チェックポイントリサーチによる2022年のクラウドベースのネットワーク攻撃に関する記事の抄訳です。
オリジナル英語版は、こちらを参照ください。
2022年のクラウドベースのネットワーク攻撃は、2021年比で48%増加
ハイライト
- チェック・ポイント・リサーチ(CPR)がクラウドベースのネットワークを調査した結果、1組織あたりの攻撃回数が2021年と比較して2022年には48%という大幅な伸びを記録していることが判明しました。
- クラウドベースのネットワークに対する攻撃(特に脆弱性攻撃)の試みでは、新しいCVEがより多く使用されていることが確認されました。
- 主要なCVEは、オンプレミスと比較して、クラウドベースのネットワークに高い影響を及ぼしています。
- CPRは、堅牢なクラウドセキュリティの最も重要な7つの柱に注意を促しています。
Cloudの上はいつも平和とは限らない
チェック・ポイント・リサーチ(CPR)は、過去数年にわたり、クラウドを取り巻く脅威の進化と、企業環境におけるクラウド・インフラ導入の絶え間ない増加を追跡調査しています。グローバル企業の98%はクラウドベースのサービスを利用しており、そのうち約76%は、2社以上のクラウド・プロバイダーのサービスを利用するマルチクラウド環境を構築しています。
近年、クラウドの導入が急速に進んでいますが、COVID-19はこの流れを加速させました。リモートワークの常態化に伴い、企業はオフサイトの従業員をサポートし、重要なサービスを提供できるようにする必要がありました。クラウドへの移行に伴い、クラウドセキュリティの必要性が高まっています。テクノロジーの進化に伴い、クラウドに対する攻撃も増加しています。
クラウドベースのアプリケーションは攻撃から保護され、クラウドでホストされるデータは適用される規制に従って不正アクセスから保護されなければいけません。2022年、この保護がいかに重要になるかを示す重要な例がありました。タイで最も大規模なモバイルネットワークであるAISが、誤って80億件のインターネット記録のデータベースを流出させ、これまでで最も高額な侵害の1つにつながり、解決までに580億ドルの費用がかかりました。
11月、FBIとCISAは共同勧告の中で、イランに支援された無名の脅威グループが連邦民間行政機関(FCEB)の組織をハッキングし、暗号解読マルウェアXMRigを展開させたことを明らかにしました。 この攻撃者は、Log4Shell(CVE-2021-44228)のリモートコード実行の脆弱性を狙ったエクスプロイトを使用して、パッチが適用されていないVMware Horizonサーバーに侵入し、連邦政府のネットワークに侵入したのです。
クラウド型ネットワークに対する攻撃件数の増加
過去2年間のクラウドベースのネットワークの状況を見ると、2021年と比較して、2022年には1組織あたりの攻撃回数が48%という大幅な伸びを記録しています。組織あたりの攻撃回数の伸びを地域別に見ると、アジアが前年比60%増と最も大きく、次いでヨーロッパが50%、北米が28%という大幅な伸びを示していることがわかります。
新しいCVEや主要なCVEの影響は、オンプレミスと比較してクラウドベースのネットワークで高くなる
クラウドベースのネットワークに対する現在の攻撃件数は、非クラウドネットワークに比べてまだ17%少ないものの、攻撃の種類、特に脆弱性エクスプロイトに掘り下げると、クラウドベースのネットワークに対する攻撃の試みでは、オンプレミスネットワークに比べて新しいCVE(2020-2022年に公開されたもの)の使用率が高いことがわかります。この2つのタイプのネットワークの違いは、以下のビジュアルで見ることができます。
最近の脆弱性を利用した攻撃の割合(2020-2022年公開分)
さらに、世界的に注目されている特定の脆弱性を分析した結果、一部の主要なCVEは、オンプレミスと比較してクラウドベースのネットワークに高い影響を及ぼしていることが判明しました。例えば、10月に公開され、その直後に悪用されたText4shell脆弱性(CVE-2022-42889)は、オンプレミスネットワークに対する影響に比べ、クラウドベース環境に対する影響が16%高いことが示されています。この脆弱性は、Apache Commons Textの機能を利用したもので、特定の権限やユーザーの操作を必要とせず、ネットワーク経由で攻撃を行うことができるものです。
2022年 公開された著名なCVEのうち、同様の傾向を示す例
- VMware Workspace Remote Code Execution (CVE-2022-22954) – クラウドベースのネットワークへの影響が31%高
- Microsoft Exchange Server Remote Code Execution (CVE-2022-41082) – クラウドベースのネットワークへの影響が17%高
- F5 BIG IP (CVE-2022-1388) – クラウドベースのネットワークへの影響が12%高
- Atlassian Confluence—Remote Code Execution (CVE-2022-26134) – クラウドベースのネットワークへの影響が4%高
堅牢なクラウドセキュリティの7つの柱
