アイデンティティ脅威検知と対応(ITDR) は、侵害されたユーザーアカウント、漏洩したパスワード、データ侵害、不正行為など潜在的なIDベースの脅威を特定し、低減し、対応するためのセキュリティ手順です。これらのIDベースの攻撃は、組織のセキュリティに深刻な脅威となります。
この記事では、ITDR、ITDRが対処するセキュリティの課題、そしてITDRがデバイスベースのセキュリティソリューションであるエンドポイントでの検知と対応(EDR)を比較する方法について説明します。
ITDRが対処するセキュリティの課題について
現代のIDベースの攻撃は、組織にとって深刻な脅威となります。それは多くの場合、財務的、法的、レピュテーションの損失につながります。これらの課題に対処することは、非常に困難です。
現代の攻撃はより高速化し、より高度になっている
悪意のあるアクターは、技術の進化に対応するために、攻撃のレパートリーを増やしています。IDベース攻撃の平均速度、割合、攻撃ベクトルの数は増加しており、多くの組織が準備不足に陥り、脆弱になっています。CrowdStrike 2024年版グローバル脅威レポートでは、次のようにまとめられてます。
- 10件の攻撃のうち約8件は、盗まれたまたは侵害された認証情報が関連しています。盗まれた認証情報を使用して、攻撃者はシステムをラテラルムーブメントすることで長期にわたり検知されない状態を保つことができます。
- 攻撃の25%は、管理対象外のホスト(請負業者のノートパソコン、不正なシステム、レガシーのアプリケーション/プロトコル、または組織の管理対象外のサプライチェーンの部分)から標準のセキュリティ対策をバイパスします。
- サイバー犯罪の平均侵入時間は、わずか84分間です。ただし、適切な検知ツールのない組織が、IDベースの侵害を検知するには最大で250日間かかる可能性があります。
- インサイダー攻撃は、グローバル企業の約34%に影響を与えています。これらの攻撃は、組織の範囲内を流れるトラフィックがセキュリティポリシーや対策の主要な焦点ではないため、検出することが困難です。
より複雑になっている環境とIDの状況
また、リモートワークとクラウド技術が組み合わされることで、攻撃対象領域管理が大幅に複雑になっています。
- マルチクラウドアーキテクチャと複数のIDストアの複雑さにより、サイバー攻撃の検知と防御はより困難になり、エンドツーエンドの可視化が低下しています。
- 組織の90%が、いまだに攻撃に対して脆弱なレガシー技術であるActive Directory (AD)を使用して、IDインフラストラクチャを管理しています。攻撃者はオンプレミスからクラウドインフラストラクチャにラテラルムーブメントできるため、ADは攻撃可能な標的になります。
- 複雑な環境により、定期的なユーザーの監査を実行したり、IDストアの潜在的なギャップを特定したりすることが困難になります。
これにより、クラウド環境の可視性が低い組織は、非常に脆弱になります。
ITDRソリューションはユーザーアクティビティを継続的に監視し、異常な振る舞いを検知し、セキュリティチームに警告することで攻撃を検知し、それらに対応します。ITDRソリューションは、すべての割り当てられたユーザーIDや権限を一元的に可視化して制御できます。また、既存のIDおよびアクセス管理(IAM)ツールと統合することで、常に進化する環境での複雑なユーザー管理を合理化し簡素化できます。
ITDRとEDR
ITDRとEDRは、ともにサイバー攻撃の検知と防御に価値をもたらすソリューションです。ただし、これらのソリューションは主に注力するポイントが異なります。
ITDRはユーザーアクティビティとアクセス管理ログを監視して分析し、悪意のあるアクティビティにフラグを付けます。オンプレミスやクラウドなど複数のIAMソースからデータを収集します。一方、EDRはワークステーションやノートパソコンなどのエンドポイントデバイスを監視して分析します。このため、手順ではシステムログとネットワークトラフィックを収集して、組織の装置内で悪意あるアクティビティを検知します。
ITDRとEDRは互いに補完することで、インシデント分析時に貴重なインサイトを提供します。攻撃者がエンドポイントデバイスを介してネットワークにアクセスするシナリオでは、EDRソリューションはそのデバイスで疑わしいアクティビティを検知することになります。これにより、攻撃者がアクセス権を入手した方法と、その入手先が認証情報の漏洩によるものかどうかを理解することが重要です。
一方、ITDRソリューションは、潜在的なID関連の脅威に関する詳細なインサイトを提供します。ITDRは悪意のあるアクティビティで使用された認証情報と認定ユーザーの認証情報の一致をすばやく判断できます。この可視性のレベルは、攻撃の根本原因を明らかにし、セキュリティ対策を強化して、将来同様のインシデントの発生を防止する機会を提供します。
ITDRとEDRの機能を組み合わせることで、組織は高度な侵害やラテラルムーブメントの試行の検知や対応を大幅に向上させることができます。
ITDRソリューションの必須項目
Gartner® Report: Top Trends in CyberSecurity 2022では、ITDRをセキュリティ/リスク管理のトップトレンドとして特定しており、常に進化し続けるIDベース攻撃を取り巻く懸念事項について強調しています。このため、このような攻撃を検知して防御したい組織は、そのニーズに適合したソリューションが必要です。
この点を考慮し、ITDRソリューションに関する3つの要素を見ていきましょう。
1. 継続的な可視性
IDベースの脅威を検知するには、可視性と視覚化は不可欠です。このため、ITDRソリューションは複数のソースからデータを常時集約し、脅威分析を実行します。
潜在的なセキュリティの脅威を特定するには、このアクションでは次の組み合わせを利用する必要があります。
- ID分析
- 機械学習
- 振る舞い分析技術
- 異常検知
潜在的な脅威を特定する場合、ダッシュボードからの迅速な分析も重要な役割を担います。
2. プロアクティな制御
IDベースの脅威は急速にエスカレートします。ITDRシステムは影響を受けたユーザーアカウントへのアクセスをブロックし、セキュリティ担当者に警告し、調査を開始する自動応答をトリガーできる必要があります。
3. リスクベースの制御
セキュリティソリューションで生成されたすべてのアラートが利用できるとは限りません。アラート対応疲れは、同様のアラートのバックログで遅延や脅威の喪失につながる可能性のある重大な結果をもたらします。
ITDRソリューションは、誤検知を認識し、特定の攻撃に関連付けられたリスクに従って優先順位を付ける必要があります。また、インフラストラクチャを定期的に攻撃する攻撃タイプを認識し、そのタイプに応じて脅威レベルを分類する必要もあります。
クラウドストライクのアプローチ
CrowdStrike Falcon® Platformプラットフォームは、単一の脅威インターフェースとして機能し、エンドポイントとID全体にわたり脅威の包括的なビューを提供します。この統合されたアプローチは、エンドポイントとID全体にスタンドアロンツールでは提供されないリアルタイムで自動化されたポリシーベースの応答を調整します。エンドポイントとIDテレメトリを統合することで、プラットフォームは脅威インテリジェンスと攻撃者の手口の組み合わせと脅威のリアルタイムの相関関係を提供します。
攻撃経路を完全に可視化することで、CrowdStrikeは、マルウェアの配信、ファイルレス攻撃、認証情報の盗難、侵害されたIDなど攻撃者ツールキットのあらゆる側面に対応します。
クラウドストライクは、お客さまの環境の任意の場所に展開できる単一センサーを備えたクラウドネイティブソリューションを作成しており、テレメトリ収集を大幅に簡素化できます(エンドポイントからIDまで)。クラウドストライクは、ITDRCloud Infrastructure Entitlement Management(CIEM)を組み合わせて、クラウド環境全体に一元的な可視性と制御を提供することでIDファブリックを保護することもできます。