クラウド検出および対応 (CDR) は進化しています。Illumio Insights が適合する場所は次のとおりです。

クラウド検出および対応 (CDR) は、競合の多いカテゴリです。新しいプラットフォームは、可視性の向上、検出の高速化、対応の簡素化を約束しており、多くのプラットフォームが実際の価値をもたらします。

しかし、環境がクラウド、オンプレミス、コンテナ、ハイブリッド インフラストラクチャに広がるにつれて、検出だけでは不十分であることが判明しています。制御のない可視性では攻撃者を阻止できません。

ほとんどの組織はすでに脅威を迅速に検出しています。本当の問題は、その後に何が起こるかだ。

現代の侵害は、最初の侵入ではなく、横方向の移動によって拡大します。従来の CDR ツールは、チームがこのアクティビティを確認して調査するのに役立ちますが、そのほとんどはリアルタイムで停止するようには構築されていません。

その欠けている層が封じ込めです。

ここで Illumio Insights が役立ちます。これは別の CDR プラットフォームではありません。リアルタイムのトラフィックを分析し、横方向の移動を明らかにし、ネットワーク レベルで制御を実施することで、侵害を封じ込めることに重点を置いています。

この投稿では、CDR が終了する場所と、Illumio Insights が現代のセキュリティ チームに必要な封じ込めレイヤーをどのように追加するかについて説明します。

ほとんどのCDRツールの優れた点とそれが重要な理由

最新の CDR プラットフォームは、クラウド環境を保護するという設計目的に強力です。

ほとんどの CDR ツールは、クラウド プロバイダー API に直接接続することで可視性を獲得します。これにより、仮想マシン、ストレージ バケット、ID、権限、サーバーレス ワークロード、構成設定などのクラウド リソースを明確に把握できるようになります。

この可視性により、次のようないくつかの重要な機能が可能になります。

• 誤った設定や安全でない設定を特定する
• クラウドワークロードの脆弱性の発見と追跡
• 誰が何にアクセスできるかを理解する
• 事件後の歴史鑑識支援

これらの機能は非常に貴重です。ストレージ バケットがインターネットに公開されている場合、またはワークロードが過度に広範な権限で実行されている場合、CDR ツールが問題を見つけて修正する最も速い方法となることがよくあります。

そのため、多くのセキュリティ チームは、クラウド セキュリティ スタックの中核としてこれらに依存しています。しかし、これらの同じ強みは、CDR プラットフォームが自然に停止する場所も明らかにします。

従来のCDRプラットフォームが限界に達した場所

ほとんどの CDR ツールは、設計上クラウド中心になっています。可視性はクラウド コントロール プレーンと API に固定されています。

これにより、3 つの実際的な制限が生じます。

1. クラウドのみの可視性

CDR プラットフォームは通常、オンプレミス環境やハイブリッド環境に完全に拡張されません。

その結果、チームはクラウド検出とその他すべてに別々のツールを管理することになり、複雑さが軽減されるどころか増大してしまいます。

2. 移動ではなく宿主に焦点を当てた封じ込め

CDR ツールがアクションを実行する場合、多くの場合、ホストベースのエージェントを介して実行されます。これは、攻撃者がシステムや環境間を移動する方法を制御するのではなく、特定のワークロード上のマルウェアを阻止することを意味します。

マルウェアを阻止することは有用です。横方向の動きを止めることで、攻撃の爆発半径を制限します。

3. 過去を振り返る検出

多くの CDR ツールは、主に履歴分析のためにフロー ログを取り込みま す。これは事後調査やフォレンジックには効果的だが、攻撃を事前にブロックするのにはあまり役に立たない。  

チームは、多くの場合、プレッシャーと限られた状況下で、事後に何が起こったかを再構築することになります。

これは必ずしも CDR ツールの障害ではありません。それは単に、そのように設計されたものではないのです。

Illumio InsightsのCDRへのアプローチ

Illumio Insights は異なる前提から始まります。侵入が失敗するのは、チームに警告がないからではなく、攻撃者が横方向に移動できるためです。

Insights は、クラウド オブジェクトやエンドポイントの動作に焦点を当てるのではなく、環境全体のリアルタイム ネットワーク トラフィックと関係に焦点を当てています。

