クラウド環境を民間航空機に例えてみてください。飛行前に、航空機は安全規制に準拠するため、厳密なメンテナンススケジュール、テスト、飛行前点検を受けます。これらの行動は、ポスチャーベースのセキュリティ対策に似ており、クラウド環境が適切に構成され、既知の脆弱性がなく、ベストプラクティスに準拠していることを保証します。
しかし、航空安全はタルマックで終わりません。パイロットは単に指をクロスして、飛行機が目的地への途中で安全に留まることを望まないわけです。天気条件、他の飛行機からの航空交通、飛行経路、飛行機のパフォーマンスを監視するシステムが整備されています。これらがランタイムコントロール、つまり何か問題が発生する可能性のあるリアルタイムの目となるものです。同様に、ランタイムセキュリティはクラウド資産に対して、亀裂をすり抜けた脅威を探し、レスポンダーが行動を取ることを可能にします。
セキュリティポスチャー管理のような従来のアプローチは、長年にわたってクラウドセキュリティの基本となっており、強力なクラウドセキュリティ戦略を確立するための典型的な最初のステップです。しかし、クラウド環境の動的な性質は常に急速にスケーリングして複雑さを増しており、予防のみのアプローチは安全を保証することができません。
攻撃者がギャップを悪用する際、チームは攻撃を軽減する方法が必要です。
セキュリティポスチャー管理の課題
セキュリティポスチャーツールは、環境内に存在する可能性のある多くの設定ミスと脆弱性への貴重な可視性を提供します。
それでも、すべての問題を解決するための簡単な方法ではありません。複数のチーム(DevOps、セキュリティ、プロダクト)にわたるアラインメントと、成熟したシフトレフトガードレールの確立が必要です。これらのガードレール自体は重要ですが、開発チームが適応する際に重大な複雑性をもたらし、開発サイクルを遅くすることがよくあります。
そのようなガードレールの実装には、思慮深い調整、共有責任の明確な理解、そして最も重要なのは全体的な賛同が必要です。
成功したセキュリティプログラムを構築する最も難しい側面の1つは、チームのアラインメントと有効化です。これらのチームは多くの場合、競合する優先度を持っています。セキュリティは単なる技術的な課題ではなく、文化的な問題です。リーダーシップのサポート、トレーニングに費やされる時間、そして開発者を圧倒することなく既存のプロセスにセキュリティを統合するための継続的な取り組みが必要です。
チームに新しいセキュリティベストプラクティスの所有権を取得させることは、特にそれが彼らの仕事の方法の調整やコードをデプロイする前のステップの追加を意味する場合、微妙なバランスです。
Sysdigのようなソリューションは、開発者に優しく、優先度付けされた修復ガイダンスを提供し、チームが既に使用しているツールとワークフローにシームレスに統合することで、この負担を軽減するのに役立ちます。この種のサポートは、摩擦を軽減するだけでなく、セキュリティがボトルネックではなく協力的な取り組みになるのに役立ちます。
ポスチャー管理にのみ依存するリスク
どれだけ強力であっても、ポスチャー管理にのみ依存することは、単一の設定ミスまたは脆弱性のリスクにさらされています。設定ミスされたアクセス制御、スコープが不適切なAPIキー、または保護されていない共有認証情報は、そうでなければセキュアなシステムにおける弱いリンクになる可能性があります。多くの場合、攻撃者が環境全体で横展開し、そうでなければ堅牢な防御をバイパスするために必要なのは1つの欠陥を特定することだけです。
セキュリティポスチャーツールでは対処できないギャップ
ほぼ完璧なセキュリティポスチャーを達成した組織でさえ、このアプローチにはまだ制限があります。特定の種類の攻撃はこれらのプロアクティブな対策をバイパスすることができます。これは、すべての設定ミスと既知の脆弱性が対処されている場合でもです。以下の脅威は、従来のポスチャーベースのセキュリティチェックを回避し、環境内に見えないギャップを作成できます。
- ゼロデイ脆弱性:ポスチャーベースのシステムが検出できない未知の欠陥を対象とした悪用(Log4Shell、IngressNightmare、Leaky Vessels)。
- サプライチェーン攻撃:ポスチャー管理が見逃す可能性のあるサードパーティコードまたは依存関係からのリスク。コードの大部分がオープンソースであるため、サプライチェーン攻撃は重大なリスクをもたらします(tj-actions/changed-files)。
- パッチできない脆弱性:サードパーティまたはレガシーコードのため、パッチを適用できない欠陥。最近のVulncheck悪用レポートによると、これらはすべての悪用された脆弱性の24%を占めています。
