オンプレミスのセキュリティ専門家はクラウドに移行できますか?

クラウドコンピューティングの人気がすべてのユースケースで高まるにつれ、クラウドワークロードは悪意のある攻撃者にとってかつてないほど魅力的になりました。最近のマカフィーのレポートによると、2020年1月以降、クラウドサービスを狙った攻撃が630%増加しています。

セキュリティエキスパートクラウド

ハッカーがクラウドを標的にしている理由はいくつかあります。

クラウド環境は複雑で、さまざまなベンダーの何千もの資産で構成されており、それぞれに異なるデフォルトと承認を設定する方法があります。多くの場合、内部組織とクラウドベンダーの間のセキュリティの境界について混乱があります。

クラウド環境も非常に動的であり、サイバー攻撃を防ぐための新しいアプローチが必要です。オンプレミスのセットアップを防御することは疑わしい通信を検出することですが、クラウドセキュリティは、承認の緩みや設定の誤りのために開かれたドアを閉じることです。

オンプレミス攻撃とクラウド攻撃のさまざまな脅威と防御線の例を次に示します。

オンプレミス:偽の通信の検出

たとえば、フィッシング攻撃から始まる最も一般的なオンプレミスの脅威を考えてみましょう。ユーザーが悪意のあるリンクを誤ってクリックすると、ハッカーのマシンからリバースシェルがダウンロードされて開始されます。ハッカーは、LSASS.exe(ローカルセキュリティ機関サブシステムサービス)をダンプしてNTLMプロトコルをプルし、実際のパスワードを知らなくても認証できるようにすることができます。

次に、攻撃者はスプーフィングされたアドレス解決プロトコル(ARP)メッセージをローカルエリアネットワークに送信して、攻撃者のMACアドレスをデフォルトゲートウェイなどの別のホストのIPアドレスに関連付けることができます。これで、そのIPアドレス宛てのトラフィックは、代わりに攻撃者に送信されます。ここから、ハッカーは中間者(MitM)攻撃を実行して、盗聴するか、一方の当事者になりすまして、正当な情報交換が行われているように見せかけることができます。

取得した情報は、個人情報の盗難、未承認の送金、不正なパスワードの変更など、多くの悪意のある目的に使用される可能性があります。

これらの攻撃から保護するために、企業は通常、オンプレミスのエンドポイント検出および応答(EDR)(別名エンドポイント脅威検出および応答– ETDR)システムを使用して、サイバー攻撃を示唆する通信異常を監視および検出します。

クラウド:設定ミスとデフォルトの権限を制限する

クラウド上でARPスプーフィング攻撃やMan-in-the-Middle脅威の可能性はありません。

クラウドの脅威には、まったく異なる目的と方法があります。たとえば、割り当てられた予算をはるかに超えてリソース使用率を促進し、最終的にアプリケーションのサービス拒否状況を引き起こすことを最終目標として、クラウドベースのアプリケーションとマイクロサービスを標的とするウォレット拒否攻撃を考えてみましょう。

構成の誤りと権限の喪失(多くはベンダーのデフォルト)は、クラウド環境に対する最大の脅威です。クラウド環境は非常に動的であるため、ユーザーまたはチームは、クラウドデータに適切なセキュリティを提供できない設定を簡単に指定できます。異なるクラウドプラットフォーム間での標準化はほとんど、またはまったくありません。DevOpsまたは開発チームの権限が緩んでいて、システムの運用開始後に権限の変更を忘れるなど、多くの場合、間違いは意図的ではありません。

多くの場合、デフォルト設定は寛大すぎて、すぐに調整する必要があります。たとえば、Cloud Foundry Foundationからのユーザーアカウントと認証(UAA)のデフォルト設定のカスタマイズに失敗すると、プラットフォームの乗っ取りにつながる可能性があります。KubernetesのGitOps継続的デリバリーツールであるArgoCDをインターネットに公開すると、攻撃者がクラスター全体を乗っ取る可能性があります。プログラマーがサーバーをプロビジョニングまたは管理せずにコードを実行できるようにするサービスであるAWSLambdaは、ハッカーがクラウドインフラストラクチャにアクセスできるように簡単に誤って構成される可能性があります。

脆弱性の最大の原因は人為的ミスである可能性があるため、クラウドセキュリティでは、リスクを完全に理解した後でのみ承認が構成されていることを確認するために、厳密な教育と検査が必要です。

デジタルトランスフォーメーションは、より多くのデータをクラウドにもたらし、イノベーションのペースを速めながら、新しいレベルの柔軟性を追加します。ただし、同時に、クラウドコンピューティングは新しいセキュリティリスクをもたらしました。異常をチェックするための監視の従来のアプローチだけでは十分ではありません。今日、セキュリティチームは、サイバー攻撃のリスクを軽減するために、デフォルトの緩いアクセス許可とクラウドの設定ミスを防ぐ必要があります。