Contrast ADRでアプリケーションとAPIセキュリティのギャップを埋める5つの方法

セキュリティオペレーション センター(SOC)のプラットフォームをのぞき込むと、何を見つけることができるだろうか？

それは、どこを見るかによる。ネットワークトラフィックを見れば、NDR(ネットワークにおける検知と対応)ソリューションでデータ流出が特定されているかもしれない。従業員のノートパソコンはどうだろうか？EDR(エンドポイントにおける検知と対応)ソリューションにより、Georgeのノートパソコン上のマルウェアが隔離されたことを示している(またか…)。  

では、アプリケーション層、つまりアプリケーションとAPIに目を向けてみよう。アプリケーションの内部で何が起こっているか、あなたには見えるだろうか？

答えはおそらく「いいえ」だろう。視界は非常に限られている。霧の中にいるようなものだ。どれだけ目を凝らしても、どんな攻撃が起こっているのか見分けがつかない。

「残念ながら、アプリケーション層には多くのリスクが存在する」と、Contrast SecurityのCTO兼共同創業者のJeff Williamsは述べている。「考えてみると、私たちって、自分たちの生活の中で価値のあるものはすべてソフトウェアに依存しているんだ。財務、医療、選挙、政府、防衛など、何もかも。でも、それらを守るためにほとんど何もしていない。」

Black Hat 2024での Information Security Media Group(ISMG)とのビデオインタビューで、Jeffは、サイバーセキュリティの可視性におけるギャップがアプリケーション層の不明瞭さを引き起こしていると説明した。「確かにアプリケーションエコノミーであり、そこには本当のギャップが存在する」と彼は述べた。「組織には、エンドポイントを保護するためのEDR製品と、クラウドを保護するためのCDRがあるが、ADR(アプリケーションにおける検知および対応)がない。」

アプリケーションを取り巻く挙動が不明瞭であるからこそ、Contrast Securityが Black Hat 2024でContrast ADR(アプリケーションにおける検知と対応)を発表したのだ。ADRは、これまで SOCにとって見えなかったアプリケーション/APIの動きを明らかにし、アプリケーション層への可視化をもたらす。  

ADRによって、SOCの分析担当者達が最終的にアプリケーション層で何が起こっているのかを確認できる可視性が提供されるだけでなく、攻撃をブロックすることで対応できるようになる。 

ISMGとJeffの対談から、ADRのパラダイムシフトをもたらす新技術に関するポイントを5つ挙げる： 

1. 隠れたものを暴く：アプリケーション層の脆弱性を明らかにする

セキュリティ担当は、ITインフラの監視にEDRやNDRなどのツールに長い間依存している。 しかし、これらのツールには、アプリケーション層をのぞき込む機能が欠けていることが多い。アプリケーション層には、多くの貴重なデータが存在し、多くの重大な脆弱性が存在するのに。こうしたアプリケーション層の脆弱性を標的にして、不正アクセスやデータ窃盗、業務の妨害などを行う攻撃者が増えている。

「セキュリティ運用部門では、アプリケーション層の可視性が非常に乏しいのが現状だ」と Jeffは説明している。「エンドポイント、ネットワーク、インフラ、クラウドは見えるが、アプリケーションの内部で何が起こっているかについてはあまり把握できていない。」そして、多くのリスクが存在するのは、まさにこのアプリケーション層なのだ。 

ADRにより、アプリケーション層の詳細な可視性が提供され、このギャップを埋めることができる。ADRは実行中のアプリケーションにエージェントを組み込むことで、アプリケーションの動作をリアルタイムで監視・解析し、通常は目に見えない攻撃を検知して対応できるようにする。

2. 一歩先を行く：進化するアプリケーション攻撃に適応する

アプリケーションが進化しているように、アプリケーションに対する攻撃も進化している。SQLインジェクションなど長年課題となっている脆弱性は依然として存在する一方で、攻撃者はその手法を洗練させ、APIやマイクロサービスを含む複雑なアーキテクチャに基づく最新のアプリケーションも標的にしている。一例を挙げると、攻撃者は全てのシステムとカスタムコードに対して、JNDIインジェクション(Log4Shell攻撃の根底にある攻撃)を試みている。 

