サイバーセキュリティに関しては、「単純なことをしっかりやる」という古い格言が、今日、かつてないほど適切になっている。サイバーセキュリティにおける3つのシンプルな原則は、強固な基盤を築き、将来の危機を防ぐのに役立ちます:
- 最低特権
- アタックサーフェスの最小化
- ディフェンス・イン・デプス
これらの原則は何十年も前からあるものだが、いまやかつてないほど真実味を帯びている。というのも、われわれはますますクラウド、常に警戒を怠らないようにしなければならない環境に生きているからだ。
最低限の特権
最小特権は、情報セキュリティの基本原則である。ユーザーが持つ特権が少なければ少ないほど、攻撃者が悪用する機会は少なくなります。システムを設計する際には、常に "このユーザーが業務を遂行するために必要な最小限のアクセス権は何か "を自問してください。ユーザー (またはアプリケーション) を業務遂行に必要な最小限の権限に制限することで、偶発的または悪意のある被害のリスクを低減し、攻撃が成功した場合の影響も最小限に抑えることができます。
アタックサーフェスの最小化
アタックサーフェスの最小化とは、アタックサーフェスを可能な限り減らすことである。これは、システムから不要な機能やコンポーネントを削除し、攻撃に対してシステムを強化し、アプリケーションやサービスの観点から最小特権の原則を使用することによって行うことができる。
奥行きのあるディフェンス
深層防御は見過ごされがちだが、単一のセキュリティ・メカニズムだけに頼るのは非常に危険な戦略である。攻撃者は非常に創造的であり、セキュリティ対策が唯一の標的であれば、それを回避する方法を見つけることはよくある。複数のセキュリティ・レイヤーを使用することで、攻撃者が乗り越えなければならない障害を作り出し、攻撃者が目標を達成することをより困難にし、時間とコストをかけることになる。
これらの3つの原則は、優れたサイバーセキュリティの実践の基礎を形成するのに役立ち、これらに従うことは、サイバー脅威から組織を保護するのに大いに役立ちます。これらの原則を実行することは必ずしも容易ではないかもしれませんが、重要な資産とデータを安全に保つために努力する価値は十分にあります。
Log4Shellにゼロデイ脆弱性
最近のApache Log4J2のLog4Shellのゼロデイ脆弱 性は、ソフトウェアに脆弱性が発見され、その脆弱性が侵害され、組織はその脆弱性を緩和し、パッチを当てるために危機モードに突入する、というサイクルの無駄を如実に示している。これは終わりのない反応サイクルであり、常に後手に回ることになる。今回の件や近年の他の重大な脆弱性をよく見てみると、長年にわたって確立されてきた包括的なセキュリティ原則に従うだけで、通常はそれ自体が緩和策となり、脆弱性のある組織は、重大な危機ではなく、標準的な運用サイクルの一環として、自由にパッチを当てることができるようになることがわかる。このルールには明らかに例外が常に存在するが、一般的に95%の場合、このアプローチは組織に強固な基盤を提供し、はるかに優れた侵害耐性を可能にする。組織のセキュリティ戦略を策定する際には、最小特権、アタックサーフェスの最小化、深層防御という基本原則を常に重要視すべきである。
log4shellエクスプロイトのレビュー
log4shellのエクスプロイトを検証する際に私が印象に残った主な要素は、悪用された脆弱なアセットがインターネットから悪意のあるコードを直接ダウンロードする能力を持っているという要件でした。包括的なセキュリティ原則、特にアタックサーフェスの最小化と最小特権に立ち戻ると、なぜ問題のサーバとアプリケーションは、コンテンツをダウンロードしたり、インターネット全体に直接プロトコルで送信通信したりすることが許されるのだろうか?このような機能は、問題のサービスの機能設計要件には含まれていないはずだ。では、なぜそこにあるのか?
間違った思い込み
現代社会では、どんなテクノロジー資産であれ、単にインターネットにアクセスできなければならないという前提がデフォルトになっているのではないかと危惧している。これは、デバイスが定期的にソフトウェアをアップデートすることで家庭を保護するホームネットワークには適しているが、企業ネットワークには適していない。にもかかわらず、多くの企業がこのような運用を続けているため、log4shellのような脆弱性やその他の伝統的な攻撃ベクトルによって侵害される可能性が非常に高くなっている。
スタッフのウェブ閲覧 vs データセンターのインターネットアクセス
しかし、データセンターやクラウド(通常、組織の最も貴重で重要な資産が置かれている)環境では、サーバーがインターネットへの自由な (そして不必要な) アクセスを享受していることがよくあります。重要資産の安全確保に真剣に取り組んでいる組織にとって、サーバーのインターネット・アクセスは、そのサーバーが果たす役割に必要な機能(例えば、ファイアウォール-送信元/宛先/プロトコル)だけに適切に制限することが本当に不可欠だ。言うまでもなく、プロキシなどを介した「ウェブ閲覧」は、ビジネスクリティカルなサーバーから決して許可されるべきではありません!
セキュリティー原則は "現在進行形"
アタックサーフェスの最小化と最小特権は、多くの組織にとって "進行中 "であることを考慮すると、"Defense in depth "がより重要になる。
私自身の経験では、テクノロジーチームやセキュリティチームが、ビジネス環境に関する自分たちの知識に100%の自信を持っていることは稀である。CMDBや資産/ソフトウェアのインベントリが完全であることは稀であり、長年にわたるガバナンスの失敗により、資産が孤児となったり、セキュリティチームの知識や監督なしに資産が導入されたりすることがよくある。
これらの資産は事実上「未知」であるため、ホスト・セキュリティ・コントロール(AV、エンドポイント検知とレスポンス - EDRなど) のインストール、ハードニング、およびモニタリングに関する通常のプラクティスは存在しないことになり、有能なネットワーク検知とレスポンス(NDR) システムを使用して脅威についてビジネスとクラウドネットワーク環境を総合的に監視できるようにすることが絶対必要です。これによって、以前は気づいていたかもしれない資産を発見し始めることができるだけでなく(CMDBの精度を向上させる)、組織の異種ネットワークに接続された資産と関連するユーザー・コンテキスト全体の攻撃シナリオを検知し、視覚化することもできる。最終的には、防御に厚みを持たせることができるため、不可避な事態が発生し、攻撃者が防御に侵入した場合でも、脅威を封じ込め、迅速に根絶することができます!
そして勝者は...。
組織が100%安全であることを保証する方法は本当に存在しない。しかし、概説した原則に基づいて考え、行動し、リスク管理方程式のコントロール可能な部分を完全にコントロールすることで、危機的な状況にさらされることはほとんどなく、最新の「ゼロデイ」に直面しても危機はほとんど発生しないと確信することができる!