セキュリティは、試して、テストして、またテストしなければならない。サイバー犯罪者にとって、システムにアクセスして横方向に移動したり、ハイブリッド・ワークフローのギャップを突いたり、クラウドのアカウントを乗っ取ってターゲットにアクセスしたりする、ステルス的な新しい方法を見つけることはかつてないほど容易になっている。すべてのCISOが、自社のセキュリティが最新の戦術、技術、手順に対してどのように対処しているかを明確に示すことが不可欠です。しかし、CISOの仲間たちが、「コンプライアンス(法令順守)」のためにポイント・システムの侵入テストを毎年準備するというサイクルに陥っているのを、私はしばしば目にしてきた。
脆弱性スキャンだけでは不十分
実際のところ、多くのCISOは、基本的なペネトレーション・テストのみを選択することで、十分な対策を怠っている。これは、特定のコンポーネントやシステムに対して短時間の技術的テストを行うもので、その目的は技術的な脆弱性を発見し、悪用することである。しかし、多くの場合、それは自動化されたスキャンに過ぎず、優れた脆弱性を示すだけで、ビジネスが直面している実際の脅威、あるいは攻撃者がそれをどのように悪用しうるかに関するコンテキストはない。
これとは対照的に、脅威主導のレッドチーム演習は、人、プロセス、テクノロジーを含む、実際の攻撃者が一般的に使用する複数のシナリオを考慮することで、より包括的なものとなります。この演習では、サイバー犯罪者がその目的(例えば、顧客データの流出)を達成するために、どのようにチェーンの最も弱いリンクを特定し、悪用しようとするかについて、かなり優れた洞察が得られます。
レッドチームの演習では、テクノロジー関連の脆弱性を悪用する必要さえないかもしれない。むしろ、テスターはソーシャル・エンジニアリング、フィッシング、シャドーITの特定をエントリー・ポイントとして利用することができる。レッドチームは、悪意のあるUSBスティックをオフィスの外に置き、従業員がそれを接続するのを待つという手段さえ取るかもしれない。
この洞察は金に値する。攻撃者の視点から、最も単純だが最も可能性の高い組織への侵入経路に対処することで、組織の防御力を段階的に向上させることができる。ハッカーが常に簡単な選択肢を選ぶのに、なぜ複雑な(しかし理論的な)技術的脆弱性の修正に時間と注意を集中させるのか?
レッドチーム演習を終えて
レッドチーム演習で得た知識により、CISOは現実のリスクに対して効果的に行動するための改善プログラムに優先順位をつけることができ、標準的なペンテストでは見逃されてしまうような現場のギャップを発見することができる。もちろん、CISOは最も深刻なリスクを迅速に軽減しなければならないという大きなプレッシャーにさらされていることは間違いない。
CISOは、まず簡単な対策に取り組んでセキュリティを即座に強化することを目指すべきであり、その後、事前設定されたネットワークベースの脅威検知・緩和機能を追加することも検討すべきである。このアプローチは、セキュリティ脅威の検知能力を大幅に向上させる。また、デスクトップやサーバーの環境を全面的に変更することなく、可視性を即座に向上させながら、エンドポイントの検知とレスポンスよりもはるかに短期間で価値を生み出すことができる。さらに、多数のアラートを選別する時間を短縮し、アラートに優先順位を付けることで、本格的な侵害に至る前に最も緊急性の高い脅威を発見し、阻止することができます。
徹底的なテストを行うことで、CISOはリスクを低減し、最も効果的なセキュリティ改善方法を特定することができる。この手順は、今後数カ月間、彼らのアジェンダのトップに据えられるべきである。
このブログはThe Registerに掲載されたものです。