アタック・サーフェス・マネジメント(ASM)のライフサイクルとは?
アタックサーフェス管理とは、サイバー攻撃を受けやすい組織のデジタル資産やエントリーポイントを特定、評価、保護する体系的なプロセスです。他のサイバーセキュリティ・アプローチとは異なり、アタックサーフェス管理ソリューションは、攻撃者の視点からセキュリティリスクをプロアクティブに検討します。
アタックサーフェス管理のライフサイクルは、デジタルアタックサーフェス上の脆弱性を探し出し、全体的なセキュリティ体制を強化する、より積極的な戦術を促進します。このライフサイクル・アプローチは、セキュリティチームがサイバー・リスクをプロアクティブに検出し、軽減するためのダイナミックなフレームワークを提供するため、非常に重要です。
サイバー攻撃の6つの段階
アタックサーフェス管理のライフサイクルの詳細を掘り下げる前に、脅威アクターが組織のリスクベースをどのように評価し、悪用しているかを理解することは価値があります。サイバー攻撃の6つの段階に関する知識は、4つのライフサイクルのステップと、さまざまな時点で攻撃者を阻止する方法について説明します。
- 偵察-目的を達成するために必要なターゲット(オンプレミスのデジタル資産、インターネット上の資産、クラウド環境のデータ、またはパブリックなエントリーポイントを持つその他の外部アタックサーフェスなど)を調査、特定、選択します。
- 兵器化と運搬:悪意のあるペイロード(ランサムウェアなど)を配信する方法を決定します。
- エクスプロイメント-脆弱なアプリケーションやシステムに対してエクスプロイメントをデプロイし、組織への最初の侵入ポイントを悪用します。
- インストール-マルウェアをインストールして、アクセス権の維持、永続化、権限の昇格などの操作を行います。
- コマンド・アンド・コントロール-感染デバイスとそのインフラ間で情報をやり取りするためのコマンド・チャネルを確立します(監視情報の共有、システムのリモート制御、データ侵害の実行など)。
- 目的を達成するための行動-目的を達成するための動機に基づいて行動すること。
アタックサーフェス管理ライフサイクルの4つのステージ
アタックサーフェス管理のライフサイクルは、セキュリティチームがデジタルアタックサービスを保護するために従う4つのステップまたはステージで構成されます。これは、脆弱性管理を促進し、組織のサイバーセキュリティを強化するための継続的なリスク評価プロセスです。
アタックサーフェス管理ライフサイクルのプロアクティブなアプローチにより、資産インベントリ全体、特にリスクの高い資産や未知の資産を特定し、セキュリティチームが問題を修正し、セキュリティ評価を向上させることができます。
第1ステージ資産の発見と分類
アタックサーフェス管理ソリューションは、自動化されたアセットディスカバリーツールとテクニックを使用して、システムやアプリケーションを特定し、マッピングします。これには、サードパーティの外部向けクラウド基盤の一部、リモートおよびオンプレミスのエンドポイント、ユーザーのデバイス(つまり、BYOD)が含まれます。外部アタックサーフェス管理(EASM)は、マルチクラウド環境全体でサードパーティのデジタル資産を発見するために使用されることがあります。
アタックサーフェス管理ソリューションは、未承認または未知の資産を発見するという課題を克服することに長けています。ASMは多くの場合、攻撃者と同じ高度な偵察技術を活用します。これらのシステムは、デジタル資産を継続的にスキャンし、リアルタイムで頻繁に特定することができます。
特定されたデジタル資産は、ハードウェア、ソフトウェア、アプリケーション、データストレージデバイス、インターネット上の資産など、詳細なインベントリに分類されます。インベントリは、重要性、機密性、潜在的なリスク・エクスポージャーに基づいて分類されます。アタックサーフェス管理プロセスを効果的に継続するためには、継続的なモニタリングとインベントリの定期的なアップデートが不可欠です。
第2ステージリスク評価と脆弱性管理
すべての資産を明確に把握することで、組織は 包括的なリスク評価を 実施し、古いソフトウェア、設定ミス、安全でないエンドポイントなど、潜在的な攻撃ベクトルを特定することができます。
特定された資産の脆弱性を分析・評価するために、いくつかの異なる方法が用いられます。これらの手法には、自動脆弱性スキャン、侵入テスト(ペンテスト)、構成監査、ソフトウェア構成分析、脅威インテリジェンスの統合などがあります。これにより、セキュリティチームは、ソフトウェアの欠陥、設定ミス、既知の脆弱性などのサイバーリスク要因を可視化することができます。
