クラウドホスティングの可能性を理解しているのは、企業のITリーダーだけではありません。クラウドホスティングは、正規の企業に稼働時間とスケーラビリティの向上という潜在的なメリットを提供するだけでなく、サイバー犯罪者にも同じ機能を提供するため、企業が対処しなければならない脅威の状況が増大する可能性もあります。
攻撃者は、検知を回避するためにアンダーグラウンドホスティングサービスを使用することがよくありますが、自らのニーズを満たすために正規のクラウドホスティングサービスに目を向けることは珍しくありません。サイバー犯罪者は、無料または侵害されたホスティングアカウントを使用してマルウェアをホストし、ホスティングプロバイダーの評判を隠れ蓑として、悪意のあるアクティビティのブロックをより困難にすることがありえます。
一般的なクラウド攻撃ベクトル
脅威アクターがクラウドシステムを標的とした場合に使用する攻撃方法の例をいくつか示します。
分散型サービス拒否 (DDoS)
DDoS攻撃は、処理できないほどのトラフィックをターゲットに送り込み、その運用を妨害します。
ライブマイグレーションのエクスプロイト
ライブマイグレーションは、さまざまな手段で侵害される可能性があります。移行されるシステムを攻撃に対して脆弱なままにする変更が行われたり、DoS攻撃を開始するために複数の偽の移行が作成されたりする可能性があります。
ハイパーバイザーのサービス拒否 (DoS)
このタイプのDoS攻撃は、ハイパーバイザーを標的としています。攻撃が成功すると、ホストが実行しているすべての仮想マシン (VM) が影響を受ける可能性があります。
ハイパーコール攻撃
ハイパーコール攻撃により、脅威アクターはハイパーコールハンドラーを介して仮想マシンを標的にすることができ、仮想マシンマネージャーの権限で悪意のあるコードが実行される可能性があります。
ハイパージャッキング
これらの攻撃は、ハイパーバイザーの制御を目的としています。この攻撃が成功した場合、脅威アクターはVMに変更を加えて、他の悪意のあるアクションを実行できます。これらのセキュリティの脅威は、組織が防御しなければならない困難な脅威の状況を作り出す元となってしまいます。攻撃者にとっては、監視の目から逃れることが重要な優先事項となっています。
これらの攻撃に加えて、脅威アクターは、クラウド環境を標的とするLinuxマルウェア(特にランサムウェア)を多く使用するようになっています。
マルウェアホスティングの仕組み
これらのセキュリティの脅威は、組織が防御しなければならない困難な脅威の状況を作り出す元となってしまいます。攻撃者にとっては、監視から逃れることが最優先事項となっています。この2つのサイバー犯罪 (eCrime) と標的型侵入攻撃者はどちらも、正規のクラウドサービスを大規模に活用してマルウェアを配信します。標的型アクターは、これらのサービスをCommand and Control (C2) にも使用します。
この戦術には、シグネチャベースの検知を回避できるという利点があります。クラウドホスティングサービスのトップレベルドメインは通常、多くのネットワークスキャンサービスによって信頼されているためです。チャットアプリケーションを含め、正当なクラウドサービスを使用することで、攻撃者は通常のネットワークトラフィックに溶け込み、一部のセキュリティコントロールを回避できます。さらに、C2にクラウドホスティングプロバイダーを使用することで、攻撃者は、関連するC2のURLからペイロードを簡単に切り替えたり、削除したりすることができるようになります。
マルウェアホスティングから環境を保護する方法
従業員を教育およびトレーニングする
セキュリティ意識向上トレーニングにより、従業員はソーシャルエンジニアリングの戦術を特定できます。これに加え、セキュリティチームは、クラウドテクノロジーと、侵害につながる可能性のある脆弱性、リスク、脅威を理解する必要があります。
アクセスコントロールを強化する
クラウドリソースへのアクセスを保護するには、クラウド環境全体を可視化する必要があります。組織は、クラウドプラットフォームにネイティブなアイデンティティ/アクセス管理 (IAM) サービスを使用して、クラウドリソースへのロールベースのきめ細かなアクセスコントロールを実装する必要があります。
ユーザーやネットワークのセグメンテーションを実践してウイルスの拡散を制御する
さまざまな仮想ネットワーク間のクラウドワークロードに対する基本的なセグメンテーションから開始し、それらの間で必要な通信のみを許可する必要があります。さらに、ネットワークレイヤーまたはアプリケーションレイヤーのファイアウォールを使用して、アプリケーションへの受信トラフィックを制限する必要があります。
クラウドネイティブなアプリケーション保護プラットフォーム (CNAPP) 機能を実装して検出と対応を行う
CNAPPは、潜在的なクラウドセキュリティの脅威と脆弱性のモニタリング、検出、対処を簡素化する、オールインワンのクラウドネイティブソフトウェアプラットフォームです。CNAPPは、複数のツールと機能を単一のソフトウェアソリューションに統合し、複雑さを最小限に抑え、DevOpsおよびDevSecOpsチームの運用を容易にします。同時に、継続的インテグレーションと継続的デリバリー/展開 (CI/CD) アプリケーションのライフサイクル全体を通じてエンドツーエンドのクラウドとアプリケーションのセキュリティを提供します。
CrowdStrike Falcon®プラットフォームは、コンテナを保護する強力なCNAPP機能を提供し、開発者がクラウドの脆弱性を迅速に特定して修正できるよう支援します。
クラウド脅威ハンティングを活用する
脅威ハンティングとは、ネットワーク内で検知されずに潜んでいるサイバー脅威を積極的に検索する手法です。クラウド脅威ハンティングは、環境内を綿密に調べ上げて、クラウドセキュリティの初期防御をすり抜けた悪意のあるアクターを見つけます。