マルウェアはクラウドで消えたわけではありません。進化したのです。
クラウドセキュリティについて話すとき、私たちは構成とアイデンティティリスクのようなことについて多くの時間を費やします。しかし、他のタイプのリスクを見落としてはいけません。たとえそれらがインシデントの大部分につながっていなくても、です。そのようなリスクの1つがマルウェアです。攻撃者がさらされたサービスと脆弱なワークロードの悪用をますます自動化するにつれて、クラウド環境でマルウェアリスクを無視できると仮定するのはもはや安全ではありません。
クラウド内のマルウェアはエンドポイント分野でセキュリティチームが慣れていることと異なることを認識することが重要です。
クラウドでは、マルウェアははるかに高速で、より自動化され、通常は短命です。迅速なROIを求める脅威アクターは、さらされたコンテナに暗号マイナーを展開し、脆弱なワークロードにバックドアをドロップし、実行時に悪意のあるプロセスを注入します。これらは単なる手法の名前です。クラウドワークロードはエフェメラルであるため、従来のエンドポイントベースの検出モデルはもはや最新のクラウドアナリストのニーズを満たしていません。クラウドセキュリティチームは、改造されたエンドポイント制御ではなく、コンテナ化、サーバーレス、および弾性インフラストラクチャ用に目的を持って構築された検出が必要です。
一部のチームは、マルウェア用の検出ルールの作成と保守に何時間も費やしています。これは理想的には貴重なアナリストの時間を消費すべきではないタスクです。チームは曖昧なアラートのリバースエンジニアリング、または何かが実際に悪意のあるものかどうかを確認するための複数のツール間のピボットなど、忙しい作業に圧倒されるべきではありません。これらの非効率性は、応答時間が遅くなり、信頼が低下し、最悪の場合は侵害につながる可能性があります。
チームは単に正確で高コンテキストのマルウェア検出、よく管理されたルール、および誤検知が少ないことが必要です。彼らはまた、クラウドからハイブリッド環境、オンプレミス環境まで、彼らがエコシステムを構築している場所ならどこでも検出が機能することを必要とします。また、単なるアラート生成ではなく、調査と応答に直接つながる検出が必要です。
Sysdigがクラウドマルウェアに対処する
Sysdigの業界をリードするクラウド検出と応答は、クラウド、ハイブリッド、オンプレミス環境全体にわたる包括的なマルウェア検出、ブロック、および応答を提供します。これが重要な理由は、最新のクラウド攻撃は高速に移動し、マルウェアは常に既知の侵害インジケータまたは明らかな行動インジケータを通じて自身を発表するわけではないからです。時々それは静かにワークロードに着地し、実行を待つか、正当なプロセスに混ざろうとします。
そのため、Sysdigのクラウド検出と応答は、YARAルール、署名、および第三者プロバイダーからのキュレーションされたフィードを活用して、実行時保護に直接複数の強力なマルウェア検出レイヤーを追加します。これらのレイヤーは行動実行時検出を補完し、既知および以前に見たことのない脅威の両方を識別できるようにします。
重要な瞬間にマルウェアを検出する
Sysdigは、マルウェアがディスクに保存されるか、ワークロードで実行されるときにそれを検出します。これにより、行動監視と実行時脅威検出を補完する追加の検出レイヤーが作成されます。また、静的分析とライブ実行時防御の間のギャップを埋め、アナリストにより早く、より実行可能なシグナルを与えます。
悪意のある行動がアラートをトリガーするのを待つ代わりに、Sysdigはマルウェアをより早く攻撃ライフサイクルで識別でき、疑わしい活動がエスカレートする前にそれを検出できます。
より広い検出機能により、セキュリティチームは以下を実行できます:
- その動作が見える前にマルウェアを検出する
- 明確な侵害インジケータ(IoC)を生成しない可能性のある脅威を検出する
- 従来のIoCベースの検出方法を回避するペイロードをキャッチする
ワークロードがエフェメラルで攻撃者が悪用を自動化するクラウド環境では、その早期シグナルは封じ込めと侵害の違いになる可能性があります。
検出だけでなくブロッキング
検出は重要です。ブロッキングはより高速です。
Sysdigのクラウド検出と応答は、悪意のあるバイナリの実行を完全にブロックでき、悪意のあるバイナリがメモリに読み込まれないようにします。1バイトもCPUに到達しません。これは組織を反応型アラートから積極的なリスク削減に移動させます。
これは、マルウェアがその命令のいずれかが実行される前に停止でき、多形マルウェアが変異、永続化、またはそのトレースを削除しようとする可能性などの下流リスクを排除できることを意味します。
実行時に防止を実施することにより、セキュリティチームは反応型検出からアクティブな保護に移動します。アナリストはまた、包括的なコンテキストを備えたSysdigの業界をリードする可視性を獲得し、調査と応答ワークフローを加速させます。これは特に攻撃の永続化フェーズで影響を与えます。その際、防御者は悪意のある行動を迅速に識別して中断する必要があります。
クラウド環境向けに最適化
従来のマルウェアスキャナーは、多くの場合、重いファイルシステムスイープとリソース集約的なスキャンプロセスに依存しています。動的クラウド環境では、そのアプローチは効率的にスケールしません。コストが高く、クラウド内で急速に進化するワークロードとコンテナのペースに追いつくのは遅すぎます。
Sysdigのマルウェア検出は最新のワークロード向けに最適化されています。継続的なフルディスクスキャンではなくファイル書き込みと実行イベントに焦点を当て、オーバーヘッドを削減しながら強力な保護を維持します。これにより、パフォーマンスとスケーラビリティが重要であり、コストがまばたきで急増する可能性があるコンテナ、Kubernetes環境、およびクラウドワークロードに適しています。
その結果は、レガシースキャンモデルの運用上の負担なしに、効果的なマルウェア検出と防止です。
複雑な環境全体のカバレッジ
最新の組織は単一の環境では動作せず、マルウェア検出はワークロードが実行される場所に拡張される必要があります。Sysdigのクラウド検出と応答はクラウドに依存しないため、マルチクラウド、ハイブリッド、および分散環境全体で一貫したマルウェア検出と防止を提供します。この統一されたアプローチは盲点を減らし、操作を簡素化し、セキュリティチームが各インフラストラクチャモデルに対して個別のツールまたはポリシーを必要としないようにします。
コンテナやKubernetesなどのクラウドネイティブ環境は、自動化された悪用と暗号マイニングキャンペーンの主要なターゲットです。Sysdigは、AWS Fargeのような管理されたサービスで実行されているワークロードを含め、マルウェアが書き込まれるか実行されるときにそれを検出およびブロックすることにより、コンテナ化されたワークロードを保護します。従来のホストベースの可視性が制限されています。同じ実行ベースの検出機能は仮想マシンと従来のホストに拡張され、クラウドでもハイブリッド展開でも実行されているかどうかにかかわらず、一貫性のある実行時保護を保証します。
オンプレミスインフラストラクチャ、SaaSプラットフォーム、管理されたクラウドサービス、またはサーバーレス環境全体で動作する組織の場合、Sysdigはすべてのアーキテクチャ全体で統一された可視性とポリシー実施を維持します。エフェメラルサーバーレスアーキテクチャでさえ、検出戦略は悪意のある実行の試みを効果的に監視するために調整されています。その結果は、複数のポイントソリューションを一緒にステッチすることなく、クラウドネイティブ、ハイブリッド、および従来のインフラストラクチャ全体で標準化されたマルウェア保護です。
マルウェア検出におけるSysdig脅威研究チームの役割
舞台裏では、Sysdig脅威研究チーム(TRT)は、Sysdig Secure顧客のマルウェア検出の継続的な進歩を推進しています。継続的なYARAルール開発と改善を通じて、Sysdig TRTは顧客に専門的にキュレーションされた検出、調整されたポリシー、最適化されたルール、高品質なインテリジェンスフィードを直接提供し、すべて顧客が運用上の負担を自分自身で担うことなく。実際、Sysdigは250,000以上のキュレーションされたマルウェア検出アーティファクト(YARAルールおよび継続的に更新されるインテリジェンスフィード)を維持しており、クラウドネイティブ環境全体で既知、多形、および新興の脅威の耐久性のある検出を可能にします
Sysdig脅威研究者はYARAを活用して、実世界のハニーポットテレメトリー、複数のインテリジェンスソース、および新興の脅威データを使用して検出を設計、テスト、および強化します。これにより、従来の検出方法を回避するために設計された多形および難読化されたバリアントを含む、ファイルと実行可能ファイル内に埋め込まれた悪意のあるコードパターンの正確な識別が可能になります。
その結果は、攻撃者の変化する戦術と技術に追いついて継続的に進化する検出エンジンであり、顧客は既知および新興の両方の脅威から保護されたままです。
測定できる運用上の影響
Sysdig Secureのクラウド検出と応答により、セキュリティチームは最初のシグナルで明確なマルウェア分類と豊富なコンテキストを備えた高忠実度アラートを取得します。SOCチームの場合、これはより高速なトリアージとより多くの調査決定の信頼を意味します。CISOの場合、それは運用上のリスクの削減とより強い実行時ガバナンスを意味します。
1,400以上のメンテナンスされたルールと数千の強化を含むSysdig脅威研究チームからの継続的な更新により、アナリストにルール作成の負担を追加することなく検出は最新のままです。
その結果は、より高いシグナル対ノイズ比率、誤検知が少ない、およびより高速なインシデントトリアージです。ツール間でのピボットまたは曖昧なアラートのリバースエンジニアリングの代わりに、チームは脅威を迅速に検証して封じ込めに移動できます。
Sysdigがマルウェアを書き込みまたは実行時に検出およびブロックするため、組織はブラスト半径を削減し、エスカレートする前に脅威を停止します。クラウド、ハイブリッド、オンプレミス、Kubernetes、仮想マシン、およびサーバーレス環境全体での一貫した保護により、チームはポイントソリューションを一緒にステッチすることなく統一されたカバレッジを取得します。
結論:クラウドスケールの脅威向けに構築
マルウェアはクラウドで進化しました。これは現在、高速で、自動化され、短命です。レガシーエンドポイントアプローチと手動ルール保守は十分ではありません。
Sysdigのクラウド検出と応答は、実行レベルの検出、実行時ブロッキング、YARAベースのパターンマッチング、および継続的な脅威研究を組み合わせて、あらゆる環境でクラウドネイティブマルウェア保護を提供します。マルウェア検出を反応型チェックリスト項目から統合されたクラウドネイティブ防御機能に変換します。
その結果は単純です。より高速な決定、より少ない運用上の摩擦、および最新のクラウドインフラストラクチャの強化された実行時保護。
マルウェアはクラウドに適応しました。あなたの防御も同様にすべきです。
Sysdigがどのようにクラウド環境全体でマルウェア検出を最新化できるかを学びましょう。
翻訳元: https://www.sysdig.com/blog/malware-detection-with-sysdig