アタックサーフェス管理ソリューションは、脅威モデリングを使用して攻撃ベクトルを分析し、攻撃の対象となる可能性と潜在的な影響を評価します。脅威モデリングは、セキュリティチームが特定のシステムに対する脅威の範囲を絞り込み、優先順位を付けるのに役立ちます。これにより、時間を節約し、優先度の高い脅威を迅速に修復するための洞察を得ることができます。
攻撃管理ソリューションとコンテキストに基づく優先順位付けによって提供される情報は、セキュリティチームが修復のための最適なアプローチを決定する際の指針となり、脆弱性管理を改善します。
セキュリティチームは、リスク評価とコンテキストデータを使用して、悪用可能性、影響、過去の攻撃などの優先順位付け基準に基づいて、サイバーリスクの改善を計画することができます。脆弱性を迅速に修正するためのリソースを上回る数の脆弱性が特定されることが多いため、これは重要です。
第3ステージ改善策の実装
アタックサーフェスのマッピングとコンテキスト化は、修復作業の方向付けに使用されます。優先順位に基づき、自動および手動のアタックサーフェス管理戦術が使用されます。アタックサーフェス管理ソリューションは、セキュリティチームがリスクを修復するためのワークフローを決定し、次のようなタスクを自動化するツールを提供します:
- 設定の更新
- データ暗号化の実装
- パッチとアップデートのインストール
- 継続的な資産の特定と関連するリスク評価
- 修復コントロール
- 孤児ドメインの引退
- 第三者資産のリスクと弱点のスキャン
- システムデバッグ
自動化されたツールでは見逃してしまうような問題を見つけるために、重大度を手作業で修正します。これらの戦術には以下のようなものがあります:
- 熟練したセキュリティチームによる専門的な分析で、複雑な脅威を掘り下げます。
- データ漏えいの性質と影響を理解するための人間主導のフォレンジック分析
- システム、方針、手順の手動監査およびレビュー
- 定期的な手動侵入テスト
さらに、改善にはより広範な対策が必要です。これには、 最小限のアクセス権、 多要素認証(MFA)の実装、セキュリティ慣行に従うことの重要性を強化するトレーニングと意識向上プログラムが含まれます。
デジタルアタックサーフェスの修復作業は、以下のような複数のチームによって実行されます:
- セキュリティチームは、リスクと脆弱性の管理を行います。
- IT運用チーム-影響を受けるシステムの更新を行います。
- 開発チーム - デジタル資産を構築、更新、保守するソフトウェア開発ライフサイクル(SDLC)に攻撃ベクトルに関する洞察を組み込みます。
第4ステージ継続的な改善と適応
アタックサーフェス管理は継続的なプロセスです。新しい攻撃ベクトルや進化する攻撃者の戦術を導入する可能性のある環境の変化を早期に検出するために、上記の詳細な手順を継続的に繰り返す必要があります。
新しい脆弱性や脅威の継続的な監視をサポートするアタックサーフェス管理ツールには、次のようなものがあります:
- 設定管理ツール-事前に定義されたセキュリティ・ポリシーに従って、ネットワーク・デバイスやシステムの設定ミスを検出し、修正します。
- 侵入検知 防御システム (IDPS) - 不審な活動を継続的に監視し、潜在的な脅威を自動的にブロックまたは警告します。
- パッチ管理システム - 古いソフトウェアを自動的に検出し、必要なパッチやアップデートを適用してセキュリティギャップを解消します。
- セキュリティ情報・イベント管理(SIEM)システム - さまざまなソースからのデータを集約・分析し、特定された脅威に基づいて警告と対応プロセスを自動化します。
- 脆弱性スキャナ:システムやアプリケーションの既知の脆弱性をスキャンし、定期的なアップデートとアラートを提供します。
継続的なモニタリングにより、アタックサーフェス管理は、新しい脆弱性と攻撃ベクトルをリアルタイムで検出し、評価することができます。これらのアラートは、セキュリティチームが即座に効果的な修復対応を開始するために必要な情報を提供します。さらに、進化する脅威やゼロデイ脅威に対する防御に備えるため、環境を適応させることができます。
ASMライフサイクルを補完する戦略
アタックサーフェス管理(ASM)のライフサイクルは、強力なサイバーセキュリティ態勢にとって非常に重要です。しかし、ASMだけで組織を完全に保護できるわけではないことを認識する必要があります。
