用します。防御側が注意すべき信頼できるシグナルには、次のようなものがある:

  • 通常とは異なるポートやネットワーク・プロトコルを使用して、データを流出させたりC2を維持するために外部と通信する敵対者

  • プロダクション・コンテナやマネージド・サービスの逸脱

  • 管理者アクセス権を持つ敵が、ホストベースのセンサーやコンテナランタイムの監視センサーを無効にする。

  • 敵がリソースをマッピングしていることを示す可能性のある、システムまたはサービス間の列挙または発見活動の異常な兆候

トラフィックのミラーリングと仮想タップを使用することで、ネットワークレベルの遠隔測定収集はほとんど改ざん耐性があり、ホストの完全性に依存しない可視性を提供する。ネットワーク・データとエンドポイント・データ、そしてプロセス・レベルのコンテナ実行時データを組み合わせることで、クラウド・ネイティブ・セキュリティのギャップを埋め、ダイナミックなクラウド環境における検知精度を向上させることができる。では、監視されたクラウドのネットワーク・トラフィックにはどのような種類の脅威があるのだろうか。

  • サプライチェーンの侵害: 悪意のあるコンテナ・イメージやパッケージがプールにクリプトマイナーを投下する。

  • インフォステーラー主導の侵入:コンソール/APIアクセスを可能にする、盗まれた認証情報またはセッショントークン

  • コンテナ内の対話型管理ツール:SSH、RDP、またはVNCを使用した不変の本番環境は、特にコンテナ間で疑わしいことが多い。

  • マネージドサービスとデータエグレスの悪用:新しいリージョンへの接続、見慣れないAPI、アウトバウンドボリュームに対する突然のスパイクは攻撃のシグナルとなり得る。

  • マイニングプールと通信するコインマイナー:コインマイナーが侵害されたクラウドのリソースを悪用して暗号通貨を採掘する。

ネットワーク監視がクラウドセキュリティの鍵であることを認めるなら、次の質問は「何を監視すべきか」だ。

  • 東西と南北のトラフィック:クラウド内通信(サービス間、ノード間)とインターネットの出入り口

  • コンテナトラフィック(Kubernetes):アプリケーションデプロイ後の逸脱を特定する。

  • TLSメタデータ(SNI、証明書のサブジェクト)により、管理対象のサービスエンドポイントを特定し、サービスアウェアベースラインをサポートします。

  • 悪意のあるドメインとの通信やネットワーク・トンネリングを特定するためのDNSデータ

  • 広範なトラフィックのためのフロー・ログと、広範なトラフィックのためのトラフィック・ミラーリング/pcap

次のステップは、効果的なワークフローを構築することである:

  • まず、フロー・ログとトラフィック・ミラーリングをオンにして、そのレイテンシーと忠実度を記録し、それぞれのソースが何を伝え、何を伝えられないかを知ることから始める。

  • クラウドネットワークの遠隔測定を単一のプラットフォームに取り込み、それを標準化し、クラウドのインベントリやタグでリッチ化することで、コンテキストがデータと共に移動するようにする。

  • 役割、サービス、ポート、既知の外部ピアごとにベースラインを確立し、調整する。最も重要なサービスから開始し、真のドリフトシグナルを失うことなくノイズを削減するために反復します。新しい宛先、ポート、プロトコルにアラート

  • イグレスを厳重に監視。VPC/VNetのイグレスを計測することで、チョークポイントをカバーします。コンテナ・プラットフォームにノード・レベルのビューポイントを追加し、新たに観測されたドメインやIP、非定型の宛先、定期的なビーコン、低速・低速転送、時間帯や量の急増を探します。

  • TLSメタデータを介したマネージドサービスアクセスのプロファイリング、ワークロードごとに最初に表示されるAPI、エンドポイント、またはリージョンに関するアラート。

  • マイナーの足跡を追跡:既知のプールへの接続と特徴的なプロトコル

  • コンテナ内の対話型プロトコル(SSH/RDP/VNC)とクラスタ内の横移動パターンにフラグを立てる

  • エンドポイントの侵害を相関させる:ユーザー・デバイスが侵害された場合、インフラと動作が一致するクラウド出口に軸足を移す

また、継続的な検証を行い、敵対者をエミュレートすることで、情報窃取、クリプトマイニング、C2、疑わしい管理者の行動を検出できることを確認する。

マルチクラウドのセキュリティは 、時代を超越したネットワークの原則を最新のアーキテクチャに適用すれば、十二分に達成可能です。

攻撃者がAIに傾倒し、信頼された制御をすり抜ける中、ネットワークの可視性はオプションではありません-それは、環境を理解し、地上でもクラウドでも、異常がインシデントになる前に脅威を捕捉するための基盤です。

この記事は、CorelightのDefeNDRポッドキャスト・シリーズで、Corelightのストラテジスト兼レジデンス作家であるリチャード・ベイトリッヒと、Corelightのクラウド・セキュリティ・リサーチャーであるデビッド・バーケットの会話に触発されたものです。このエピソードの購読または視聴はこちらから

CorelightのオープンNDRプラットフォームが、迅速で効果的な検知と対応のためにクラウドとネットワークのエビデンスをどのように統合するかについては、Corelight.com/elitedefenseをご覧ください。

スポンサーおよび執筆:Corelight