インフラにもゼロトラストを:ラテラルセキュリティでシステム内のブラインドスポットを消し去ろう(後編)
NSX による分散型の多層防御 ”インフラにもゼロトラストを:ラテラルセキュリティでシステム内のブラインドスポットを消し去ろう(前編)” では、昨今の脅威に対する分散型 IDS/IPS の有用性、および最新の VMware NSX バージョンにより仮想ネットワーク内における多種の防御策についてご紹介いたしました。これまで境界型セキュリティアプライアンスでは普通に構成されてきた多層防御の考え方が仮想空間における分散セキュリティでも実現できるようになってきました。このような技術が必要になって来ている背景としては、境界型のセキュリティアプライアンスでは守りきれない、East-West トラフィックにおけるセキュリティ防御が主要なバトルフィールドになってきているからです。脅威はすでに内部に侵入している、という前提にたってシステムのセキュリティを考える”ラテラルセキュリティ”が、インフラにおけるゼロトラストセキュリティを検討するさいの基本になってきています。 多層防御の必要性と悩み East-West トラフィックにおける多層防御が必要な背景を紐解いてみます。ランサムウェアを含む昨今の APT 攻撃では、攻撃者が侵害を収益化するために以下のようなステップを踏むことが一般的です。攻撃者は内部に侵入した後にシステム内部を探索し、不正な権限の昇格、ラテラルムーブメントを繰り返した末に最終的に必要な情報にたどりつきます。 これらの攻撃に対処するために先述の NSX による分散セキュリティにおける多層防御での対処が可能となっています。 ただし日々新しい攻撃手法が開発されている昨今の脅威に対して、必ずしもすべてのセキュリティインシデントを検知できるとは限らない、という立場に立つことこそがゼロトラストセキュリティの考え方です。攻撃者は一連の攻撃手順に沿って攻撃を組み立て、環境に応じて臨機応変に戦術を変えてきます。よってポイントごとでインシデントを検知したり止めたりするだけでは十分な対策ではなく、この一連の攻撃意図を認識して、対処を検討することこそが何よりも重要になってきます。 それでは、各分散セキュリティにおける検知イベントを管理者が一連の攻撃として紐付けて攻撃者の意図を認識しようと思ったらどのような運用になるでしょうか?以下の画像はサンプルイメージですが、各種多層防御の検知ログの紐付けを行うことでしか攻撃者の意図を関連付けて理解することはできません。 日々高度化する攻撃と、それに対する多層防御のテクノロジーを追加すればするほどこの攻撃に対するインシデントの紐付けが複雑難解になって行き、人による運用では破綻してしまうのは火を見るよりも明らかです… NDR による攻撃キャンペーンの可視化...