- 侵害されたアイデンティティとインサイダー脅威:認証情報の盗難または悪意のあるインサイダーからのリスク。アイデンティティがクラウドの新しい境界であるため、これらの脅威はクラウドベースの攻撃の初期アクセスベクトルの約半分を表しています。
これらの脅威が悪用されると、結果は深刻なものになる可能性があり、ポスチャーベースのセキュリティは多くの場合、それらを止めるのに十分ではありません。Log4ShellやLeaky Vesselsなどのゼロデイ脆弱性はポスチャーチェックを完全にバイパスし、防御が何を探すべきかを知る前に攻撃者がシステムに静かに侵入することを可能にしました。
サプライチェーン攻撃はパイプライン全体を危険にさらす可能性があり、信頼できるコードを通じてリスクを拡散させます。パッチできない脆弱性は従来の手段では解決できず、防御に持続的な亀裂を残します。
一方、侵害されたアイデンティティとインサイダー脅威は、正当な認証情報を悪用することで、ポスチャーコントロールをすり抜ける可能性があります。これらすべてのケースでは、可視性だけでは十分ではありません。組織は、これらの進化する脅威に対して本当に防御するために、ランタイム保護とリアルタイム検出が必要です。
ランタイムセキュリティの利点
ランタイムセキュリティは、脅威が発生する際に検出および軽減する動的でリアルタイムのアプローチであり、単に予防に依存するだけではありません。
このセキュリティアプローチは、システムがどのように構成されているかを報告するのではなく、システム上で実行されているアクションについての詳細な可視性を提供します。ポスチャーベースのセキュリティが何かを見落とすときは、ランタイムセキュリティが最後の防御線として機能し、アクティブな攻撃中にシステムを保護し、データ侵害と不正アクセスへの恐れを軽減することができます。
クラウドセキュリティの旅でまだ成熟している組織にとっては、ランタイムセキュリティは環境を保護する際の最も効果的な最初のステップであることが多いです。クラウドセキュリティプラットフォームの他の要素とは異なり、ランタイムセキュリティは追加の作業を生成しません—それは積極的に環境を保護するために機能します。
セキュリティチームがそれを実装および管理することが容易であるため、それは開発者またはエンジニアリングチームに修復を依存しないからです。これにより、ランタイムセキュリティは、シフトレフト実践の実装やアドレッシングなどの他のプロセスが脆弱性バックログに対処している間でも、すぐに包括的な保護を提供することができます。ランタイムセキュリティは最初から強力なセキュリティ基盤を確立します。
成熟した企業のランタイムセキュリティのメリット
より成熟したセキュリティポスチャーを持つ組織もランタイムセキュリティを追加することで大きな恩恵を受けることができます。それは、ゼロデイ脆弱性、侵害されたアイデンティティ、サプライチェーン攻撃などのポスチャーベースのチェックをバイパスする可能性のある既存の防御のギャップに対処するのに役立ちます。これは、新しい脆弱性と設定ミスが修復される際のベースライン保護を提供しながらです。
ランタイムセキュリティは攻撃への完全な可視性を提供し、組織が攻撃の範囲を評価し、攻撃が継続中かどうかを判断し、将来のインシデントを防止するための是正措置を取ることができます。
セキュリティポスチャーとランタイムセキュリティの組み合わせ
包括的なクラウドセキュリティ戦略は、ポスチャーベースとランタイムセキュリティを組み合わせて、多層防御を作成します。ポスチャーベースのセキュリティは、適切な構成を確保し、既知の脆弱性を軽減し、ベストプラクティスを遵守することで強力な基盤を構築します。
ランタイムセキュリティはこれを補完することで、亀裂をすり抜ける脅威を迅速に封じ込め、攻撃の潜在的な影響を最小化することで、安全ネットとして機能します。この組み合わせたアプローチは、即座で包括的な保護を提供するだけでなく、セキュリティプロセスが新たな脅威とともに進化することを可能にし、クラウド環境が安全なままであることを保証します。
ランタイムセキュリティをリードするSysdig
Sysdigは、高度なCNAPPプラットフォームを備えた包括的なランタイム保護でランタイムセキュリティの方法をリードしています。これはリアルタイムランタイムセキュリティによって推進されます。SysdigはFalcoのオープンソース基盤に基づいており、世界中のフォーチュン500企業の60%以上がクラウド環境を保護するのに役立ちます。
Sysdigがクラウド環境のセキュリティをどのように向上させることができるかを発見してください—今日パーソナライズされたデモをリクエストして、当社のソリューションがあなたの特定のニーズとどのように一致するかを確認してください。
翻訳元: https://www.sysdig.com/blog/closing-the-cloud-security-gap-with-runtime-security
