Sysdig、エンドツーエンドの検知&レスポンス機能を備えたCNAPPを提供開始

6/7/2023 - 米国カリフォルニア州サンフランシスコ発 - ランタイム・インサイトを活用したクラウドセキュリティのリーダーであるSysdig（シスディグ）は、本日、同社のCNAPPに組み込まれたエンドツーエンドの検知とレスポンス機能を発表しました。同社は、エージェントとエージェントレスの両方の展開モデルでオープンソースのFalcoのパワーを活用し、クラウド検知・レスポンス（CDR）とCloud-Native Application Protection Platforms（CNAPP）の統合を実現する最初のベンダーとなります。＜このプレスリリースは6/7/2023に米国で発表されたリリースの抄訳です。＞　企業は、クラウド環境を構築する際に、確認されていない潜在的に脆弱なアプリケーション、サービス、IDが何百も存在するクラウドスプロールに直面することになります。ほとんどのクラウドセキュリティツールは、疑わしい動作を特定するのに時間がかかり、一度警告を受けた組織は、スナップショットを調べながら、何が起こったのかを断片的にまとめようと、何日も、あるいは何時間も費やすことになります。これは、悪質な侵入者にとっては数時間から数日かけて最大限のダメージを与えることができる最高のシナリオであり、一方、企業や組織は何が起こったのかを知ることができないかもしれません。

CNAPPにCDR(Cloud Detection & Response: クラウド検知＆レスポンス）を組み入れる

クラウドを活用する 企業や組織は、環境全体の状況を即座に、かつ継続的に把握できるCNAPPを必要としています。本日の発表で、SysdigはCDRとCNAPPを統合し、アプリケーションのライフサイクル全体を理解し、アプリケーションを中心に置き、その周りにセキュリティツールを統合する単一のプラットフォームを提供します。Sysdigは、ランタイムインサイト（本番環境で使用されているものに関する知識）を使用して、ソフトウェアのライフサイクル全体にわたって、より良い情報に基づいた意思決定を行うことができます。

エンドツーエンドの脅威検知で侵害を即座に阻止する

• Falcoをベースとしたエージェントレスクラウド検知： Sysdigが開発したFalcoは、クラウド脅威検知のためのオープンソースソリューションとして広く採用されており、現在はCloud Native Computing Foundation（CNCF)の管理下に置かれています。これまで、SysdigでFalcoの能力を活用するためには、企業はFalcoを自社のインフラに導入する必要がありました。本日のリリースにより、クラウド、アイデンティティ、ソフトウェアサプライチェーン、その他のソースにまたがる脅威を検知するために使用されるクラウドログを処理する際に、お客様はFalcoにエージェントレスでアクセスできます。
• アイデンティティの脅威の検知： Sysdig Oktaの新しい検知機能により、セキュリティチームは、スパミングやアカウント乗っ取りによる多要素認証疲労攻撃など、アイデンティティ攻撃から保護することができます。Sysdigは、Oktaのイベントをリアルタイムのクラウドやコンテナのアクティビティと連携させることで、ユーザーから影響に至るまでの攻撃全体を詳細に把握します。
• ソフトウェアサプライチェーンの検知： Sysdig の新しい GitHub 検知機能により、脅威の検知をソフトウェアのサプライチェーンに拡張できます。開発者とセキュリティチームは、シークレットがリポジトリにプッシュされた時などの重要なイベントについて、リアルタイムで警告を受けることができます。
• 強化されたドリフトコントロール： 元のコンテナに含まれていない実行ファイルを動的にブロックすることで、一般的なランタイム攻撃を防止します。

クラウドの調査とインシデントレスポンスをリアルタイムで加速する

• ライブマッピング： Sysdigは、エンドポイントにおける検知と対応（EDR）のようなアプローチで、侵害が発生したときに関連するすべてのリアルタイムイベントを1つのビューに集約します。 Kubernetes Liveを使用すると、ライブのインフラストラクチャとワークロード、およびそれらの関係を動的に確認し、インシデント対応を迅速化することができます。
• 攻撃経路をコンテキスト付きで表示： Sysdig Process Treeは、ユーザーからプロセスまでの攻撃経路を明らかにすることで、脅威の迅速な特定と撲滅を可能にします。プロセス経路には、コンテナとホスト情報、悪意のあるユーザーの詳細、影響などが含まれます。
• 脅威ダッシュボードをキュレーション： ダッシュボードは、重要なセキュリティ問題を集中的に表示し、クラウド、コンテナ、Kubernetes、ホストにまたがるイベントにスポットライトを当てて、リアルタイムで脅威の優先順位付けを可能にします。また、Sysdigは、クラウドネイティブ環境のMITRE ATT&CK®️*フレームワークに対する動的マッピングを提供し、セキュリティチームは、任意の瞬間に何が起こっているかを正確に把握することができます。

注記：MITRE ATT&CK®は、実世界のオブザーバビリティに基づいた敵の戦術や技術に関するグローバルにアクセス可能な知識ベース（https://attack.mitre.org/）【 Kubernetes Live 参考画面（Kubernetesのランタイムセキュリティを一元管理できる）】図１：脅威ダッシュボード①：重要なセキュリティ問題を一元的に把握

• 上部の数値はGCPやHost、Kubernetesで監視している数
• Events by Severityは一定の時間毎に検知したイベントの数をグラフ化（赤が重要度高でオレンジは重要度中）
• Top Policiesでは各ポリシーに沿って検知した数
• TopRulesでは個々のルールに沿って検知した数

図２：脅威ダッシュボード②：MITRE ATT&CK®️フレームワークに対する動的マッピング

• MITRE ATT&CKの各戦術別に攻撃者が使った技術の数　　⚪️ 色分けされている（ブルーが薄い方が数が多い）　　⚪️ 図１のTop Rulesにある個々のルールがMITRE ATT&CK®️の戦術や技術にタグ付けされており、この図で視覚化されている

Sysdigユーザーの声

NoteableのCEOであるPierre Brunelleは、次のように述べています。「製品の性質上、Noteableはクリプトジャッキング攻撃のターゲットになっています。Sysdigは、クラウドの検知と対応に最も優れています。Sysdigは、異常な活動をリアルタイムで検知し、適切なコンテキストを表示するための複数の防御層を備えた完全なプラットフォームを提供する唯一のベンダーであり、考えられる影響を理解して迅速に対応できるようにします。」

「クラウドでは、すべてが迅速に行われます。攻撃を阻止するためには、時間が重要です。侵害は非常に大きな損害になりかねません。Sysdigは、何が起きているのか、クラウド内の正確なコンテナや場所、何が原因なのかを知ることで、クラウド攻撃をクラウド速度で迅速に検知し、対応することを可能にします。」

参考資料

ブログ記事

• Sysdig CDRでクラウド侵害をリアルタイムに阻止し、調査・対応を加速させる
• エージェントベースとエージェントレスの両方を活用： End-to-end の検知で疑わしい振る舞いを防止する