有名で数百万ドル規模の企業で働いていない限り、攻撃者は自分にそれほど関心がないと考えがちですが、規模の大小を問わず組織は攻撃を受けます。セキュリティ対策は監査から始める必要があるというのは自明の理です。なぜなら、保有している資産を知らない限り、保護することはできないからです。自社のインフラストラクチャとクラウド上にあるハードウェアとソフトウェア資産の完全なリストが必要です。
しかし、デバイス、データベース、サーバー、その他の資産のリストを考えるのではなく、攻撃者と同じように、資産にどのようなセキュリティ上の弱点があるのか、資産が何に接続されているのか、そして、資産が侵害された場合に何が露出するのかを考えながら、インベントリを外側から内側に調べることで、より効果的な防御策を講じることができます。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
「セキュリティは難しい」と、Microsoft 365 セキュリティ担当CVPのRob Lefferts氏は認めています。「セキュリティチームやあらゆる防御担当者が、攻撃者の行動に対する考え方を根本から変えるよう支援する必要があります。攻撃者と同じように考え、攻撃者と同じように組織を捉えることができるでしょうか?」
RiskIQの買収に基づく2つの新しいDefenderクラウドセキュリティサービスが、その支援を約束します。Microsoft Defender Threat Intelligenceは、侵害の可能性があるドメイン、ホスト、またはIPアドレスを確認するために必要なさまざまなデータセットをすべて統合し、何を懸念すべきかを判断するのに役立つ指標に加え、攻撃グループ、マルウェア、脆弱性に関する情報も提供します。
図A
レファーツ氏は、セキュリティチームが攻撃者がどのような存在で、その目的と手法は何かを理解できるように支援することで、システムの防御力を高めることができると示唆している。
Defender Threat Intelligence サービスの通常のトライアルに加えて、多くの背景記事が掲載されているコミュニティ ポータルもあります。
「料金を支払うかどうかに関わらず、誰でもポータル内の一部の情報にアクセスできるようにしています。」
図B
外部からセキュリティを確認する方法
Defender 外部攻撃面管理は、攻撃者が行うのと同じように、インターネットからインフラストラクチャをスキャンし、組織に接続されているすべての資産を探し出し、既知の脆弱性やコンプライアンス問題がないか確認します。これは、従業員がリモートワークを行い、オンラインで社内リソースに接続する必要がある状況で特に重要であり、10社中8社近くの組織がセキュリティ確保に懸念を抱いています。
「インターネット上に存在する未知の、あるいは管理されていないリソースを識別し発見することを可能にする新しいテクノロジーを導入しています」と、Microsoft Defender Threat Intelligence の主席プログラム マネージャーである Brandon Dixon 氏は TechRepublic に語った。
図C
攻撃対象領域のダッシュボードには、重大度の高い、中程度の、低いリスクが表示され、ディクソン氏が「インサイト」と呼ぶものにグループ化された情報が表示されます。インサイトには、既知の脆弱性や誤った構成が含まれる可能性があります。
「この高レベルのインサイトから、影響を受ける資産に直接ドリルダウンすることができます」と彼は述べた。「そして、そのプロセス全体を通して、その資産がインベントリに含まれている理由だけでなく、他のどの資産と関連しているかを視覚的に確認できます。」
図D
資産が攻撃者にさらされる理由は、構成ミスである場合もありますが、多くの場合はビジネスのペースとパンデミックのプレッシャーによって、セキュリティチームが対応できるよりも速くクラウド サービスを使用する傾向が加速していることが原因であるとディクソン氏は説明します。
「従業員リソースの管理については企業として適切なプロセスがあったかもしれませんが、マーケティングイベントやシャドーIT全般に関しては、それが盲点でした」と彼は述べた。「ほとんどのお客様は、シャドーITの観点から見て、実際に何が起こっているのかさえ把握していません。しかし、もちろん攻撃者はそれを見ることができます。外部からの監視は大きな効果を発揮します。」
図E
セキュリティチームを支援する方法
多くのセキュリティチームは優れたプロセスを備えていますが、管理すべき攻撃対象領域の拡大はチームの疲弊につながります。EASMは、問題の優先順位付けによって既存のツールとプロセスを強化できるとDixon氏は説明します。
「絶えず発生する脆弱性の数を考えると、既存のチームと既存のワークフローでそれらを管理しようとしていますが、私たちが話を聞いたほとんどのチームにとって、それは非常に困難なプロセスです」と彼は述べた。「EASMコンポーネントは、どこに労力を費やすべきか、どこに迅速に修正すべきかを優先順位付けするのに役立ちます。」
また、新しいチームを立ち上げる必要がなく、リスク管理とガバナンスにも役立ちます。また、このサービスは外部攻撃対象領域を一度だけスキャンするだけでなく、ITシステムは動的であるため、頻繁にスキャンを実行します。
「攻撃対象領域が進化するにつれて、私たちの可視性もそれに伴って向上します」とディクソン氏は述べた。「これは、さらなる自動化を進める上で非常に役立ちます。」
こうすることで、システムの侵害に対処するのではなく、誤ってインターネット上に流出したワークロードに関するアラートに積極的に対応できるようになります。無料トライアルでも、組織は自社の脆弱性がどれほど高いかを把握できるとレファーツ氏は言います。
「検出を実行し、利用可能な資産を確認し、外部の攻撃対象領域がどのようなものかを簡単に把握できるようになります」と彼は語った。
痛いセキュリティサプライズを避ける方法
どのような資産を保有しているかがわからない場合は、パッチを適用しません。
「CISOが自社の公開インフラの完全なインベントリを取得する瞬間は、少々骨の折れる作業ですが、成長プロセスにおいては重要な部分です」とレファーツ氏は述べた。「セキュリティ体制の管理、つまり資産全体のセキュリティをいかに確保するかという概念を考えると、まさにこの発見の旅から始まります。」
しかし長期的には、マイクロソフトは、ますます断片化が進むテクノロジの状況に対処できるようセキュリティ チームを支援したいと考えています。
「時々、罪悪感に襲われます」とレファーツ氏は語った。「セキュリティ分野に限らず、私たちは多くの技術と能力を開発してきました。組織の行動は実に複雑になっています。EASMのようなツールは、それらを繋ぐグラフを構築するのに役立ちます。そして、攻撃者が隙を見逃さないような方法で大規模組織が機能するのを本当に助けます。まさにそれが今日の問題なのです。」
ディクソン氏は、マイクロソフトは自社のツールを、組織が Defender Threat Intelligence を通じて知ることができる攻撃グループにも適用することを計画していると示唆している。
「インターネット上で組織、場合によってはそのベンダーやサプライヤーをマッピングするのと同じように、敵対者に対しても同じことを行うことができ、基本的に隠れる場所をなくすことができます」と彼は述べた。