以下は、ASMライフサイクルを補完し、セキュリティをさらに強化するために使用できる戦略です:
アタックサーフェス削減(ASR)
アタックサーフェス削減(ASR)は、アタックサーフェス管理プロセスの重要な部分であり、攻撃者にとっての潜在的な侵入ポイントの数を最小限に抑える戦略の実装を伴います。
主な戦術としては、アクセスを許可する前に複数の形式による認証を要件とすること(多要素認証など)、ソフトウェアやシステムを最新のパッチに保つこと(パッチ管理など)、ユーザーのアクセス権をその役割に厳密に必要なものだけに制限すること(最小限のアクセス権の原則、PoLPなど)などが挙げられます。
サイバー攻撃サーフェス管理(CASM)
サイバーアタックサーフェス管理は、既存のデータソースと統合することで、組織全体のアタックサーフェスについて継続的に更新される統一されたビューを提供します。これにより、セキュリティチームは、資産インベントリを理解し、コンテキストデータに基づいて修復の優先順位を決定するための洞察を得ることができます。
CASMは、これらの資産を包括的に可視化し、継続的に監視・管理することで、システムの盲点やコンプライアンス上の問題に対処します。これらの機能により、セキュリティポリシーとコンプライアンス標準への準拠が保証されます。
外部アタックサーフェス管理(EASM)
外部アタックサーフェス管理(EASM)は、組織のインターネット上の資産を識別してセキュリティで保護し、内部ネットワークの外部からのサイバー脅威を防御します。このプロセスでは、ウェブサイト、ウェブアプリケーション、サーバー、クラウドベースのリソースなど、すべてのパブリック向けのシステム、サービス、エンドポイントを特定します。
EASMはまた、脅威アクターが悪用する可能性のある弱点や設定ミス、時代遅れのコンポーネントがないか、これらの外部資産を分析します。このようにインターネットに面したアタックサーフェスを継続的に監視することで、セキュリティチームは新たに出現するリスクを検出することができます。
デジタル・リスク・プロテクション・サービス(DRPS)
デジタルリスクプロテクションサービスは、従来のセキュリティ境界の外にあるデジタルリスクの特定、監視、軽減に重点を置いたサイバーセキュリティ専門ソリューションです。脅威インテリジェンス、ブランド保護、データ漏洩検知、詐欺・フィッシング検知、レピュテーション・モニタリングを網羅しています。DRPSを使用することで、セキュリティチームはサイバーリスクの脆弱性管理を内部ネットワーク以外にも拡大することができます。
ASMライフサイクルが取り組む課題
クラウドベースの攻撃ベクトルへの対処
アタックサーフェス管理のライフサイクルは、特に複雑なマルチクラウド環境にまたがるクラウドベースのアタックベクターの管理など、多くの課題に対応します。セキュリティチームがクラウド環境を包括的に可視化するためのツールとプロセスを提供します。
これにより、SaaS、IaaS、PaaSを含むマルチクラウドやハイブリッドクラウドのサービスモデルにおいて、より徹底した資産の識別と管理が可能になります。
IoTとリモートワーカーに関する考察
アタックサーフェス管理ソリューションは、IoTやリモートワーカーへの配慮に対応しています。リモートワーカーとIoTデバイスの両方が、境界とアタックサーフェスの拡大に貢献しています。
攻撃管理のライフサイクルは、セキュリティチームが分散したユーザーやデバイスを監視するのに役立ちます。また、リスクを軽減するためのセキュリティ保護の管理も容易になります。これには、エンドポイントセキュリティの管理、広大なIoTおよびリモートワーカー環境全体にわたるセキュリティ対策の継続的な監視と更新が含まれます。
進化する脅威の状況
アタックサーフェス管理のライフサイクルステージに従うことで、進化・台頭する脅威の検知と対応が迅速になります。継続的なモニタリングは、現在の脆弱性を特定し、将来の脅威を予測するための洞察を提供します。これにより、セキュリティチームが脅威の先を行くプロアクティブなサイバーセキュリティ・アプローチが可能になります。
これらの能力は、新たな脅威、攻撃パターン、脅威アクターに関する脅威インテリジェンスによって支えられています。また、自動化されたシステムとは異なる視点を提供する倫理的ハッカーも活用しています。サイバー攻撃のシミュレーションでは、脅威アクターが悪用する前に攻撃ベクトルを見つけます。