アプリケーション層にサイバーセキュリティの監視と対応を導入する

ついに、これまで盲点だったアプリケーション層に光を当てる、アプリケーションにおける検知および対応(ADR)が登場した。

最新のVerizonデータ漏洩調査レポート(DBIR)によると、この層のアプリケーションとアプリケーションプログラミングインターフェース(API)は、データ漏洩の25％に関与する脅威の標的となっている。しかし、これらの攻撃は、ほとんどの場合、従来の境界防御やEDR製品では検知されない。

これまで見えなかった可視性を獲得するために、セキュリティオペレーションセンター(SOC)の監視と対応にADRを取り入れることができる。組織は以下に統合することで可視性を獲得できる。

• Splunkなどのセキュリティ情報およびイベント管理(SIEM)プラットフォーム
• セキュリティオーケストレーション自動化および対応(SOAR)プラットフォーム
• 拡張検知における対応(XDR)プラットフォーム
• クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)

ここでは、SOCがアプリケーション層に関して対処している盲点についてご紹介する。SOCがアプリケーション層に関して対処している盲点と、SOCがアプリケーション層を可視化し、SOCアナリストがアラートをトリアージして組織のリスクを最小限に抑えるのに役立つよう、ADRをどのように運用化できるかについてのウォークスルーを見ていこう。

もう盲点にはうんざり？

現状では、セキュリティツールが多すぎて、重要な脅威は見逃したままで、アプリケーション/アプリケーションプログラミングインターフェース(API)層で何が起こっているのかわからない。

アプリケーション層とは何か

アプリケーション層の概念は近年進化している。DevOpsや継続的インテグレーション/継続的デプロイメント(CI/CD)などの手法が主流になるにつれて、アプリケーションとAPIは、それぞれのワークロードを個別に実行する個別のソフトウェアプログラム以上のものになっている。むしろ、アプリケーション層は、広大で相互接続された相互依存のコードのエコシステムで構成されている。多くの場合、このエコシステムはクラウドとオンプレミスのインフラストラクチャ全体で、場合によっては複数の企業エンティティ全体で動作する。これは、APIによって頻繁に接続されるサーバー側のアプリケーションで構成されている。

技術はさておき、アプリケーション層はビジネスにとっても重要性を増している。現代のデジタルビジネスはソフトウェア上で実行されており、多くの人にとってソフトウェアほど重要なものはない。アプリケーション層は、販売からカスタマーエクスペリエンス、ロジスティクス、製造、サービス、人材管理など、ビジネスのほぼすべての分野の運用に不可欠だ。迅速に革新し、新しいソフトウェア機能を導入する能力は、戦略を実行する上で有利に働くが、セキュリティリスクを高めるプロセスでもある。

アプリケーション層がセキュリティにとって重要な理由

アプリケーション層はビジネスに不可欠だが、前述のDBIRの調査結果で強調されているように、アプリケーション層はすべてのデータ漏洩の4分の1で標的にされているため、広範で脆弱な攻撃対象領域でもある。典型的なアプリケーションは、数十のソフトウェアリポジトリから構築され、複雑なソフトウェアサプライチェーンを持ち、何百ものライブラリとフレームワークを含み、数十のAPIを使用し、複数のバックエンド接続を持ち、何百ものエンドポイントで構成される攻撃対象領域を持っている。

一つには、その運用上の重要性を考えると、アプリケーション層の混乱はビジネスに対する脅威となる。アプリケーション層で発生した停止は、顧客体験を損なうことでブランドに悪影響を与える可能性がある。また、アプリケーション層は、価値のある、多くの場合機密性の高いデータを大量に処理する。たとえば、個人を特定できる情報(PII)や個人の健康情報(PHI)を処理する可能性がある。この層は多くのデータソースにアクセスでき、攻撃者がこの層を標的にすると、すべてのデータソースが危険にさらされる。

これらの理由から、アプリケーション層はハッカーの人気の標的となっている。いくつかの注目を集める攻撃は、何が危険にさらされているかを示している。たとえば、2021年のAccellionファイル転送アプリケーション(FTA)への攻撃は、SQLインジェクション、OSコマンド実行(CVE-2021-27102)、サーバー側リクエストフォージェリ(SSRF)など、複数のアプリケーション層攻撃に基づいていた。Accellionを侵害した後、ハッカーは同社の多くの顧客を侵害し、恐喝した。ITソリューションプロバイダーであるKaseyaへの攻撃では、ハッカーはアプリケーション層で認証バイパスとSQLインジェクションを使用して、Kaseyaの顧客も標的にしたランサムウェア攻撃を実行した。