クラウドプロバイダは多くのクラウドネイティブセキュリティ機能とサービスを提供していますが、クラウド環境における侵害、データ漏洩、標的型攻撃からエンタープライズクラスのクラウドワークロード保護を実現するには、サードパーティ製の補完的なソリューションが不可欠です。クラウドネイティブとサードパーティの統合セキュリティスタックは、以下の業界のベストプラクティスを実現するために必要な、集中的な可視化とポリシーベースのきめ細かい制御を提供します。
1.論理的に分離されたネットワークとマイクロセグメントにわたるゼロ・トラスト・クラウドネットワーク・セキュリティ制御
仮想プライベートクラウド(AWS、Google)やvNET(Azure)など、プロバイダのクラウドネットワークの論理的に分離されたセクションに、ビジネスクリティカルなリソースやアプリケーションを配置し、あす。サブネットを使用してワークロードを相互にマイクロセグメント化し、サブネットのゲートウェイできめ細かいセキュリティポリシーを適用します。ハイブリッド・アーキテクチャでは専用のWANリンクを使用し、静的なユーザー定義ルーティング設定を使用して、仮想デバイス、仮想ネットワークとそのゲートウェイ、およびパブリックIPアドレスへのアクセスをカスタマイズします。
2.セキュリティを左に(Shift-Left)
セキュリティとコンプライアンス保護を開発ライフサイクルの早い段階で組み入れる。デプロイメントパイプラインの最後にではなく、継続的にセキュリティチェックを行うことで、DevSecOpsはセキュリティの脆弱性を早期に発見・修正し、企業の市場投入までの時間を短縮することができます。
3.脆弱性管理でコードを安全に衛生的に保つ
ガードレールポリシーを設定し、デプロイが企業のコード衛生ポリシーに適合することを保証する。
これらのポリシーは、ポリシーからの逸脱に警告を発し、非準拠の成果物のデプロイメントをブロックするようにします。コンプライアンス違反の成果物について開発チームに警告し、適切な是正を行うための是正プロセスを構築します。
重要な脆弱性を持つリソースを迅速に特定するために、脆弱性とSBOM(ソフトウェア部品表)を探索する機能を提供するツールを導入します。
4.継続的なポスチャースキャンで設定ミスを回避する
クラウドセキュリティベンダは、仮想サーバに対するガバナンスとコンプライアンスのルールの一貫した適用、堅牢なクラウドセキュリティポスチャ管理を提供しています。これにより、仮想サーバがベストプラクティスに沿って設定され、アクセス制御ルールによって適切に分離されていることを確認することができます。
5. IPS(侵入防御システム)と次世代Webアプリケーションファイアウォールによるアクティブな防御で、すべてのアプリケーション(特にクラウドネイティブな分散アプリケーション)を保護する
悪意のあるトラフィックがWebアプリケーションサーバに到達するのを阻止します。トラフィックの挙動変化に応じてWAFのルールを自動更新し、ワークロードを実行しているマイクロサービスに近い場所に展開されるWAFを使用します。
6.マルチレイヤーによるデータ保護の強化
すべてのトランスポートレイヤにおける暗号化、安全なファイル共有と通信、継続的なコンプライアンスリスク管理、そして誤ったバケット設定の検出や孤立したリソースの停止など、データストレージリソースの適切な衛生管理によるデータ保護の強化は、組織のクラウド環境にさらなるセキュリティ層を提供することになります。
7.既知および未知の脅威をリアルタイムで検知・対処する脅威インテリジェンス
サードパーティのクラウドセキュリティベンダは、集約されたログデータを、資産管理システムや構成管理システム、脆弱性スキャナなどの内部データ、公共の脅威情報フィード、ジオロケーションデータベースなどの外部データと賢く相互参照し、クラウド・ネイティブなログの膨大で多様なストリームにコンテキストを追加しています。
また、脅威の状況を可視化して照会し、インシデントレスポンスの迅速化を促進するツールも提供しています。AIベースの異常検知アルゴリズムを適用して未知の脅威をキャッチし、フォレンジック分析を行ってリスクプロファイルを決定します。侵入やポリシー違反に関するリアルタイムのアラートにより、修復までの時間が短縮され、場合によっては自動修復ワークフローが起動されることもあります。
チェック・ポイントの CloudGuard は、アプリケーション、ワークロード、ネットワークにまたがる統合されたクラウド・ネイティブ・セキュリティを提供し、クラウドのスピードとスケールで、セキュリティの自動化、脅威の防止、およびポスチャ管理を自信を持って行うことができます。無料トライアルも提供しています。
本レポートで使用されている統計およびデータは、チェック・ポイントの脅威防御技術によって検出され、ThreatCloud に保存および分析されたデータを使用しています。ThreatCloud は、ネットワーク、エンドポイント、モバイルを網羅する世界中の何億ものセンサーから得られたリアルタイムの脅威インテリジェンスを提供しています。このインテリジェンスには、AI ベースのエンジンと、チェック・ポイント・ソフトウェアのインテリジェンスおよびリサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データが使用されています。