SaaS環境における脅威防止と検出 – 基礎知識
SaaSセキュリティとアイデンティティ管理の重要性
2024年7月16日 – SaaSセキュリティ / アイデンティティ管理
SaaSアプリケーションにおけるアイデンティティベースの脅威は、セキュリティ専門家の間でますます重要視されていますが、それを検出して対応する能力を持つ者は少数です。
アメリカのサイバーセキュリティ&インフラセキュリティ局(CISA)によると、すべてのサイバー攻撃の90%はフィッシング、すなわちアイデンティティベースの脅威から始まります。盗まれた認証情報、過剰に許可されたアカウント、内部脅威を利用する攻撃を加えると、アイデンティティが主要な攻撃ベクターであることは明白です。
さらに悪いことに、ターゲットは人間のアカウントだけではありません。サービスアカウントやOAuth認証を含む非人間のアイデンティティも乗っ取られ、SaaSアプリケーションに深く侵入されることがあります。
ITDRの機能
初期防御を突破されると、アイデンティティセキュリティの一環としての強力なアイデンティティ脅威検出と対応(ITDR)システムを導入することが、大規模な侵害を防ぐことができます。先月のSnowflakeの侵害はその完璧な例です。単一要素認証を利用され、アカウントにアクセスされた後、脅威検出機能が欠如していたため、560万以上の顧客記録が流出しました。
ITDRは、SaaSスタック全体からのイベントを監視し、ログイン情報、デバイスデータ、ユーザー行動を使用して脅威を示す行動異常を特定します。これらの異常は、妥協の指標(IOC)と見なされ、IOCが定義された閾値に達すると、ITDRはアラートを発生させます。
例えば、管理者が大量のデータをダウンロードすると、ITDRはそれをIOCと見なします。しかし、そのダウンロードが真夜中や不審なコンピュータで行われた場合、これらのIOCの組み合わせは脅威と見なされるかもしれません。
同様に、ユーザーがブルートフォースログイン試行後に不審なASNからログインした場合、ITDRはそのログインを脅威と分類し、インシデントレスポンスを引き起こします。複数のアプリケーションからのリッチなデータセットを使用することで、ITDRは異なるアプリケーションからのデータに基づいて脅威を検出できます。
最近、Adaptive Shieldによって検出された侵害では、脅威アクターがHR給与システムに侵入し、数人の従業員の銀行口座番号を変更しました。幸いにも、ITDRエンジンが異常な行動を検出し、資金が脅威アクターに送金される前にアカウントデータが修正されました。
アイデンティティベースのリスクの軽減
組織がアイデンティティベースの脅威のリスクを軽減し、アイデンティティファブリックを強化するために取るべきいくつかのステップがあります。
多要素認証(MFA)とシングルサインオン(SSO)はこれらの取り組みにおいて重要です。権限のトリミング、最小権限の原則(PoLP)およびロールベースアクセス制御(RBAC)もユーザーアクセスを制限し、攻撃面を減らします。
残念ながら、多くのアイデンティティ管理ツールは十分に活用されていません。組織はMFAをオフにし、ほとんどのSaaSアプリケーションはSSOがダウンした場合に備えて管理者がローカルログインを持つ必要があります。
アカウントを分類する
高リスクアカウントは、いくつかのカテゴリーに分類されます。強力なアイデンティティガバナンスと管理を作成するために、セキュリティチームは異なるユーザータイプを分類することから始めるべきです。これらには、元従業員のアカウント、高権限アカウント、休止中のアカウント、非人間アカウント、外部アカウントが含まれるかもしれません。
元従業員のアカウントを削除し、休止中のユーザーアカウントを無効化する
元従業員のアクティブアカウントは、組織にとって大きなリスクをもたらす可能性があります。多くのSaaS管理者は、従業員がIdPからオフボードされた後、自動的に会社のSaaSアプリケーションからアクセスが削除されると仮定しています。
IdPに接続されているSaaSアプリケーションについてはそれが真実であるかもしれませんが、多くのSaaSアプリは接続されていません。そのような場合、管理者とセキュリティチームは、ローカルの資格情報を持つ元ユーザーのアクセスを削除するために協力する必要があります。
休止中のアカウントは可能な限り特定して無効化すべきです。管理者は、これらのアカウントをテストの実行やアプリケーションのセットアップに使用し、高い権限を持ち、複数のユーザーによって簡単に覚えられるパスワードで共有されることがよくあります。これらのユーザーアカウントは、アプリケーションとそのデータに対する重大なリスクを表します。
外部ユーザーを監視する
外部アカウントも監視されなければなりません。これらは、代理店、パートナー、フリーランサーに提供されることが多く、組織はデータに誰がアクセスしているかを実際には制御できません。プロジェクトが終了した後も、これらのアカウントはアクティブのままで、資格情報を持つ誰でもアプリケーションを侵害するために使用できることがよくあります。多くの場合、これらのアカウントも権限が高いです。
ユーザーの権限をトリミングする
前述したように、過剰な権限は攻撃面を広げます。最小権限の原則(PoLP)を適用することで、各ユーザーは職務を遂行するために必要な範囲内でのみアプリケーションとデータにアクセスできます。高権限アカウントの数を減らすことで、会社の重大な侵害に対する露出を大幅に減らすことができます。
高権限アカウントのチェックを作成する
管理者アカウントは高リスクです。これが侵害されると、組織は重大なデータ侵害にさらされます。
ユーザーが不審な行動をしたときにアラートを送信するセキュリティチェックを作成します。例えば、深夜のログイン、海外からのワークステーションへの接続、大量のデータのダウンロードなどです。高権限のユーザーアカウントを作成し、管理されたメールアドレスに割り当てない管理者も不審です。
これらの種類の行動を監視するセキュリティチェックを定義することで、セキュリティチームは初期段階の攻撃を特定するための優位性を得ることができます。
アイデンティティ脅威検出を優先する
より多くの機密企業情報がアイデンティティベースの周囲に配置されるにつれて、組織がアイデンティティファブリックを優先することがますます重要になっています。アイデンティティ周りに配置されるセキュリティの各層は、脅威アクターがアクセスするのをより困難にします。
初期防御を突破した者に対して、アイデンティティファブリックの一部として強力なITDRシステムを導入することは、セキュリティを維持し、機密データの露出から保護するために不可欠です。これにより、アクティブな脅威を特定し、セキュリティチームにアラートを送信するか、脅威アクターがダメージを与えるのを防ぐための自動的なステップを実行します。
この記事では、SaaS環境における脅威防止と検出の基本について説明しています。アイデンティティベースの脅威に対する防御策を強化するために、最新のセキュリティ情報に注目し続けることが重要です。
