CISOよ、目を覚ませ！ アプリケーションの盲点を照らすADRというフラッシュが必要だ

優れたサイバー防御とは、単に攻撃をブロックし、対処することだけではない。何が、どこで、誰によって行われているのかを可視化できなければ、企業はシステム、ネットワーク、データを強固に保護することは難しい。可視性が不足している領域の一つがアプリケーション層だ。この不明瞭さが、画期的な新しいタイプの必須の検出および対応ソリューション、すなわちアプリケーションの検知における検知と対応(ADR)を生み出したのである。: Application Detection and Response (ADR). 

今日のますます高度化するサイバー犯罪の状況において、組織の最も貴重なデジタル資産を保護することは、これまで以上に困難になっている。だからこそ、ADRは絶対に不可欠なのだ。説明しよう。

 2022年9月のPonemon Instituteの調査によると、回答者の66%が10万件以上の脆弱性のバックログを抱えており、修復が必要な脆弱性の平均数は110万件に達すると報告している。これは驚くべき数字であり、組織はコストのかかる破壊的な攻撃に対して脆弱な状態に置かれていることになる。なぜこのようなことが起こるのだろうか？驚くべき真実は、今日のCISOは、自社のアプリケーションとアプリケーション・プログラミング・インターフェース(API)のセキュリティについて、限られた知識しか持っていないということだ。彼らは、自分のチームが脆弱性を発見しているかどうか、そしてそれらの脆弱性を修正しているかどうかを伝えることはできるが、それ以上のことはわからない。

Webアプリケーションファイアウォール(WAF)のような境界保護は有効だが、潜んでいる脅威を明らかにする微妙な兆候を検知するための文脈認識が不足していることが多い。拡張型の検知と対応(XDR)ソリューションも同様に、本番アプリケーションとAPIの可視性が不足している。ADRがどのようにアプリケーション層の盲点を照らし出すのか、ビデオで確認してほしい。

ADRがどのようにアプリケーション層の盲点を照らし出すのか、
ビデオで確認してほしい。

サーバー側のアプリケーションとAPIで構成されるアプリケーション層は、ビジネスオペレーションにおける重要な役割を考えると、セキュリティにとって非常に重要だ。この重要な層は、個人識別情報(PII)や個人健康情報(PHI)などの機密データを含む、すべての企業データを処理する。また、通常はデータベースや、組織外で動作する可能性のある他のアプリケーションと接続されている。サイバー犯罪者は、アプリケーション層の攻撃が増加していることからも明らかなように、この盲点をますます標的にしている。

最近のいくつかの例がこの傾向を示している。ITソリューションプロバイダーであるKaseyaに対する2021年の攻撃を例に挙げよう。この攻撃では、攻撃者はアプリケーション層で認証バイパスとSQLインジェクションの手法を使用して、Kaseyaの顧客を標的にした。その影響は広範囲に及び、Kaseyaは約7,000万ドルの身代金を支払うことになり、800から1,500の下請け企業が影響を受けた。

もしADRが導入されていれば、このコストのかかる攻撃や、それに類する無数の攻撃を防ぐことができたはずだ。

ADRでアプリケーション層のギャップを埋める

簡単に言えば、ADRは、まさに必要とされているアプリケーション層の検出および対応に対する答えだ。アプリケーション内でエージェントがコードの実行中にセキュリティ関連のアプリケーションの動作を継続的に監視することで、ADRはアプリケーションスタック全体にわたる異常な動作を検出する。

また、本番環境でのみ現れるオープンソースおよびカスタムコードの脆弱性を検出することもできる。この「内側から外側へ」のアプローチにより、ADRはXDRやWAFが見逃すゼロデイ攻撃の証拠を突き止め、セキュリティオーケストレーション、自動化、および対応(SOAR)または他のプラットフォームを通じて、脅威データをセキュリティオペレーションセンター(SOC)に送信し、インシデント対応ワークフローに役立てることができる。

ADRは毎月、何万もの攻撃を阻止している。数字を見てほしい。

ADRプラットフォームは、脆弱性と攻撃のデータをセキュリティ情報およびイベント管理(SIEM)、XDR、およびクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)に提供することもでき、SOCチームは1つのツールで妨げられることなく可視化を実現できる。

ADRの3つの重要なセキュリティ機能

1. リスクと攻撃の影響を軽減する: アプリケーション層の可視化により、ランタイムアプリケーションにおける脅威の検出と対応を改善し、組織の全体的なサイバーリスクエクスポージャーを削減することができる。ADRは、アプリケーション層に潜むゼロデイやAdvanced Persistent Threat(APT)などの重大な脅威の緩和を強化し、そこに潜む攻撃者に光を当てる。その結果、CISOは攻撃対象領域を縮小し、サイバーセキュリティインシデントのビジネスへの影響を軽減することができる。
2. 攻撃者の滞留時間を短縮する: 攻撃者が検出されないままでいる時間が長ければ長いほど、データ侵害やその他の混乱が発生する可能性が高くなる。ADRは、アプリケーション層に居座る攻撃者を発見し、他のシステムへの侵入を防ぐための対策を講じることができる。ADRはまた、既知・未知を問わずコードの脆弱性を検出し、悪用される前に修正することを可能にし組織のリスク管理の時間と範囲を削減しセキュリティ体制が強化される。
3. 対応を加速し、解決時間を短縮する: ADRは、アプリケーション層で早期に脅威を特定し、SOCアナリストに豊富なデータを提供することで、迅速に対応できるようにし、平均対応時間(MTTR)を短縮することができる。ADRデータはSOARプラットフォームに供給し、自動化されたインシデント対応プレイブックに情報を提供することもできる。また、アプリケーション層で攻撃を自動的にブロックし、攻撃の拡散を防ぐこともできる。

ContrastがADRを支持する理由についてはこちらをご覧ください。.

CISOは、アプリケーション層の盲点という差し迫った現実に向き合わなければならない。サイバー犯罪者がこの重大な弱点を悪用することが増えているため、ADRは単なる選択肢ではなく、不可欠な防御策となっている。比類のない可視性、正確な検出、迅速な対応を提供するADRは、アプリケーション内に潜む高度な脅威を無力化する鍵だ。隠れた攻撃者を明らかにし、滞留時間を短縮し、対応作業を加速させる。ADRはアプリケーション層を保護するだけでなく、最大の脆弱性から最も強固な防御へと変える。組織のセキュリティの未来はADRにかかっている。

ADRテクノロジーが組織をどのように保護できるかについて詳しくは、Contrast Security ADRのデモをリクエストして、その機能を実際にご覧ください。

Read more: 

• ADRホワイトペーパー：アプリケーションにおける検知と対応(ADR)の事例
• Contrast explainer video: Contrast Application Detection and Response (ADR)
• Contrast解説ビデオ：Contrast Security ADR Demo
• Contrastプレスリリース：Contrast Security Application Detection and Response (ADR) Praised by Industry Analysts for Addressing Gap in Cybersecurity Defenses 
• Contrastプレスリリース：Contrast Security Introduces Application Detection and Response (ADR) to Identify and Block Attacks and Zero Days on Applications in Production 
• Contrast用語集：What is ADR?
• Contrastブログ：Contrastが提唱するADR(アプリケーションにおける検知と対応)
• Contrastブログ：Contrast Securityの創設者、Jeff Williamsが本番環境のAppSecの解決策について解説
• Contrastブログ：Contrast ADRでアプリケーションとAPIセキュリティのギャップを埋める5つの方法
• Contrastブログ：ADRの検知層と対応層について理解する
• Contrastブログ：ADRがサイバーセキュリティ界を熱くする理由
• Contrast glossary: What is cross-site scripting?
• Contrast ブログ: 8月の攻撃データ:数字の先を見る
• Contrast ブログ: 攻撃の解剖
• Contrast ブログ: 9月の攻撃データ: 最も厄介な攻撃タイプの1つ、パストラバーサルにスポットライトを当てる