一般的なクラウドの脅威：
クラウド脆弱性エクスプロイト

クラウドの導入はデジタルトランスフォーメーションにおいて非常に重要であり、より優れたサービスを顧客に提供するために必要な俊敏性とスケーラビリティを企業に提供しています。しかし、クラウドの導入により、これらの企業がモニタリングし、保護する必要のある攻撃対象領域も拡大します。

セキュリティ管理と脅威検知において可視性が低く、アプローチが断片化されているため、また、ワークロードをクラウドに展開するたびに攻撃対象領域が拡大するため、セキュリティチームは対応に苦慮しています。このような状況が存在するため、オンプレミス環境を保護するものとは異なるセキュリティモデルで、クラウドを保護する必要があります。

一般的なクラウドの脆弱性

クラウド環境を防御するために、セキュリティチームは、クラウドに関する次のような一般的な脆弱性から保護する必要があります。

設定ミス

設定ミスは多くの場合、一般的な知識やレビューの不足により引き起こされます。これには、リソースへの不要なアクセス権を持つユーザーから、一般に公開されたままになっているコンテナまで、あらゆるものが含まれる可能性があります。

安全でないAPI

APIは、最新のソフトウェア開発やマイクロサービス、アプリケーション、Webサイトのバックエンドでの使用が急増しています。APIはさまざまな要求を処理する必要があります。残念ながら、これらの要求の一部は脅威アクターからのものであり、脆弱性や設定ミスを標的としています。

多要素認証 (MFA) の欠如

多要素認証 (MFA) では、ユーザーがアカウントまたはデータにアクセスする際に、検証用に少なくとも2つの形式のIDを提示する必要があります。ユーザーのパスワードは窃盗に対して脆弱であり、MFAを実装していない場合は潜在的に重大な脆弱性となります。

エンドユーザーのアクションに対する制御の欠如

クラウドリソースにアクセスできるユーザーを制御し、ユーザーアクティビティをモニタリングすることは、クラウドの保護に欠かせない要素です。これを行わないと、組織は悪意のあるアクティビティを見逃す可能性があります。

ソフトウェアサプライチェーンセキュリティにおける弱点

クラウドネイティブアプリケーションでは、多くの場合、オープンソースソフトウェアが使用されます。脅威アクターはこのようなソフトウェアを標的にするため、組織は脆弱性や設定ミスが入り込むリスクを軽減するための対策を講じる必要があります。

クラウドの脆弱性エクスプロイトの仕組み

クラウドストライクの研究者は、今日の組織が直面している、ますます巧妙化した脅威の状況に目を向けています。企業がスケーラビリティ、効率性、セキュリティの向上を求めて新しいクラウドアーキテクチャを採用する中、脅威アクターはクラウドインフラストラクチャに注目し、標的にしています。

悪意のあるアクターは、サーバーソフトウェアの既知のリモートコード実行 (RCE) 脆弱性を日和見的に悪用する傾向があり、通常、特定の業界や地理的地域に焦点を当てることなく、スキャンして脆弱なサーバーを探します。アクターは、初期アクセスに成功した後に、さまざまなツールを展開する可能性があります。クラウドサービスを悪用してシステムへの初期アクセスを獲得する活動の1つに、ファイル転送アプリケーションの脆弱性のエクスプロイトがあります。

2021年1月以降、複数の企業がこのような悪用に関連した侵害を自己開示しています。VMwareもまた脅威アクターの標的になりました。これには、VMwareのESXi、vCenter Server、Cloud Foundation製品に影響する重大な脆弱性CVE-2021-21972も含まれます。この脆弱性を悪用することで、脅威アクターは、複数のホストオペレーティングシステム、攻撃ベクトル、侵入段階で利用できる、シンプルで確実性の高い攻撃手法を手に入れます。複数の攻撃者、特にビッグゲームハンティング (BGH) アクターが、この脆弱性を悪用したと見られています。

クラウド環境を保護するためにできること

ランタイム保護を有効にしてリアルタイムの可視性を得る

見えないものは保護できません — 廃止予定のインフラストラクチャであっても可視化が必要です。ランタイム保護と継続的な可視性は、クラウドインフラストラクチャを保護して侵害を防ぐための中心的な役割を担っています。それが存在するのがオンプレミスのデータセンターでも、仮想クラスターでも、またはクラウドにホストされている場合でも、次世代のエンドポイント保護を使用して、コンテナ、サーバー、ワークロードを保護することが重要になります。これらには、サーバー、ワークステーション、モバイルデバイスなども含まれます。

設定エラーを排除することを使命とする

クラウドへの侵入の最も一般的な根本の原因は、人為的なミスや、一般的な管理を行う中で発生したエラーです。安全な運用を導入しやすいデフォルトのパターンで、新しいインフラストラクチャをセットアップすることが不可欠です。その方法の1つとして、クラウドアカウントファクトリを使用して、新規サブアカウントやサブスクリプションの作成を容易にする方法があります。この戦略を使用することで、新しいアカウントが予測可能な方法で設定されることが保証され、人為的なミスの一般的な原因を排除できます。また、CSPMと一緒にこれらを完全な管理下に置いてください。次に、すべてのインフラストラクチャにCSPMを使用し、アカウントまたはサブスクリプションが廃止されるまで、運用チームが継続的に可視性を得られるようにします。

ユーザーアクションをより詳細に制御する

組織は、クラウドリソースの管理と保護のために、クラウドストライクのクラウドインフラストラクチャ権限管理 (CIEM) ソリューションに見られるようなアクセスコントロールを採用する必要があります。これらの制御は、クラウドのワークロードとインフラストラクチャの可視性で支援される必要があります。クラウド環境を保護するには、開発者とオペレーターが独自のセキュリティプロファイルを作成する必要性に迫られて、意図せず粗悪なものを作成してしまわないように、既定のロールとネットワークセキュリティグループを設定することも肝心です。

積極的にAPIを保護する

APIの急増は、開発者やセキュリティチームに課題を突きつけています。しかし、「シフトレフト」し、セキュリティをCI/CDプロセスに統合することで、組織はリスクを軽減できます。さらに、脆弱なAPIを標的とするコードインジェクション攻撃は、送信元IPアドレスやHTTPヘッダー情報でリクエストをフィルタリングするように設定されたWebアプリケーションファイアウォールで防ぐことができます。

クラウドセキュリティポスチャ管理 (CSPM) ソリューションを活用する

クラウドアカウントファクトリに、詳細なログ記録とCrowdStrike Falcon Cloud Security™のようなCSPMソリューションの有効化が含まれていることを確認します。また、クラウドオペレーションおよびセキュリティオペレーションセンター (SOC) チームなどの責任者にアラートを送信する機能が有効になっていることも確認します。管理されていないクラウドサブスクリプションを積極的に探し、もし見つかった場合には、誰かが管理しているだろうと思い込んではいけません。代わりに、責任者を特定し、シャドーITクラウド環境を廃止するか、組織が複数のクラウドプラットフォーム間で一貫してセキュリティポリシーを適用できるようにする必要があります。

最小特権アクセスを確立してマルチクラウドリソースを保護する

過剰なアクセス許可は、攻撃のリスクが高まる原因となります。ユーザーには、担当ジョブを効果的に実行するために必要なレベルのアクセスのみを許可する必要があります。最小特権の原則に基づいてアクセス権を決定することで、組織は、アカウントが侵害された場合に発生する潜在的な損害の程度を軽減することができます。