Tenable ブログ
ブログ通知を受信する
クラウドセキュリティ: なぜ一過性のアセットを無視してはいけないのか
定期的に実行している脆弱性スキャンは、クラウドに存在する短寿命のアセットを捉えることができず、サイバー犯罪者がつけ込みやすいセキュリティギャップを作る原因となる可能性があります。
クラウド環境には資産を需要に合わせて動的にプロビジョニング、デプロビジョニングするエラスティックな能力があるため、セキュリティ部門外のステークホルダー (DevOps、ウェブや E コマース担当者など) も資産を操作する場合があります。しかし、そのため短期間存在するアセットが生じ、セキュリティ担当者にとっては企業のクラウド環境の完全な可視性を妨げる要因となります。脆弱性スキャンが週 1 回定期的に実行されていても、このような一過性のアセットは、今起動したかと思えば、数時間後には停止するなど、頻繁に回転しているような状態なので、捉えることができるはずがありません。その結果は、セキュリティの穴、サイバー犯罪者がこれぞ、と待ち構えていた悪用の機会となるギャップです。動的で、短寿命のクラウドのアセットには、同様に動的なアプローチでの脆弱性精査手法が必要なのです。
なぜ短寿命のクラウドアセットを無視してはいけないのか
「短い間しか存在しない一過性の資産が、本当に会社の全体的なセキュリティ体制に影響するのだろうか」と疑う向きもあるかと思います。また、「短寿命の資産のインベントリは維持するのは難しいから、その他の測定しやすい資産だけを監視する」という考えもあるかもしれません。しかし、本当のところは、定期的な脆弱性スキャンは、ポイントインタイムのスナップショット、すなわちその時々の状態は捉えることはできるものの、スキャンの実行間隔の間に立ち上がったり落ちたりするクラウドのインスタンスのエクスポ―ジャーについては多くが放置されたままになります。
クラウドのアセットは、互いにクローンされたものが多く、あるアセットの脆弱性が悪用されると、複製されたアセットに同様の影響が起きることが予想されます。アセットは、一旦脆弱性が暴露されると、たとえ暴露された期間が非常に短くても悪用されることが可能で、その場合、デプロビジョニングされるまでの間にどのように波及するか、その影響範囲を推測することは不可能です。
例えば、自動スケーリング対象のサービスについて考えてみると、ピークタイムには自動的に容量がスケールアップされてビジネスの需要を満たします。ここでスケールアップされたサービスに重大な脆弱性があったとしたらどうなるでしょうか。サービスは数百ものインスタンスを自動スケーリングの設定によって生成するとすれば、その 1 つひとつのインスタンスにその重大な脆弱性が複成されて保有されます。
「多分大丈夫だろう」とか「見てみないふりをしよう」などのアプローチで短寿命のクラウド資産に対応していては、企業を脅威にさらし、さらにはビジネス全体の評価にも大きな悪影響があることは明白でしょう。成功と名声を支えようとする努力の甲斐がなくなってしまいます。
Tenable.io を活用して、クラウド上の一過性のアセットを保護する
1 日に何回も入れ替わる可能性のあるクラウドの負荷やインスタンス には、継続的な可視性が必要です。脆弱性管理プログラムは、動的なクラウド環境のセキュリティ、継続的可視性、信頼性のある IT 業務を強化できるように設計されている必要があります。
Tenable.io は包括的な脆弱性管理のアプローチを提供します。クラウド上のすべての資産に存在する脆弱性を検知して、クラウドのアタックサーフェスを評価します。Tenable.io は Amazon Web Services (AWS)、Microsoft Azure、 Google Cloud Platform (GCP) とのクラウドコネクターを装備しており、複数のクラウド環境で生成されてプロビジョニングされた、短寿命なアセットをほぼリアルタイムで検出します。
また、Tenable.io の Frictionless Assessment は、スキャナーの導入やエージェントのインストールなしで AWS 環境内のクラウドアセットを継続的に評価することができます。Frictionless Assessment は、盲点やカバレッジのギャップを回避できるので、特に短寿命のクラウドアセットに有効です。新しい脆弱性が特定され次第、すぐに自動的にスキャンして、クラウド環境内のアセットに最新のソフトウェア欠陥があるかないかを迅速に確認することができます。
ダッシュボードやレポートをニーズに合わせて変更できるので、脆弱性の優先度について部門内外に伝達しやすく、短寿命のクラウドアセットに依存しているチームにとっても役に立ちます。
もっと詳しく
関連記事
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
FlowFixation: AWS Apache Airflow Service Takeover Vulnerability and Why Neglecting Guardrails Puts Major CSPs at Risk
March 21, 2024Tenable Research discovered a one-click account takeover vulnerability in the AWS Managed Workflows Apache Airflow service that could have allowed full takeover of a victim’s web management panel of the Airflow instance. The discovery of this now-resolved vulnerability reveals a broader problem of misconfigured shared-parent domains that puts customers of major CSPs at risk.
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
- Cloud
- DevOps
- Tenable.io Vulnerability Management
- Vulnerability Management
- Vulnerability Scanning