過去の推測ではなくリアルタイム検出

Insights は、発生したトラフィック フローをリアルタイムで分析し、危険な通信パターンと横方向の移動をリアルタイムで特定します。事前に何を探すべきかを知ったり、事後に出来事を再現したりする必要はありません。

それは、侵入後に防犯カメラの映像を確認するのと、事件がリアルタイムで発生している間にドアを監視するのとの違いです。

Insights Agentで検出結果を行動に変える

検出は、チームが対応できる場合にのみ重要です。それを可能にするのがInsights Agentです。

Insights Agent は、Illumio Insights 内の AI を活用したガイドであり、悪意のあるアクティビティをリアルタイムで識別します。ノイズを排除し、脅威に優先順位を付け、調査結果を MITRE ATT&CK フレームワークにマッピングして明確なコンテキストを提供します。

ペルソナベースの分析情報、重大度に基づいた推奨事項、ワンクリックのアクションにより、チームは迅速に対応できます。

Insights Agent はIllumio Segmentationと統合されており、危険な通信パスを分離し、ネットワーク レベルで横方向の移動を阻止することで、検出を即時の封じ込めに変えます。

その結果、対応が速くなり、手作業の労力が減り、封じ込めへの道筋がより明確になります。

エージェントレス設計

Insights では、価値を提供するためにエンドポイント エージェントは必要ありません。クラウド、オンプレミス、ハイブリッド環境からフロー データを取り込んで、システムが実際にどのように通信しているかをライブで把握します。

これにより、導入や拡張が容易になり、環境間での一貫性が大幅に向上します。

環境をまたがるネットワークレベルの封じ込め

Insights が悪意のあるアクティビティや危険なアクティビティを検出すると、その情報を直ちに Illumio Segmentation に提供します。これにより、クラウド、エンドポイント、コンテナ、オンプレミス システム間での横方向の移動を阻止するネットワーク レベルの制御が強化されます。

ほとんどの CDR プラットフォームでは、完全に別のセグメンテーション製品を統合しなければ、これを実行できません。Illumio では、同じプラットフォームに組み込まれています。

これは、検出機能と業界をリードする封じ込め機能を 1 つのシステムに統合することを意味します。

封じ込めは現代のサイバーセキュリティに欠けている層である

従来の CDR プラットフォームは、チームがセキュリティ リスクを理解し、インシデントを調査するのに役立ちます。エージェントを使用して個々のホスト上のマルウェアを阻止できるものもあります。しかし、そのほとんどは、環境内でのトラフィックの移動には影響しません。

この可視性のギャップにより、侵害が拡大します。

Illumio Insights は、ネットワーク レベルでの侵害の封じ込めに重点を置くことでこの問題に対処します。個々のマシンではなく、通信パスとそれらの接続が存在するかどうかを調べます。

Insights はトラフィックをリアルタイムで分析し、Illumio Segmentation と直接統合します。これにより、検出が直ちに強制制御となり、クラウド、オンプレミス、ハイブリッド環境間での横方向の移動をブロックできるようになります。

その結果、侵害は拡大する前に封じ込められることになります。

これは、検出のみの戦略では見逃されるものです。検出によりリスクが明らかになり、封じ込めにより影響が制限されます。

CDRをより明確に考える方法

クラウド検出および対応の将来は、すべてを実行する 1 つのツールではありません。適切な機能が連携して機能します。

CDR プラットフォームは強力なクラウド可視性を提供し、チームがリスクを評価してインシデントを調査するのに役立ちます。

Illumio Insights はリアルタイムで影響を制限します。

Insights は、ライブ トラフィックに焦点を当て、検出を組み込みのネットワーク セグメンテーションと組み合わせることで、環境間での横方向の移動を阻止するための即時のアクションを可能にします。

可視性は期待されますが、封じ込めこそが結果を変えるのです。

Illumio Insights は、現代のセキュリティ チームに必要な封じ込めレイヤーを追加することで、検出および対応戦略を完成させます。

Illumio Insightsを無料でお試しください 今日からリアルタイムで侵害を封じ込める作業を開始しましょう。