アプリケーションの攻撃経路マッピング

Contrast Securityの2023 サイバー銀行犯罪レポートによると、ロシア、北朝鮮、中国のハッカーやサイバー犯罪組織が、複雑化する攻撃対象領域を巧みに利用し、その複雑さの背後に隠れてAPI(アプリケーション・プログラミング・インターフェイス)を乗っ取り、顧客に対して攻撃を仕掛けている。

このレポートによれば、金融機関の50%がAPI に対する攻撃を経験している。攻撃者は、脆弱性に悩まされているアプリケーションやAPIを好んで悪用する。そこから、データにアクセスするためにくぐり抜ける穴を開けることができるのだ。APIはアイランドホップ攻撃にも使われる可能性がある。アイランドホップとは、攻撃者が企業のデジタルトランスフォーメーションを乗っ取り、それを利用して顧客やパートナーに対して攻撃を開始する際に発生するものだ。この脅威を防ぐためには、オブザーバビリティが必要だ。

今、攻撃を受けているかどうか観察(observe)できているか？

ほとんどのCISO(最高情報セキュリティ責任者)は、自分達のアプリケーションやAPIが攻撃を受けていることに気づいていない。それどころか、ほとんどのCISOはが自分達がすでに攻撃されているかどうかすら知らない可能性がある。そのため、企業やその顧客、サプライヤー、パートナーなどを狙うハッカーによってブランドが悪用される危険にさらされることになる。

現実には、攻撃者は主にアプリケーションやAPIを経由してシステムに侵入する。攻撃がシステムに留まり、侵入が主に横に拡大するのは、XDR(Extended Detection and Response)プラットフォームではアプリケーション層の可視化が提供されていないためだ。盲点となっているのは、オブザーバビリティであり、アプリケーションが脆弱であるかどうか、あるいは汚染されてサプライチェーン攻撃に利用される過程にあるかどうかを観測できるかということだ。率直に、防御する側が水面下を見ることがないのだ。だからこそ、アプリケーションの動的な攻撃経路のマッピングが重要だ。

ほとんどではないにしても、多くのセキュリティエンジニアは、アプリにある弱点を認識できず、複雑に絡み合ったアプリの接続を描くこともできない。アプリが通過する濁流の中にある脅威を察知する能力もない。実際、2022年のクラウドネイティブセキュリティレポートによると、97%の企業がクラウドベースのアプリケーションでオブザバビリティの課題に直面している。他の問題にも、次のような課題がある。

• マイクロサービス間の相互作用についての可視性が不十分である
• 重大な脆弱性に関するコンテキストを知らない(例えば、「そのライブラリはインストールされているのか？」など)
• 影響を受けるデータストアが分からない
• 脅威モデルが正しいかどうかも分からない
• 取るべき行動を明確にする洞察がない
• セキュリティ担当が利用できる特定のシステムやアプリケーションに関する詳細な知識を調べている
• 開発者がセキュリティを重視する視点に欠けている

Contrastの新機能「セキュリティオブザーバビリティ」で水面下を覗くことが可能に

だからこそ、Contrastが最も重要なアプリケーションとAPIに対する可視性を向上させる新しいセキュリティオブザーバビリティをプレビューできたので、嬉しく思っている。

ランタイム アプリケーション・セキュリティオブザーバビリティによって、アプリケーションがどのように動作するかを示すデジタルセキュリティの青写真を得ることができる。これには、攻撃対象領域だけでなく、各ルートがどのようにセキュリティメカニズムを呼び出し、危険なテクノロジを使用し、バックエンド接続を行うかなどが含まれる。

8 月のBlack Hatでデモしたように、Contrastのセキュリティオブザーバビリティは、アプリケーションがどのように悪用や誤用されているかを正確に示すアプリケーションの攻撃経路をマッピングし、次のような疑問に答えることができる。

• アプリケーションで使用されているサービスは？
• アプリケーションで呼び出されるAPIは？
• アプリケーションでアクセスされるファイルは？
• アプリケーションで接続されるデータベースは？
• アプリケーションで行われているバックエンド接続は？
• アプリケーションは現在攻撃されているか？
• アプリケーションがどのように汚染または乗っ取られて、会社やサービス対象のインフラが攻撃されたのか？ 

この常時稼働の攻撃経路マッピング機能は、セキュリティオブザーバビリティの初期リリースですぐに利用できるようになり、最初は内部のみのマイクロサービスの限定的なマッピングでの利用となる。024年初めの1月か2月に予定されている正式リリースで、完全な攻撃経路マッピングとなるだろう。これがリリースされれば、継続的な監視や実際のアプリケーションの動作に基づく深い洞察が可能になる。攻撃対象領域、セキュリティメカニズム、危険な手法、バックエンド接続など、アプリケーションの動作に関するセキュリティの青写真が作成されることで、セキュリティ担当は実際の情報を得ることができる。

