なぜADRが必要なのか、その仕組みとメリット

異なるサイバーセキュリティ分野の著名な技術アナリスト2名が、企業に対しアプリケーション検知・レスポンス(ADR)の導入を推奨している。企業は、ソフトウェアの未知の脆弱性を悪用するゼロデイ脆弱性を含む、絶え間ないサイバー脅威に直面している。従来のセキュリティソリューションでは、これらの攻撃の検知と対応が不十分な場合が多く、企業は脆弱な状態に置かれる。

アプリケーションにおける検知と対応(ADR)はサイバーセキュリティにおけるこの重大なギャップに対処する最先端技術である。ADRは、アプリケーションの動作をリアルタイムで可視化し、組織がゼロデイ攻撃を発生時に特定してブロックすることを可能にする。

新しいIDC Market Insightsの論文で、IDCのアナリストであるクリス・キッセルとケイティ・ノートンは、この新興分野の分析を提供している。彼らは、今日のSOCの可視性の現状とアプリケーションセキュリティを調査し、アプリケーションとAPIが攻撃者によってますます標的にされている理由、そして既存のソリューションがアプリケーションを適切に保護できない理由を強調している。この論文では、ADRの仕組みと、現在市場に出回っているさまざまなADRソリューションの差別化方法についても詳しく解説している。

Contrast Securityがスポンサーを務める最新のIDC InfoBrief「Market Insights: Application Detection and Response」の無料コピーを入手するには、こちらへ。

なぜADRが必要なのか？

WebアプリケーションとAPIは、現在、上位3つの攻撃ベクトルの1つであり、IDCは、これらがランサムウェア攻撃の一般的な侵入経路であることを発見した。クラウドネイティブアプリケーションの数が劇的に増加するにつれて、この問題は時間の経過とともに悪化する可能性が高い。

攻撃者がアプリケーションをますます標的にしている理由の一部は、既存の選択肢が適切な保護を提供していないためだ。シフトレフトは、本番稼働前に重大な脆弱性を防ぐことに失敗しており、既存の検知・レスポンスのエコシステムは、アプリケーションを実質的にカバーしていない。

本番アプリケーションに最も一般的に導入されている防御策は、Webアプリケーションファイアウォール(WAF)だが、WAFには多くの欠点がある。

• WAFは、送受信トラフィックを検査するだけで、境界でのみ機能する。その結果、アプリケーションの動作に関するコンテキストの理解が不足している。
• WAFは、管理と保守が困難な広範なルールセットに依存している。禁止されたシナリオしか定義できないため、未知の脆弱性(つまり、ゼロデイ)を見逃してしまう。
• WAFは、その精度の問題で悪名高く、多数の誤検知がセキュリティ運用チームを圧倒する。その結果、多くのセキュリティ運用チームは、WAFアラートをノイズとして関連付け、実際の問題を検知した場合でも、WAFからのすべての情報を無視する。

IDCのアナリストのキッセルとノートンは、ADRがこの空白を埋め、これまで非常に不足していたアプリケーション層に対する詳細なセキュリティを提供すると述べている。

ADRの仕組み

ADRソリューションは、アプリケーションの動作を継続的に監視し、通常の活動のベースラインを確立する。このベースラインからの逸脱は、潜在的な攻撃としてフラグが立てられ、セキュリティチームが即座に対応できるようになる。

静的なシグネチャに依存する従来のソリューションとは異なり、ADRはアプリケーションの動作をリアルタイムで観察し、アプリケーション層の攻撃の迅速な特定と修復を可能にする。この可観測性により、ADRは従来のセキュリティ対策による検知を回避するように設計されたゼロデイ脅威に対して非常に効果的だ。

ただし、IDCのアナリストは、ADRが比較的新しいカテゴリーであり、市場のソリューションがADRを異なる方法で定義し、アプローチしていると指摘している。IDC Market Insightsの論文では、主要なアプローチの長所と短所の概要が説明されている。

ADRのメリット

ADRは、組織にいくつかの重要なメリットを提供する。

• ゼロデイ防御: ADRは、広範囲な損害を引き起こす前に、ゼロデイ攻撃を特定してブロックできる。
• 詳細なアプリケーション洞察: ADRは、アプリケーションの活動に関する詳細なインサイトを提供し、セキュリティチームが攻撃の仕組みと対策方法を理解できるようにする。
• リアルタイム応答: ADRソリューションは、脅威に自動的に応答し、迅速な攻撃による損害を最小限に抑えることができる。
• ノイズとバックログの削減: ADRは、コンテキストに基づいた高精度の警告を提供し、セキュリティチームが重要な脅威に集中し、ノイズとバックログを削減するのに役立つ。
• 効果的な優先順位付け: ADRは、本番環境で観察された実際の攻撃と脆弱性を関連付けることで、組織が脆弱性の優先順位付けを行うのに役立つ。これにより、セキュリティチームは、積極的に悪用されている最も重要な脆弱性の対処に集中できる。

より多くの重要なインサイトと分析については、最新のIDC InfoBrief「Market Insights: Application Detection and Response」の無料コピーを今すぐダウンロードする。

お問い合わせ

Read more:

• Contrast ブログ: SOCアナリスト時代にADRを知っていればよかった！
  
• Contrast blog: Application Detection and Response(ADR)が「新たなカテゴリー」へ
  
• Contrast monthly ADR Report: ADR月次レポート：アプリケーション攻撃が30%急増、メソッド改ざんは800%増加
  
• Contrast blog: ADRがセキュリティ担当の作業負荷を削減し、インシデント対応を迅速化する