セキュリティオペレーションセンター(SOC)のアナリストの生活は、広大で危険な海を航海することによく例えられる。侵入検知システム(IDS)、クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)、エンドポイント検知・レスポンス(EDR)などのツールは、多くの攻撃ベクトルを可視化するが、重要な盲点が残っている。アプリケーション層である。このギャップにより、SOCチームはまるで目隠しをして航海しているように感じ、水面下に潜む見えない脅威に対して脆弱になる。
このブログ記事は、DevOps Magazineに掲載されたより詳細な記事の要約であり、こちらで読むことができる。私は、SOCチームが直面する課題を探り、従来のセキュリティ対策の限界を強調し、セキュリティ情報イベント管理(SIEM)の下に潜む脅威の可視性を高めるための画期的なソリューションとして、アプリケーションにおける検知・レスポンス(ADR)を紹介する。
アプリケーションにおける検知と対応(ADR)とは何か?
SOCアナリストは常にアラートに悩まされ、潜在的な脅威を解読するために多数のツールとログをやりくりしている。この絶え間ないトリアージ、調査、報告のサイクルは、アラートによる疲労と、常に二歩遅れているという感覚につながる。特に脅威インシデントに対処する場合、そうである。ネットワークセキュリティ、クラウドセキュリティ、エンドポイント保護は十分にカバーされているが、アプリケーション層はしばしばブラックボックスのままである。これは、SQLインジェクションや、既存のアプリケーションアクセス権限を悪用するその他のエクスプロイトなど、高度なアプリケーションレベルの攻撃の増加を考えると、特に懸念される。これらの攻撃は、従来のセキュリティツールでは見えない。
ADR:水面下の脅威を検知する魚群探知機のようなもの
危険な海域を航海する船を想像してほしい。その船には、水面上の脅威しか検知しない魚群探知機が搭載されている。これは、多くのSOCチームの現実である。彼らはネットワークトラフィックとエンドポイントアクティビティを監視するツールを持っているが、アプリケーション内で何が起こっているかを知るための可視性がない。この盲点により、アプリケーションの脆弱性を悪用する攻撃に対して脆弱になり、事実上、内部から船を沈没させられる。
Webアプリケーションファイアウォール(WAF)のような従来のセキュリティソリューションは、このギャップに対処しようとするが、不十分である。WAFはしばしばシグネチャベースの検知に依存するため、新規または複雑な攻撃に対しては効果がない。また、誤検知を生成し、正当なトラフィックをブロックして業務を中断させる可能性もある。WAFを、岩礁や魚雷を警告するが、漂流機雷を見逃す魚群探知機だと考えてほしい。無害な魚の群れに過剰に反応し、不必要なパニックを引き起こすことさえある。要するに、WAFはアプリケーションの振る舞いを分析できないため、正当なトラフィックと悪意のあるアクティビティを区別するのに苦労し、過剰ブロックまたは過少ブロックにつながる。
ここでADRが登場する。ADRは、アプリケーション層に必要な可視性を提供し、すべての水中脅威を明らかにする魚群探知システムのように機能する。アプリケーションに直接組み込まれたADRは、リクエストからシンクまでのトラフィックを追跡し、すべての関数呼び出しの完全な実行スタックトレースを提供する。この粒度の高い詳細により、SOCチームは何が起こっているのかだけでなく、どのように、なぜ、そして正確にどこで起こっているのかを理解することができる。悪意のあるアクティビティが発生した場合、ADRはリアルタイムで攻撃をブロックし、包括的なコンテキストとともにSOCにアラートを通知することさえできる。
ADRは、以下を提供することで脅威処理に革命をもたらす。
- 可視性の向上: ADRは、これまで不透明だったアプリケーション層を照らし出し、アプリケーションの振る舞いと潜在的な脅威を明確に把握できるようにする。
- リアルタイムの検知と対応: ADRは、アプリケーション内の悪意のあるアクティビティをリアルタイムで検知およびブロックし、侵害が発生する前に防止する。
- コンテキストの改善: ADRは、実行スタックトレースなど、攻撃に関する豊富なコンテキスト情報を提供し、より迅速かつ正確なインシデント対応を可能にする。
- アラート疲労の軽減: ADRは、アプリケーション固有の脅威に焦点を当てることで、従来のセキュリティツールに関連するノイズとアラート疲労を軽減する。
ADRの重要性をCレベルの役員に説明するのは難しい場合がある。効果的な例えとして、スーパーマーケットや銀行の防犯カメラと警備員と比較するとよい。これらの施設が盗難を防ぐために内部セキュリティ対策を必要とするのと同様に、組織はADRを使用して、内部および外部の脅威からアプリケーションを保護する必要がある。ファイアウォールとWAFは駐車場を監視するようなものであり、店舗内で何が起こっているかは教えてくれない。ADRは、その重要な内部の可視性を提供する。
今日の脅威の状況において、国家が高度なハッキングツールを展開している中、アプリケーション層の可視性はもはや贅沢品ではなく、必需品である。SOCチームは、絶え間ないアラートと攻撃の波に対処しており、手一杯である。ADRは、アプリケーション層を最終的に制御できるようにし、インシデントの数を減らし、全体的なセキュリティ体制を改善する。深い可視性、リアルタイムの検知、豊富なコンテキストを提供することにより、ADRはSOCの経験を、目隠しをして航海することから、自信を持って航海することへと変え、サイバーセキュリティインシデント処理の荒波の中で船が確実に浮いているようにする。
今すぐContrast ADRのデモをスケジュールしよう。
お問い合わせ
Read more:
