SOCアナリスト時代にADRを知っていればよかった！

午前3時にまた呼び出された…セキュリティオペレーションセンター（SOC）で対応すべき新たな侵害が発生したのだ。インシデント対応チームが役割と責任の分担に追われる中、私は根本原因分析の調査を始めたばかりだった。しかし、何かが気になっていた。侵入者がどうやって侵入したのか、我々は見当もつかなかったし、おそらく永遠にわからないだろう。その理由をこれから説明する。

Contrast Securityに入社する前は、私は数年間、シニアSOCアナリストとして、複数の大小さまざまな民間および公共部門の組織で数万人のユーザーをサポートしていた。10人にも満たないスタッフで、チームの仕事量はかなり多かった。

SOCは、脅威を検知し、適切な対応をとって脅威を阻止するという、1つの主要な目標を持って存在する。私の責任は非常に幅広く、組織にとってミッションクリティカルな機能を提供していた。 エンドポイントの検知と対応(EDR）、ログ集約ポリシーとその展開、セキュリティ情報およびイベント管理(SIEM)プラットフォームの資産管理、データベースの暗号化など、さまざまな役割を監督していた。

また、セキュリティエンジニアリングと設計の実装をサポートし、自動インシデント対応ツールの展開と管理も監督していた。そして、リストはまだまだ続く。特定のプロセスやタスクを自動化するツールはあったものの、作業の多くは手作業で、非常に面倒だった。他の責任に加えて、毎日大量のアラートに対応するのは大変だった。

アプリケーションにおける検知と対応(ADR)が可能であることを知っていればSOCでの私の人生はとてつもなく楽になり、アプリケーション層での攻撃を阻止する能力も向上していただろう。ADRがなければ、アプリケーションやアプリケーションプログラミングインターフェース(API）、そしてそれらを標的とする脅威を可視化することができず、アプリ層への侵入を検知して理解することは、他のシステムに侵入するまで不可能だった。脅威アクターに足場を築かせるのは、攻撃を阻止する方法としては望ましくない！

典型的なインシデントのライフサイクル：すべてはアラートから始まる

SOCでの毎日は異なる。攻撃の検知と対応は、通常、調査が必要な異常をチームに通知するアラートから始まる。

SOCでは、15分以内にアラートに対応することが期待されていたため、検知と対応にかかる平均時間を可能な限り合理化し、最小限に抑える必要があった。前述のように、インシデントが検知されると自動的に開始されるプロセス自動化がいくつかあった。たとえば、Splunkでのクエリの自動処理により、イベント開始前後の特定期間の集約データが得られた。その後は、サーバーのsyslog情報を調べたり、エンジニアリング、ネットワーキング、OSチームと協力して他のシステムへの水平移動を探したりするなど、手作業のプロセスが行われた。

アプリケーションの可視性はどうだろうか？その方法はこうだ。

アプリケーションの可視性についてはどうだろうか？

アプリケーションやAPIを標的とする脆弱性を検知することに関しては、いくつかの問題があった。前述したように、可視性がなかったのだ。アプリケーション層で発生したインシデントは多かったが、解決できなかった。アプリケーションやAPIの内部で実際に何が起こっているのか、あるいはどのような異常な動作が起こっているのかを把握する能力がなければ、多くのピースが欠けた1,000ピースのパズルを組み立てるようなものだった。

もう1つの問題は、アプリケーション開発チームとの連携がなかったことだ。彼らは、社内および社外で使用する主要なアプリケーションの構築者として、収益を生み出す側であり、我々は彼らを保護するための保険のような存在だった。彼らが何をしているのか、あるいはインシデントがどのように彼らの仕事を標的にしているのかを可視化することができなかったため、彼らとの信頼関係を築く上で障害となっていた。

ダウンストリームのイベントやネットワーク、ファイアウォールのログを見て、トラフィックの発信元を特定することはできたが、本番環境のアプリケーションを可視化することができなかったため、多くの場合、ブラックボックスになっていた。その結果、アプリケーションやAPIを介してどれだけの攻撃が発生したのかわからなかった。攻撃が発生していることはわかっていたが、目に見えるものと取るべき行動にしか集中できなかった。EDRにはソフトウェアベースのファイアウォールと侵入検知機能があったが、重要なトラフィックを停止してしまうポリシーが作動してしまい、問題を悪化させていた。根本原因分析がなければ、インシデント対応とインシデントの事後分析は困難で、面倒で、時間がかかり、明確な答えが出ないことが多かった。

ある時点で、私はこの問題についてセキュリティアーキテクチャグループに相談した。彼らはギャップがあることに同意したが、それをどのように解決するかについてのガイダンスを提供することはできなかった。Webアプリケーションファイアウォール(WAF)は導入していなかったが、たとえ導入していたとしても、我々を守ってはくれなかっただろう。WAFは、本番環境のアプリケーションの動作に対する可視性が非常に限られており、新たな脅威を特定、理解、阻止することが困難だ。そこで私は「WAFの代替手段」を探し始めた。そこでContrast Securityを発見したのだ。

ADRがあればどのように役立っていただろうか

ADRを導入していれば、膨大な時間を節約でき、脅威をさらに早い段階で阻止することができただろう。開発者はシフトレフトに重点を置いており、セキュリティの専門家は攻撃対象領域をできるだけ多く保護する必要がある。

なぜスマートシフトがシフトレフトのおとぎ話を打ち負かすのか

アプリケーションとAPIは、インターネットにさらされている攻撃対象領域の一部であり、ADRがあれば、この重要な層を標的とする脆弱性を特定し、脅威を検知し、攻撃を阻止することができただろう。

