継続的な脅威エクスポージャの検証
Gartner社によるとCTEM(continuous threat exposure management)プログラムへのセキュリティ投資を優先させることで、今後2年で侵害インシデントを最大60%以上減少させることができます。
一般に、CTEMプログラムは企業や組織による有害な脅威アクターの監視やコントロールを促進する効果があります。ただし、これを実現するにはサイバーセキュリティ部門が攻撃側のマインドセットを分析、採用する必要があります。つまりセキュリティアナリストは次のような重要な質問をするところから始めなければなりません。
ü 最近のインテリジェンスでは、攻撃者によるエクスプロイトが最も多い脆弱性はどれですか?
ü どの攻撃経路が最も一般的ですか?
ü 御社のセキュリティコントロールは目的を達成していますか?
ü 目的を達成できていない場合、御社は攻撃サーフェスを最小化するために、どのような工夫をしていますか?
こうした問いにいつでも適切な答を出すことで、継続的な脅威エクスポージャの検証を行うことができます。適切な答を導き出すためには、企業や組織のサイバーセキュリティ部門には以下が必要になります。
1. 予測可能でカスタマイズされた脅威インテリジェンスの収集
2. ファイアウォールやIPS、サンドボックス、WAFなどのセキュリティコントロールのテストと最適化
3. 統合されたセキュリティとしての検証
詳細は以下の通りです。
定義:
既存または新たな脅威や、アセットへの被害に関するコンテキスト、メカニズム、インジケータ、兆候、アクションに結び付くアドバイスなど、脅威や被害に対する当事者の対応決定に役立つようなエビデンスに基づく知識。(Gartner)
企業や組織は脅威インテリジェンスを利用して、最も脆弱なITアセットやセキュリティコントロールに対する潜在的な外部リスクを分析します。脅威インテリジェンスはいくつかの社内外の情報源から入手する必要があり、戦略、戦術、運用、技術という4つの主要なイニシアチブに変換することができます(図1)。脅威インテリジェンスは攻撃の兆候、すなわちすでに侵入が発生する可能性があることを確認するために使用されることが最も一般的です。他方、予想可能な脅威インテリジェンスは侵入の可能性を予測することに重点を置いていますが、一般的には使用されていません。予測可能でプロアクティブな脅威インテリジェンスの利用ではなく、問題発生後に初めて対処する、リアクティブな脅威インテリジェンスの利用のみでは、火事を防止するのではなく実際に火事になってから火消しに動くという問題に似た課題があります。
継続的な脅威エクスポージャの検証では、企業や組織はプロアクティブとリアクティブの両方の目的で脅威インテリジェンスを併用して、相互に活用する必要があります。また、侵害防止、リスク軽減、効率的な脆弱性管理、新たなセキュリティコントロールの開発を促進できるように、いずれもアクションと結び付いたインテリジェンスでなければなりません。 図1
脅威インテリジェンスを効果的に利用するには、アセットやその脆弱性の検出機能によって自社の攻撃サーフェスを十分把握している必要があります。しかし、残念ながらあらゆる企業や組織において、アセットはオンラインまたはオフラインの状態になることが多く、セキュリティデータとの統合が行われていないこともよくあります。Gartner社は2027年までにITが把握してないところで、社員の75%(2022年は41%)がアプリケーションプログラムの入手、変更、作成を行うようになると予想しています。適切なアプリケーションプログラムの助けを借りなければ、継続的な脅威インテリジェンスとアセットの完全な関連付けはほぼ不可能です。適切なアプリケーションプログラムによって企業や組織はサイバー攻撃者のTTPsを自社の状況やアセットに適用しビジネス上、どの程度重要性が高いのかを十分理解できます。こうした知識によって脆弱性管理の無駄がなくなり、日常的に発生する未対応の脆弱性のリスクや優先度を把握できます。
セットマップ、潜在的な脅威、社内外のエクスポージャポイントを把握しようとしているあらゆる企業や組織は、ULTRA RED Threat Exposure Managementによって継続的に管理することの価値をすぐに得ることができ、必要な情報を重点的かつ明確に把握できます。日常的なアセットディスカバリ、脆弱性および脅威マッピングにより、ULTRA REDは企業や組織のセキュリティ体制をMITRE ATT&CKフレームワークと照合し、検出範囲を明らかにします。このような「状況」においては、リスクの高い行動、脅威、インシデント発生前の状態を、関連するイベント、アセット、ユーザーと共に示します。