「(アプリケーション攻撃は)アプリケーションの進化とともに進化してきた」とJeffはISMGに語った。安全でないデシリアライズなど、攻撃の根本となる脆弱性はかなり似ているが、「今ではAPIに入っていたり、複数の階層やバックエンドなどを持つより複雑なアプリケーションに入っていたりする。」

現代の脆弱性検知には実行中のアプリケーション全体をインストゥルメンテーションする必要があることをJeffは強調した。 

バスケットボールとアプリケーションセキュリティのインストゥルメンテーションに何の関係があるのか？

攻撃者もバカではない。攻撃者はアプリケーションがいかに複雑になったかを理解しているし、その状況に適応している。「今では、WAF(Webアプリケーションファイアウォール)では実際に見ることができない複雑な攻撃対象領域やAPIに攻撃が送られ、検知・対応の隙間があるアプリケーション層が悪用されている」とJeffは続けた。 

複数の階層とバックエンドがあることが多い今日の複雑なアプリケーションでは、その動作や潜在的な脆弱性を理解することは困難だ。 攻撃者はこの複雑さを悪用し、従来のセキュリティ対策を迂回する巧妙な攻撃を仕掛けてくる。ADRは、実行中のアプリケーションにエージェントを組み込んで監視する機能を備えているため、このように進化する攻撃手法を検知して対応する上で優位に立つことができる。

3. 予防的アプローチ：ADRで検知するだけではない

多くの組織に欠けているアプリケーション/APIの動作を可視化することは、最初のステップにすぎない。何が起こっているかを理解したら、それに対応することができる。だからこそ、攻撃をブロックすることもADRの一部なのだ。

「ADRの一環として、攻撃もブロックする」と Jeffは言う。「単なる検知ではなく、検知と対応であり、そうした攻撃の一部を阻止するのに役立つ。」実際、オブザーバビリティと検知はこの機能リストのうちの2つにすぎない。

• セキュリティオブザーバビリティ：ADR は、アプリケーションの攻撃対象領域、セキュリティ防御、危険な動作、およびバックエンド接続の詳細なマップを提供し、セキュリティチームがアプリケーションのリスクプロファイルを完全に把握できるようにする。
• 動作分析：ADR はアプリケーションの動作を継続的に監視し、攻撃の兆候となる可能性のある異常を特定し、迅速な検知と対応を可能にする。
• コンテキストを含むアラート：ADR は、重要なコンテキストを含むアラートを SOC に提供し、インシデント対応チームと開発チームが対応および修復するための青写真を提供する。

• 攻撃ブロック：ADR は、進行中の攻撃を積極的にブロックするように設定でき、攻撃が標的に到達するのを防ぎ、攻撃が成功した場合の影響を最小限に抑えることができる。

4. セキュリティ体制の強化：ADRの利点

ADRは複数の重要な利点を提供する。他のXDRタイプのツールと同様に、ADR はアプリケーション内で発生するイベントやインシデントに関するテレメトリを生成し、Syslog などのメカニズムを通じてセキュリティ情報およびイベント管理(SIEM)ソリューションに送信できる。Contrast は Splunk などの SIEM との統合を備えており、ADR データを XDR エコシステムの一部にすることができるプラグインを備えている。豊富なテレメトリは、クラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) や他のシステムにも供給できる。 

Jeffは、インシデントに関するデータ、つまり、アナリストの時間を浪費する大量の過検知や誤検知ではなく、実際のインシデントに関するデータが、おそらく顧客が得られる最も価値の高い利点だろうと述べた。「多くのツールは大量のイベントを生成できる。『これらすべてのことが起こった』といった具合だが、そのほとんどは『どうでもいい』ようなものだ。私たちは、人々に、即時の対応を必要とする実際のインシデントに集中してもらいたいと考えている」と Jeffは続けた。ADRは、攻撃のように見えるものすべてによってトリガーされるWAFとは異なる。すべての誤検知に対処することが「多すぎる」とJeffは主張した。「ADRとの本当の違いは...これらの可能性のある攻撃をすべて見る必要はないということだ。」

