マルチクラウド脅威ハンティング戦略の実装方法

企業がクラウド コンピューティング サービスを導入するケースが増えると、ネットワーク攻撃の対象領域が拡大します。また、企業が潜在的な脅威を正確にどのように探すかも複雑になります。しかし、リスクを軽減するために実行できる手順はあります。

現在、多くの企業のビジネスはクラウド上で実行されています。実際、そのほとんどは中規模企業や大規模企業です。しかし、マルチクラウドが一般的になるにつれて、複数のクラウド プラットフォームにわたるセキュリティを確保することがより困難になります。

これには、クラウド プロバイダー間でセキュリティ モデルとメカニズムが異なること、環境間でシームレスな可視性がない、ツール セットが統一されていないなど、いくつかの理由があります。

幸いなことに、これらの物流上の課題を認識しておくことは、それらを回避する計画を立てるのに大いに役立ちます。これを行う最良の方法の 1 つは、包括的なマルチクラウド脅威ハンティング戦略を展開することです。

クラウドベースの脅威ハンティングのユースケースと、マルチクラウドの脅威ハンティングによって生じるロジスティクスやその他の複雑さ、そしてそれらの課題に対処する方法について見てみましょう。

クラウド コンピューティング環境で脅威ハンティングが重要なのはなぜですか?

まず、脅威ハンティングと、それが単一クラウドとマルチクラウドの両方の展開で提供する価値を定義することから始めましょう。

脅威ハンティングでは、インテリジェンス主導の分析を使用して、サイバー攻撃者がリソースにアクセスしたかどうか、またどこからアクセスしたかを判断します。この説明は単純化しすぎていますが、簡単に言うと、脅威ハンティングとは、サイバー攻撃者がその動作環境にアクセスした可能性がある既知の攻撃者の取引手法に基づいて仮説を立て、それらの仮説を証明または反証するためのテスト条件を開発することです。

高度なサイバー攻撃者は検出を回避し、アラートを回避できるため、脅威ハンティングは重要です。サイバー攻撃者がすでにネットワーク内にいる可能性がある兆候を常に監視することで、組織はこれらの攻撃者を検出する能力を向上させ、理想的には、攻撃者が意図した目的を実行する前に攻撃を阻止することができます。

クラウド環境でも同様の原則が適用されます。違いは、企業がプロセスに投入される情報と対応するために利用できるツールをどのように取得し分析するかにあります。

クラウドベースの脅威ハンティングは、次の 3 つの基本ルールに基づいています。

• ビジネスがクラウドで運営されているからといって、サイバー攻撃者が活動を停止するわけではありません。
• 敵の目的と、その目的を達成するために敵が使用する手法を理解することは、組織の防御戦略に役立ちます。
• また、運用管理が責任共有モデルの CSP 側にあるレイヤーも含め、すべてのレイヤーにわたる可視性により、企業は敵対者やそのアプローチをより深く理解できるようになります。

マルチクラウドは物事を複雑にする

論理的に言えば、クラウド コンピューティングにより脅威の探索はより複雑になります。企業が物理インフラストラクチャ/オンプレミス環境からクラウド環境に移行すると、コンプライアンスと構成の透明性、リモート データ ソースとインフラストラクチャ、コア セキュリティ機能、API の数などの問題により、脅威の特定がより困難になります。つまり、サイバー攻撃対象領域が拡大するにつれて、脅威ハンティングにはより一層の注意が必要になります。

業界の専門家は、クラウド内の脅威を探すアナリストにはより多くの情報とトレーニングが必要だと述べている。これは、自社の組織だけでなく、クラウド サービス プロバイダー、クラウド ベンダー、その他のプロバイダーによって導入されるツールセット、セキュリティ モデル、アーキテクチャ、テクノロジ スタック、その他の要素を理解して使用する必要があるためです。

マルチクラウドの脅威ハンティングにより、リスクはさらに高まります。これは、より多くのツール、より多くの概念、より多くの API、より多くのデータ ソースを意味します。環境間の分析とデータの相関も考慮する必要があります。たとえば、オンプレミスのユーザー、PaaS のアプリケーション フロントエンド、IaaS 仮想マシンのバックエンド API 間の 3 者間の会話を考えてみましょう。その会話で行われた要求が正当かどうかを判断するには、環境ごとにさまざまなログ リポジトリとさまざまな監視ツールが必要になる場合があります。

脅威ハンティングをマルチクラウドに拡張

組織がマルチクラウド脅威ハンティングを展開したい場合は、まず、これを実現するためにどのようなプラクティスを確立できるかを検討します。結局のところ、戦略の策定はあなたのビジネスに固有のものになります。これは、クラウドの使用状況、脅威ハンティングの機能とアプローチ、ビジネス ニーズによって異なります。すべての人に当てはまるアプローチはありませんが、始めるために実行できる基本的な手順がいくつかあります。

まず、クラウド プロバイダーやオンプレミスの施設など、複数の環境間で流れるデータとイベント情報を標準化します。これはマルチクラウドではすでに既知の問題です。たとえば、ネットワーク セキュリティ メッシュ アーキテクチャの基本的な柱には、セキュリティ分析とインテリジェンス、および統合ダッシュボードが含まれることを考慮してください。

環境全体のイベントを理解することは、マルチクラウド セキュリティ管理、運用、インシデント対応、そして企業向けの脅威ハンティングの中核となる要素です。そのためには、使用されているクラウド環境とサービスを理解し、採用されているセキュリティ モデルを理解し、各場所から適切なデータが収集可能であること、また収集されていることを確認する必要があります。

次に、システムの脅威モデリングの問題に対処します。複数のクラウド環境にまたがるアプリケーションを検討してください。企業は、脅威が優先される時期と、必要な情報を収集するためにリソースをどのように、どこに適用すればよいかをどのように知るのでしょうか。脅威モデル化が役立ちます。アプリケーションをサイバー攻撃者の視点から見ると、サイバー攻撃者が攻撃する可能性が高い場所と方法を判断するための仮説を立て始めることができます。さらに、企業はこれらの領域を優先してさらに調査を進めることができます。これにより、組織は各環境からどのようなデータを収集すればよいかを理解し、環境内にサイバー攻撃者が存在するかどうかを判断するためにテストする仮説を立てることができます。

最後に、それは教育と実現です。さまざまな環境に何が展開されているか (信頼性が高く体系的なインベントリの構築など) を理解し、コンポーネントがどのように組み合わされているか、どのローカル サービスが使用されているか、企業が使用するサービスがより大規模で包括的なナラティブにどのように関連しているかを理解することは、簡単に思えるかもしれませんが、これを確実かつ正確に、そして完全に実行できるのは、一定規模以上の少数の企業だけです。

セキュリティ関連のあらゆることと同様に、マルチクラウドの脅威ハンティングは、使用状況を理解し、セキュリティとビジネスの目標を把握し、必要な考えと計画を適用することによってアプローチされます。脅威ハンティングは、オンプレミスの運用環境の場合と同様に、企業のクラウド セキュリティ戦略 (マルチクラウドなど) でも同じ役割を果たすことができ、また果たすべきです。