高度なデータアナリティクスとマシンラーニングを使用することで、このプラットフォームはアナリストが活用できる脅威インテリジェンスや関連するアラート、アセット、ユーザーデータなど、キュレーション(必要な情報を多くの情報ソースから収集、整理、要約、共有)済みのコンテキストデータとして提供します。脅威は可能性、インパクト、インシデントにつながる、またはすでにインシデントが発生している確率に基づき脅威に優先度を付けます。これによりアナリストはすぐに対処が必要な状況と、そうでない状況を把握できます。脅威インテリジェンスによってセキュリティアナリストは被害や混乱が発生する前に、インテリジェンスや疑わしい動きに効果的に対処できます。ULTRA REDは企業が脅威インテリジェンスを使用して運用、予算、ニーズの優先順位を決めることで、盲点をなくせるようにします。
多くのサイバーセキュリティ部門は、最大40のセキュリティコントロールを使ってサイバーリスクを低減しており、この総数はますます増加しています。セキュリティコントロールは優れた投資ですが、適切にソフトウェアのメンテナンスをしなければ意味がありません。サイバーセキュリティ部門が従来から抱えている未解決の課題は、セキュリティコントロールの効果を継続的にテストし、それによる予防策を維持する方法です。これに役立つことがわかっているのが「BAS(Breach and Attack Simulation)」テクノロジーです。
その名の通り、BASは企業や組織のセキュリティコントロール迂回を目論む、現実の攻撃シナリオを模倣します。たとえばメールにマルウェアを添付したり、リバースプロキシから適切なレスポンスを返したりするといったシミュレーションが考えられます。企業や組織のセキュリティテクノロジースタックの効果や効率を判断することが目的です。BASは自動設定したスケジュールで、またはケースバイケースで本番稼働環境に影響することなく効果的に実行することができます。BASによって手作業でのペネトレーションテストや脆弱性スキャンが完全に不要になるわけではありませんが、これらを補完する機能として非常に有効です。BASのテクノロジーによって保護と防御が必要なコントロール上の問題点が明らかになります。BASはペネトレーションテスト、脆弱性管理、ポリシー管理ソリューションでは網羅できない点をカバーします。実際にBASはポリサーのポリシングを行い、この2つを組み合わせることであらゆる潜在的な外部リスクに完に対処することができます。
ULTRA RED Threat Exposure ManagementプラットフォームにはBAS機能が搭載されており、セキュリティコントロールを継続的にテストできます。ULTRAREDは重大なアセットリスクにつながる根本原因への対応に重点を置いています。ULTRA REDのBASシミュレーションではネットワークコントロール、エンドポイント、クラウドアプリケーション、コンテナ技法全体のコントロールを検証します。サイバーセキュリティ部門は不足しているセキュリティ対策やコントロールの設定ミスを検出し、修復ガイダンスに従って未解決のあらゆる問題に対処することができます。ULTRA REDのBAS機能ではグラフベースの攻撃経路マッピングと管理も可能です。ハイブリッドクラウドを含む多種多様な環境における潜在的な攻撃経路をすべてマッピングすることで、ULTRA REDはサイバーセキュリティ部門に最も被害の大きい攻撃経路の修復を優先させ、壊滅的な被害を未然に防げるようにします。 リティ検証
ベンダーを求めています。このアプローチによってシンプルさ、統合性が確実に得られ、相互に有益な機能で共通の目的を達成できます。Gartner社は「2026年までに企業や組織の40%以上が統合プラットフォームでサイバーセキュリティ検証分析を行うようになる」と予想しています。
特にCTEMについては、あらゆるプラットフォームが脅威や脆弱性に関するインテリジェンスのモビライゼーションを行って、リスク削減、攻撃サーフェスの最小化、セキュリティコントロールの強化を優先する必要があります。これはThreat Exposure ManagementプラットフォームのパイオニアであるULTRA REDが採用しているアプローチです。ULTRA REDのThreat Exposure Managementプラットフォームは単一のプラットフォームで脅威エクスポージャと脆弱性に関するインテリジェンスをまとめて提供し、コスト削減とハイリターンを実現します。わかりやすい単一のダッシュボードでセキュリティアナリストはアセットとセキュリティコントロール環境、ヘルス、リスクを分析し、必要なアクションを実行することができます。
ULTRA RED: Threat ExposureManagementに関する詳細は、弊社のサイトにアクセスし、こちらのブログをご覧ください。