ADRを使用すると、本番環境でコードの脆弱性を検索することができ、SOCチームは開発チームのセキュリティ作業を検証することができる。本番環境で脆弱性と攻撃の両方を監視することで、アプリケーションセキュリティ(AppSec)、脅威の状況、およびその管理方法を完全に把握することができる。また、ADRは単一のペインオブグラスを提供するため、非常に有益だ。複数のクリックやシステム間の移動なしに、1か所ですべての情報を取得することができる。

ADRが効果を発揮した可能性のあるインシデントの例としては、アプリケーションフロントエンドにリンクされたサーバー上でリモートコード実行(RCE)を検知したときがある。脅威アクターがシステムのどこまで侵入したかを突き止めるのは、竜を追いかけるようなものだった。怪しい動きが見られたので、ログを見て、脅威アクターがアクセスすべきでない領域にアクセスしていないか追跡した。ハッカーはしばらくの間、請求書、個人情報(PII)、PCI準拠情報などを含むSAPワークロードをこっそりと調べていたことがわかっていた。

おそらく導入されているべきだったセキュリティコントロールが導入されていなかった。これは間違いなく、多要素認証(MFA)が一般的ではなかったケースだ。これは間違いなく、多要素認証(MFA)が一般的ではなかったケースだ。おそらく更新が必要なパスワードを持つサービスレベルアカウントがあった。その観点から見ると、チームの誰かがサーバーにログインしていたように見えた可能性がある。そのエントリポイントは、おそらくこうだ。ハッカーは開いているポートを見つけたか、サーバーに侵入して水平移動するための手段が簡単に悪用できるアプリケーションを見つけたのだろう。

ハッカーはかなり長い間システムに侵入しており、次の行動を計画していた可能性が高い。そして、実行に移したとき、彼らは必要なものを手に入れたのかもしれない。誰にも分からないだろう。

ADRがあれば、脅威アクターの活動をはるかに早い段階で発見し、他のシステムへの侵入を防ぐための予防措置を講じることができただろう。

現在、見込み客と話す際に、「ADRは何をするのですか？」とよく聞かれる。機能を理解すると、通常、彼らはソリューションが非常に大きな潜在的価値を提供することに同意し、もっと知りたいと思う。

Contrast SecurityのADRは、アプリケーションセキュリティ(AppSec)の次の進化形であり、セキュリティチームに以下の手段を提供する。

• アプリケーションとAPIへの攻撃を可視化する：セキュリティオペレーションチームは、コマンドインジェクション、パストラバーサル、SQLインジェクションなどの壊滅的な攻撃に関する重要なコンテキストを含むリアルタイムのアラートを受け取ることができ、誤検知も減少する。
• アプリケーションとAPIへの攻撃を阻止する：SecOpsチームは、Contrast ADRのリアルタイム攻撃ブロック機能を利用するか、標準のセキュリティワークフローで定義されたインシデント対応アクションを実行するかを選択できる。
• 新しいSOC統合により検知と対応を改善する：セキュリティアナリストは、主要なセキュリティ情報およびイベント管理(SIEM)、クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)、拡張検知と対応(XDR)プラットフォームのコンソールを活用することで、アプリケーションおよびAPI攻撃に関するより優れた攻撃インテリジェンスを駆使して、より迅速な対応を取ることができる。

9月の攻撃データ：最も厄介なアプリケーション攻撃タイプの1つであるパストラバーサルに注目

SOCアナリストとしてADRにアクセスできていれば、状況は一変していただろう。ADRは、アプリケーションとAPIの可視性という明らかなギャップを埋め、SOCチームに従来のシステムが見逃してしまう脅威を検知して対応するためのツールを提供する。リアルタイムのアラート、誤検知の減少、壊滅的な被害が発生する前に攻撃を阻止する機能により、ADRはセキュリティオペレーションを合理化し、より迅速で効果的な脅威対応を可能にする。アプリケーション層を保護し、攻撃者の一歩先を行くことを目指すセキュリティチームにとって、ADRは必須だ。

ADRテクノロジーが組織をどのように保護できるかについて詳しく知りたい場合は、Contrast Security ADRのデモをリクエストして、その機能を実際に確認してほしい。

Read more: 

• ADRホワイトペーパー：アプリケーションにおける検知と対応(ADR)の事例
• Contrast explainer video: Contrast Application Detection and Response (ADR)
• Contrast解説ビデオ：Contrast Security ADR Demo
• Contrastプレスリリース：Contrast Security Application Detection and Response (ADR) Praised by Industry Analysts for Addressing Gap in Cybersecurity Defenses 
• Contrastプレスリリース：Contrast Security Introduces Application Detection and Response (ADR) to Identify and Block Attacks and Zero Days on Applications in Production 
• Contrast用語集：What is ADR?
• Contrastブログ：Contrastが提唱するADR(アプリケーションにおける検知と対応)
• Contrastブログ：Contrast Securityの創設者、Jeff Williamsが本番環境のAppSecの解決策について解説
• Contrastブログ：Contrast ADRでアプリケーションとAPIセキュリティのギャップを埋める5つの方法
• Contrastブログ：ADRの検知層と対応層について理解する
• Contrastブログ：ADRがサイバーセキュリティ界を熱くする理由
• Contrast glossary: What is cross-site scripting?
• Contrast ブログ: 8月の攻撃データ:数字の先を見る
• Contrast ブログ: 攻撃の解剖
• Contrast ブログ: 9月の攻撃データ: 最も厄介な攻撃タイプの1つ、パストラバーサルにスポットライトを当てる
• Contrast ブログ: CISOよ、目を覚ませ！ アプリケーションの盲点を照らすADRというフラッシュが必要だ
•  
• Contrastブログ: アプリケーション層にサイバーセキュリティの監視と対応を導入する