この機能により、セキュリティ担当はアプリケーションセキュリティ(AppSec)のオブザーバビリティを強化できる。そして、アプリケーションのアーキテクチャとソフトウェア構成に対する正確なランタイム洞察を活用して、セキュリティアセスメントを変革できる。この可視性は、脅威ハンター、ペンテスター、CISO、インシデント対応者にとって最も重要だ。アプリケーションがいつ汚染されるのか、すでに汚染されているのか、あるいはユーザに対して使用されているかどうかが可視化されるようになると、状況認識が最も重要となる。

Contrastのセキュリティオブザーバビリティには、次のような独自の機能がある：

1. 脅威の早期検出：オブザーバビリティにより企業はデジタルインフラをリアルタイムで監視できる。つまり、異常な動作や潜在的な脅威が発生した際や重大な侵害に発展する前に、それらを発見することができる。サイバー攻撃の影響を軽減するには早期発見が重要だ。
2. インシデント対応：セキュリティインシデントが発生した場合、オブザーバビリティによってインシデント対応に必要となる貴重なデータが得られる。 これは、セキュリティ担当が攻撃の性質と範囲を迅速に理解するのに役立つし、攻撃の阻止と攻撃からの復旧に不可欠なものだ。このデータは、攻撃ベクトルの分析、脆弱性の理解、セキュリティ対策の改善に利用できる。セキュリティ担当は、攻撃のタイムラインを再構築できる。攻撃者の侵入ポイントを特定し、使用された攻撃手口(TTPs= 戦術、技術、手順)を理解できる。
3. 異常検出：EDRおよびXDRプラットフォームは、データを分析し、セキュリティ侵害を示す可能性のある異常なパターンや動作を特定できる。ネットワークトラフィック、ユーザアクティビティ、システムログを継続的に監視することで、企業は不審なアクティビティに対するアラートを設定しプロアクティブに対応できる。Contrastのオブザーバビリティからのテレメトリによって、XDRプラットフォームが強化され、MDR企業はアプリケーション内で攻撃者の侵入拡大の動きを把握できる。オブザーバビリティで、アプリケーション全体にわたるユーザやエンティティの異常な動作に対する状況認識が強化される。
4. コンプライアンス要件への対応：多くの業界や企業が、強力なサイバーセキュリティ対策と報告を義務付ける規制要件の対象となっている。サイバーセキュリティのオブザーバビリティによって、セキュリティ関連イベントの詳細なログと記録が得られるため、こうしたコンプライアンス要件を満たすのに役立つ。
5. セキュリティ体制の向上：システムとネットワークを継続的に監視することで、企業は自社の脆弱性や弱点について把握することができる。この情報は、セキュリティ投資に関する十分な情報に基づいた意思決定や、全体的なセキュリティ体制強化の取り組みに優先順位を付けるために使用できる。
6. 脅威インテリジェンス：オブザーバビリティを脅威インテリジェンスからの情報と組み合わせることで、潜在的な脅威に関するコンテキストを得ることができる。これにより、企業はより広範な脅威の状況を理解し、その状況に応じてセキュリティ戦略を適応させることができる。
7. 継続的な改善：サイバーセキュリティは継続的なプロセスだ。オブザーバビリティによって、企業は過去のインシデントから学び、それに応じて防御に対応できる。過去のデータを分析することで、傾向や新たな脅威を特定し、サイバー犯罪者の先を行くことができる。
8. 滞留時間の短縮：オブザーバビリティによって、脅威を迅速に特定して対応し、滞留時間(脅威を与える第三者がネットワーク内で検知されずにいる期間)を短縮し、サイバー攻撃による潜在的な被害を最小限に抑えることができる。
9. アプリケーションとAPIのインベントリとサーバーマップ：オブザーバビリティによって、多層防御の正確なインベントリという価値がもたらされ、Log4Shellなどの高リスクのソフトウェアサプライ チェーンのセキュリティインシデントに対処する部門や担当をサポートできる。
10. 動的なランタイムSBOM：ソフトウェア部品表(SBOM)はいつでもどこでも作成でき、リアルタイムの変更を組み込んで、ソフトウェアインベントリを常に正確に把握できる。

Contrastの新しいセキュリティオブザーバビリティによって、進化するサイバー脅威の中で、脅威からの保護に必要な可視性と洞察を得ることができる。 2023年、アプリケーションの動作の異常を把握することを最優先すべきだ。今まさに、Contrastのセキュリティオブザーバビリティを使えば、水面下に潜んでいるものを「観察(observe)」できるようになったのだ。

セキュリティオブザーバビリティでアプリケーションセキュリティを強化する方法については、こちらをクリック。

Related:

• Podcast writeup: Learn about the hidden dangers of traditional AppSec tools and why Runtime Security is replacing them (blog)
• Report: Cyber Bank Heists: Threats to the financial sector (PDF)
• Brand protection in an era of island hopping (blog)
• Your WAF doesn't have your back (blog)
• Financial cybercrime trends: Reverse BEC & ‘shoxing’ (blog)