ADRは、標的とした脆弱性に到達した攻撃のみを報告する。たとえば、SQLクエリに到達しないSQL 攻撃がある場合、「それは実際には重要ではない」とJeffは強調した。 「我々は、本当に重要な1%に焦点を当てようとしている。」

過検知+誤検知=実際のコスト

その他の利点：

• 可視性の向上: ADRは、これまでにないアプリケーション層への可視性を提供し、脆弱性の特定と優先順位付け、攻撃の監視、および迅速なインシデント対応を可能にする。
• 検知の強化: ADR の動作分析機能は、従来のセキュリティを回避する可能性のある攻撃を検出し、侵害が成功するリスクを軽減する。es.
• より迅速な対応: リアルタイムの監視と攻撃ブロックにより、迅速なインシデント対応が可能になり、損害を最小限に抑える。
• リスクの軽減: 包括的な可視性、強化された検出、および迅速な対応により、アプリケーション層攻撃の全体的なリスクが大幅に軽減される。

5. 実行中のアプリケーション内部からのセキュリティの設計図

ADR は、Contrast がセキュリティの青写真と呼ぶものをすべてのアプリケーションに対して生成する。これらの設計図は、Jeffによると、以下のことを示している。

• 完全な攻撃対象領域。Contrast はアプリをリバースエンジニアリングしない。むしろ、「我々は実際に実行中のアプリケーションの内部からそれを取得する」と Jeffは述べた。「我々は各ルートのセキュリティ防御、認証、アクセス制御、暗号化なども含めて攻撃対象領域全体を取得する」 

• 各ルートで可能な危険な動作の例となるがXMLファイルを解析する、これはファイルシステムにアクセスする。「これはネイティブプロセスを開始するもので脆弱性ではない、攻撃でもない」とJeffは説明した。「それはただ危険なものだ。」

• バックエンド接続を可視化する、例えば、ルートはどの重要なシステムに接続するか？

設計図は、アプリケーション層のセキュリティ確保をはるかに容易にする。Jeffが指摘したように、設計図なしでは人生の他の何も試みないだろう。「設計図なしに家を建てることはないだろう。それは我々がすることの基本だ」と彼は述べた。

その設計図に加えて、ADRの振る舞い分析は、ルートが本番環境でどのように振る舞うかを分析し、異常を検知する。「我々は攻撃を非常にはっきりと見ることができる、なぜならそれらはすべきでないことをしているからだ」とJeffは述べた。「実行中のアプリケーションでは決して起こるべきでないことだ」。

まとめ：

脅威が進化するにつれて、サイバーセキュリティにおけるADRの役割はますます大きくなるだろう。 Splunkなどの 他のセキュリティツールとの統合は、ADRが望ましくない振る舞いを検出し、それをXDRまたはSIEMプラットフォームに報告することで、より包括的なセキュリティビューを提供し、これまでほとんど目に見えないものに対するコントロールを取り戻す。

ADRは、サイバーセキュリティにおける 大きな進歩である。それは組織がそうでなければ隠れたままになる攻撃を検知し、対応することを促し、アプリケーションの可視性における重大なギャップを 埋める。脅威の状況が進化するにつれて、ADRは、重要なWebアプリケーションとそれらが保持する機密データを保護するための不可欠なツールになる態勢が整っている。

あなたは可視性のギャップを埋めて、あなたのアプリとAPIが本当に何をしているのかを知る準備ができているか？ デモについては問い合わせを。また、ADRの詳細についてはJeffのホワイトペーパーをチェックしてほしい。

Read more:

• ADR white paper: The Case for Application Detection and Response (ADR) 
• Contrast explainer video: Contrast Application Detection and Response (ADR)
• Contrast demo video: Contrast Security ADR Demo
• Contrast press release: Contrast Security Application Detection and Response (ADR) Praised by Industry Analysts for Addressing Gap in Cybersecurity Defenses 
• Contrast press release: Contrast Security Introduces Application Detection and Response (ADR) to Identify and Block Attacks and Zero Days on Applications in Production 
• Contrast glossary: What is ADR?
• Contrast blog: Why Contrast Security is making the case for Application Detection and Response (ADR)
• Contrast blog: Contrast Security founder Jeff Williams explains how to fix AppSec in production