重要なアセットへの露出による不正アクセスを無くすために
2023 年 5 月 30 日 Manu Santamaría Delgado
脆弱性とは、ハッカーが IT システムに直接アクセスするために利用できるソフトウェアコードのエラーのことです。「露出」とは、以前に検出された脆弱性が、ネットワーク上の不正な行為者によって利用された場合のインシデントを指します。
最近の調査では、攻撃者が重要なアセットにシームレスにアクセスできる露出は全体のわずか 2% に過ぎず、攻撃経路上にある露出インシデントの 75% は最終的に「行き止まり」であり、そのためサイバー犯罪者が機密情報に到達するのを妨げていることが示されています。この調査から得られたもう一つの重要な示唆として、71% の組織が、重要なクラウドアセットを危険にさらす可能性のあるローカルネットワークを露出しているという事実があります。ハッカーがローカルネットワークにアクセスすると、これらの重要なアセットの 92% が脆弱になります。
見落としがちな 3 つの露出
サイバー犯罪者は、脆弱性を突くだけでなく、複合的な露出を利用して組織のインフラストラクチャにステルス攻撃を仕掛け、重要なデータを盗み出すことがあります。
- ローカルネットワーク環境:
クラウドに注目が集まる中、多くの企業が、ローカルネットワークにおける効果的かつアジャイルな管理体制の構築に投資することの重要性を見落としています。そのため、クラウド上にある重要なアセットも同時にリスクにさらされています。 - 特権的アクセスを持つ ID:
ユーザアカウント、ロール、クラウドサービスにおいて、管理を容易にするという名目で過剰な権限を付与している状況が続いています。これは、サイバー犯罪者が最初の防御層を突破することに成功した際に、攻撃ルートの拡大を可能にしています。そのため、アクセス制限を導入するゼロトラストが、多くの CIO の間で有力な戦略として注目されています。しかし、ユーザの日常業務に摩擦を与えるという認識から、このアプローチの適用を思いとどまる企業もあります。すべてのユーザに特権を付与すべきであるという考え方で運用すると、攻撃を成功させるきっかけにもなるため、バランスを取る必要があるのです。アカウントの権限を制限することで、ハッカーが損害を与えたり、貴重な情報を盗んだりする能力を著しく低下させます。 - 設定ミス:
設定ミスのあるセキュリティコントロールは依然として一般的であり、サイバー犯罪者はこのミスを利用しています。CISA は勧告の中で、悪意ある行為者はスキャンツールを使ってオープンポートを検出し、最初の攻撃ベクトルとして使用することがあると指摘しています。また、ネットワークにアクセスするために、RDP、SMB(Server Message Block)、Telnet、NetBIOS といったサービスを頻繁に使用するとしています。
重要なアセットへの露出による不正アクセスを防ぐには?
今日のセキュリティチームは、あまりにも多くの無害かつ無関係な脆弱性アラートであふれかえっています。このような過重な作業負荷を減らすためにも、露出が攻撃経路につながる領域の特定に注力する必要があります。
限られた人員で、膨大な量の調査による疲労を避けるために、CVSS(Common Vulnerability Severity Scale)の重要度に基づいて、適用すべきパッチの優先順位を決める手助けが必要です。ウォッチガードが提供するようなパッチ管理ツールを導入することで、この問題を解決することができます。脆弱性管理を簡素化し、重要度に応じてパッチのインストールをスケジューリングできるため、チームは常にすべてのソフトウェアを最新の状態に保たなくてはならないというプレッシャーから解放されます。
セキュリティ危機の回避を目的とした従来のパッチ管理を補完するもう 1 つの方法として、ふるまいによる脅威ハンティングがあります。これは、アクティブな脅威を示す攻撃者の行動に焦点を当て、侵入後のアクティビティの兆候をプロアクティブに探索する手法です。これにより、パッチ適用の優先順位と必要性のバランスをとって、リソースを効率的に管理する運用に繋がり、潜在的な脅威の一歩先を行くことができます。
このアプローチを採用するには、異なるソリューションからのテレメトリを相関させて、サイバーセキュリティインシデント発生を防ぐために必要な脅威のコンテキストを提供する XDR テクノロジを導入することが近道です。
脆弱性管理や XDR テクノロジの機能については、以下でご確認ください。