Kaseyaランサムウェア攻撃から得られるセキュリティ上の教訓とは？

アプリケーション層の監視と対応における現在のギャップ

ビジネスにとっての重要性と攻撃に対する脆弱性にもかかわらず、アプリケーション層は通常、十分に防御されていない。開発段階での静的コードスキャンや脆弱性修復など、従来のアプリケーションセキュリティ(AppSec)のコントロールと対策は、期待通りに機能しない。すべての静的アプリケーションセキュリティテスト(SAST)および動的アプリケーションセキュリティテスト(DAST)ツールにもかかわらず、安全でないコードが多すぎて本番環境に到達してしまう。さらに、コードが本番環境に移行すると、従来のAppSecツールはさらに役に立たなくなる。さらに、コードが本番環境に移行すると、従来のAppSecツールはさらに役に立たなくなる。

SOCの一般的なセキュリティプラットフォーム(SIEMやXDRなど)は、アプリケーション層の内部を見ることができない。アプリケーション層攻撃がネットワークアクティビティ、デバイスログ、エンドポイントなどに現れた場合にのみ検知できる。標的のアプリケーションまたはAPI内で完全に実行されるアプリケーション層攻撃を検知することはほとんどできない。オペレーティングシステムまたはコンテナイベントでアプリケーション攻撃の動作が見られたとしても、脅威を明らかにする微妙な異常を理解するためのコンテキストが不足している。

この可視性の欠如は、大きなリスクを引き起こす。攻撃者はアプリケーション層で検知されずに留まり、持続し、適切なタイミングで飛び出して環境全体に横方向に移動するのを待つことができる。そのため、アプリケーション層はSOCにとってブラックボックスとして存在する。最も深刻な脅威のいくつかは、SOCアナリストにはほとんど見えない。

ギャップを埋める新たな機会

アプリケーション層は、セキュリティ監視と対応にとって盲点である必要はない。ADRは、SOCに本番環境にあるAPIとコードへの可視性を提供する。ADRソリューションは、コードが実際に実行されている間にセキュリティ関連のアプリケーションの動作を継続的に監視するアプリ内エージェントを活用することで、アプリケーションスタック全体の異常な動作を検知する。

したがって、ADRは、実行時にのみ現れるカスタムコードとオープンソース(OSS)コードの脆弱性を検知することができる。これは「インサイドアウト」アプローチだ。アプリケーション層内の内部配置という利点により、ADRは既知と未知の両方の脆弱性に対する攻撃を特定するために必要なすべてのコンテキストを持っている。これには、XDRとWAFが見逃すアプリケーション層でのゼロデイ攻撃も含まれる。

ADRは、インシデント対応ワークフローのために、脅威と攻撃のデータをSOCに送信することができる。これには、SIEMやSOARソリューションへのアラートの送信が含まれる場合がある。また、攻撃の状態とそれが悪用している関連する脆弱性に関するデータでアラートを強化することも意味する。ADRデータは、インシデント対応ワークフローを推進するSOARの「プレイブック」の一部になることができる。

フルスペクトル検知と対応を実現するためのADRの運用化

アプリケーション層が監視と対応プロセスに可視化され、アクセス可能になるにつれて、セキュリティチームは次の利点を享受する。

インシデント対応速度の向上  SOCがアプリケーション層攻撃がネットワークまたはエンドポイントに現れるまで待たなければならない場合、貴重な時間を大幅に失うことになる。この時間はほんの数秒で測定されるかもしれないが、その遅延時間は影響の面で大きな違いを生む可能性がある。ADRは、SOCチームにキルチェーンの初期段階で脅威を検知して封じ込め、攻撃の爆発半径と組織への悪影響を制限する機能を提供する。

攻撃者の滞留時間の短縮  アプリケーション層は、高度な持続的脅威(APT)スタイルの攻撃に使用される可能性があり、脅威アクターは長期間(数か月、数日、数年)検知されずに潜伏することができる。ADRは、ハッカーからその贅沢を奪う。ハッカーは、偵察を実施し、アプリケーション層からの脱出を準備し、IT資産に損害を与える時間が少なくなる。 

誤検知と検知漏れへの対処 SOCアナリストは、誤検知と検知漏れの 問題に悩まされている。一方はSOCの時間の無駄になり、もう片方は攻撃を見逃してしまう。これを解決するために、ツールを常に調整して適切な状態にする必要がある。ADRを使用すると、SOCアナリストは、取得している情報が正確であり、次の手順を追跡するために必要なコンテキストを持っていることを知ることができる。

銀行がADRを導入して盲点を解消する方法

Contrast ADRを導入してアプリケーション層のセキュリティを防御することを決定した金融サービス機関を想像してみよう。当初、彼らの焦点は、プラットフォームの高度なインストルメンテーションとリアルタイム監視機能を活用して、アプリケーション環境内の脅威を検知し、対応することにあった。

しかし、Contrastを導入するとすぐに、セキュリティチームはアプリケーションの潜在的な脆弱性とアクティブな攻撃について、これまでにないレベルの詳細と洞察を獲得できる。彼らの次のステップの簡単な概要を以下に示す。

ステップ1：イベント管理のためのSplunkとの統合

Contrastが収集するデータの粒度と関連性に感銘を受けた金融サービス機関のセキュリティチームは、この貴重な情報を既存のSIEMプラットフォームであるSplunkに統合しようとする。チームは、syslogを使用してContrastからSplunkにイベントをストリーミングし、標準化されたイベントデータの共通情報モデル（CIM）に準拠した。

