セキュリティ・ベンダーに、保護したい資産の上位16,000件を尋ねられたことがあるだろうか。そのベンダーは、なぜそんなことを聞くのかと問われると、自分たちがカバーできるのはそれだけだからだと冷静に答える。
私たちは皆、生産し、現状を維持するために必要な "物事 "の長いリストをすでに十分に持っている。仮に、これが彼らが取り組みたいことであったとしても、たいていの組織は、自分たちの環境に何があるのかさえ知ることができない。研究室のクローゼットにあるネットワークにWindows 2000サーバーが接続されているとは思っていないかもしれないが、実際には接続されているのだ。攻撃者はこれらのシステムを見つけ、ネットワーク上のあらゆるものを利用して、欲しいものを手に入れようとする。
資産管理は、IT組織が直面する最も困難な課題の1つである。数年前のブログですが、この「幽霊資産の恐怖」についてのブログは、その複雑さとセキュリティ上の課題について優れた概要を提供しています。多くの場合、インシデントレスポンス の活動中に、資産管理インベントリに数年前に廃止されたと記載されている危険な資産が特定される。誰もサーバーをオフラインにしなかった。サーバーはまだオンになっていて、接続されたまま、メンテナンスもされず、攻撃者によってうまく利用されていたのです。
仮にすべてのシステムのインベントリーを完璧に把握できたとしても、1万6,000もの資産のうち、どれがビジネスにとって重要かを正確に把握できる可能性は低い。自社のネットワーク上にどのようなシステムがあるのかを把握するのに苦労している組織に、どれが明確にクリティカルであるかを示すことが期待できるだろうか?
ところで、クリティカルとは具体的に何を指すのだろうか?ビジネスにとって重要なデータを持つものだろうか?その定義には、あなたの環境全体のほぼすべてのシステムが含まれるでしょう。一例として、長年にわたるノートPCの紛失による個人データの流出を考えてみよう。これらのシステムは重要なものとしてタグ付けされていたのだろうか?それとも、誰かが長い一週間の終わりに仕上げをするために持ち帰った「ただのノートパソコン」だったのだろうか?データ処理の検証のために開発システムが立ち上げられ、機密データがロードされた後、ネットワーク上に放置され、忘れ去られたらどうなるだろうか?
もしあなたが多くの人々と同じように、コア・ネットワーキング・インフラが重要なデバイスの大部分をサポートしていると考えているなら、FireEyeによるAPT41に関する2020年3月のレポートは必読である。このレポートでは、APT41が組織のCiscoルーティング・インフラを積極的に悪用していることが示されている。トラフィックのルーティングを制御できれば、重要なエンドポイントを侵害することなく、デバイスを通過するあらゆるデータにアクセスできるようになります。
高度な持続的脅威によって活用されるモノのインターネット(IoT)および非重要資産については、やはりAPT28(Fancy BearまたはStrontiumとしても知られている)が最良の例である。注目すべき重要な点は、APT28が攻撃を実行するために活用するIoTデバイス(VoIP(Voice over Internet Protocol)電話、プリンター、動画デコーダーなど)の幅広さである。これは、組織的な攻撃においてIoTデバイスをより広範囲に利用したいというサイバー犯罪者の願望を露呈しており、攻撃者は、あなたの定義によれば何が「クリティカル」であるかにはほとんど関心がなく、その代わりに、目的を達成できるものであれば何でも活用することに集中していることを示しています。
私が最後に言いたいのはこうだ:防衛側として、あなたが戦いに持ち込むセキュリティ機能で防衛する資産としない資産に関する不完全な情報に基づいて、恣意的な判断を強いられるべきではありません。セキュリティソリューションは、セキュリティチームとして、攻撃者がどこで活動しようと、恣意的な制約を受けることなく、高い信頼性をもって脅威を早期に検知できるようにするものでなければなりません。一部のエンドポイントだけでなく、環境全体を監視し、保護することが求められます。
サイバーセキュリティ意識向上月間です。ネットワーク検知とレスポンス (NDR) でネットワークを保護し、ビジネスリスクを軽減しましょう。その方法をお知りになりたい場合は、デモをご予約ください。