イベントがSplunkに流れ込むと、金融サービス機関のセキュリティアナリストはContrast Splunkプラグインを使用してデータを可視化する。この統合により、ContrastのAppSecテレメトリを既存の監視およびトリアージプロセスにシームレスに組み込むことができた。Contrastが提供する豊富なコンテキスト情報は、チームがインシデントをより効果的に特定し、優先順位を付けることを可能にする。

これで、詳細な攻撃パターンを表示し、脆弱性の影響をリアルタイムで理解し、Splunk内の他のデータソースとAppSecイベントを関連付けることができるようになり、インシデント対応ワークフローが合理化される。

ステップ2：アプリケーションの動作によるCNAPPの強化

AppSecの洞察をCNAPPと統合することのより広範な価値を認識し、金融サービス機関はContrastをWizにも接続する。この統合により、インフラストラクチャとセキュリティ体制の全体像を把握し、インフラストラクチャとAppSecのギャップを埋めることができる。

Contrastが詳細なAppSecデータをWizに供給することで、セキュリティチームは各ワークロードをドリルダウンして包括的なセキュリティアーキテクチャを確認できる。ADRにより、チームはエンタープライズインフラストラクチャの各コンポーネントに関連する正確な脆弱性とインシデントを理解できる。さまざまなコンポーネント間の相互接続を可視化し、各接続のセキュリティへの影響を理解し、クラウド環境のより広範なコンテキストでインシデントを強調表示できる。さまざまなコンポーネント間の相互接続を可視化し、各接続のセキュリティへの影響を理解し、クラウド環境のより広範なコンテキストでインシデントを強調表示できる。これにより、アプリケーション層の脆弱性と脅威がインフラストラクチャの全体的なセキュリティにどのように影響するかをより深く理解できるようになる。

ステップ3：強化されたワークフローによるADRの運用

ContrastとSplunkおよびWizの統合により、金融サービス機関のセキュリティ運用チームは、既存のワークフローを変更することなく、アプリケーションおよびAPIセキュリティインシデントを特定し、対応できるようになる。SplunkプラグインはContrastデータへのアクセスを容易にし、既存のセキュリティ運用ワークフローの自然な拡張にする。Wizでは、チームはアプリケーションとインフラストラクチャの完全なセキュリティアーキテクチャをマッピングし、重大な脆弱性を特定し、組織への潜在的な影響を理解できる。

このストーリーは、堅牢なセキュリティエコシステム内にADRを導入することの変革的な影響を強調している。アプリケーションランタイム内にセキュリティを埋め込み、包括的な監視および管理プラットフォームと統合することで、組織はアプリケーション層全体に保護を拡張できる。

ADRの運用化の詳細については、ホワイトペーパー「The Case for ADR」を参照してください。

結論

アプリケーション層はサイバーリスクの主要な発生源である。攻撃者がここを突破できれば、ビジネス全体を混乱させ、機密データを盗むことができる。しかし、現時点では、アプリケーション層は24時間365日のセキュリティ検知と対応の能力からほとんど見えていない。ADRは、アプリケーションを脅威、脆弱性、攻撃から継続的に監視するインサイドアウトアプローチでこのギャップに対処できる。これは、異常をフラグ付けし、SOCが処理するためのアラートをトリガーする。その結果、インシデント対応時間が短縮され、脅威の影響を軽減するのに役立つ。また、脅威の滞留時間も短縮され、全体的なセキュリティ体制が強化される。

Read more:

• ADRホワイトペーパー：アプリケーションにおける検知と対応(ADR)の事例
• Contrast explainer video: Contrast Application Detection and Response (ADR)
• Contrast解説ビデオ：Contrast Security ADR Demo
• Contrastプレスリリース：Contrast Security Application Detection and Response (ADR) Praised by Industry Analysts for Addressing Gap in Cybersecurity Defenses 
• Contrastプレスリリース：Contrast Security Introduces Application Detection and Response (ADR) to Identify and Block Attacks and Zero Days on Applications in Production 
• Contrast用語集：What is ADR?
• Contrastブログ：Contrastが提唱するADR(アプリケーションにおける検知と対応)
• Contrastブログ：Contrast Securityの創設者、Jeff Williamsが本番環境のAppSecの解決策について解説
• Contrastブログ：Contrast ADRでアプリケーションとAPIセキュリティのギャップを埋める5つの方法
• Contrastブログ：ADRの検知層と対応層について理解する
• Contrastブログ：ADRがサイバーセキュリティ界を熱くする理由
• Contrast glossary: What is cross-site scripting?
• Contrast ブログ: 8月の攻撃データ:数字の先を見る
• Contrast ブログ: 攻撃の解剖
• Contrast ブログ: 9月の攻撃データ: 最も厄介な攻撃タイプの1つ、パストラバーサルにスポットライトを当てる
• Contrast blog: Wake up, CISOs: You need an ADR flashlight to see into critical application blindspots