多くのセキュリティ・リーダーにとって、セキュリティ検証は最優先事項となっている。2022年にガートナー(Gartner™)が継続的脅威暴露管理(Continuous Threat Exposure Management:CTEM)フレームワークを導入して以来、セキュリティ検証は主流になりつつある。
SecValの簡単な概要
攻撃対象が拡大し、脅威がより複雑化するにつれ、脆弱性管理だけでは効果的なセキュリティ態勢管理が不十分になってきた。2015年以降、BAS、RBVM、EASM、自動侵入テストのようなソリューションが、こうしたギャップに対処するために登場しました。
これらのテクノロジーは、攻撃対象の分析、現実的な攻撃のシミュレーション、脅威インテリジェンスの活用などによって、環境のセキュリティを評価します。その結果は?悪用されるリスクとビジネスへの影響に基づいて、優先順位をつけた緩和策のロードマップを作成します。
簡単に言えば、SecValは防御の「バトル・テスト」です。
今日では、エージェントレスでユーザーフレンドリーな敵対的検証ツールにより、状況はさらに進化しています。以下は、セキュリティ向上のためにSecValを活用する3つの方法です。
ランサムウェアに対する検証
想像してみてほしい。あなたのCEOがオフィスにやってきて、LockBitの最新の波とそれが引き起こした壊滅的な被害について聞いたと話したとする。そして彼は、”我々は大丈夫だろうか?”という、常につきまとう質問をする。
答えるのは簡単ではない。必然的に “It depends…”(場合による)で始まるだろうし、それは彼が求めている安心感ではない。そこで、ランサムウェアに対する環境の検証が役に立つ。
LockBit、Revil、Maze、Contiといった系統をエミュレートすることで、ランサムウェアに対するプロアクティブなスタンスを維持することが可能だ。
侵入は、多くの場合、1人の素朴なユーザー、1つの更新されていないエンドポイント、1つの設定ミスのファイアウォールなどの異常から発生します。
自動化されたセキュリティ検証は、すべてのエンドポイントをテストし、ランサムウェアの侵入と拡散を許す可能性のある脆弱性や例外を特定することで、包括的なカバレッジを確保します。
ユーザー認証情報の検証
侵害の31%、Webアプリケーション攻撃の77%に、盗まれた認証情報が関与していることをご存知ですか?(ベライゾンの2024年DBIR)。
2021年のコロニアル・パイプライン攻撃を可能にしたのは、漏えいした認証情報です。攻撃者は、もはや使用されていない漏洩したVPNアカウントを通じてアクセスした。
このアカウントのパスワードは、ダークウェブで発見された流出した認証情報のバッチの一部でした。
組織は、流出した認証情報、収穫された認証情報、または脆弱な認証情報を積極的にテストしており、攻撃者が使用する機会を得る前に、公開された認証情報を発見し、無効化することができる。これには、ダークウェブで流出したクレデンシャルをスキャンし、クレデンシャルを詰め込む攻撃をシミュレートし、再利用されたパスワードや推測されやすいパスワードをチェックし、パスワードポリシーのギャップにフラグを立てることが含まれる。
セキュリティ検証は、MFA、SSO、アカウントロックアウト機構のようなクレデンシャルベースの防御が意図したとおりに機能することを保証します。漏洩したクレデンシャルの使用を安全に検証することで、組織はクレデンシャルベースの防御を評価し、セキュリティの重要なレイヤーのループを閉じることができます。
パッチを適用した脆弱性の検証
最新の重要なCVEに緊急パッチを適用するよう命じられ、急いで最新のソフトウェア・アップデートをダウンロードし、インストールして、それからどうしますか?そのアップデートが機能するのか、あるいは、うっかり別のバックドアを作ってしまっていないのか、確実にわかっているのだろうか?
セキュリティ検証は、パッチが単に導入されただけでなく、効果的であることを保証するために使用することができる。
その典型的な例が、悪名高いEquifaxのデータ流出事件である。Apache Strutsの既知の脆弱性にパッチを当てなかったために、1億4,700万人分の機密データが流出した。
パッチを適用した後に定期的な検証を行っていれば、パッチが正しく適用されているか、また、パッチが原因で不注意に生じた可能性のあるギャップが残っていないかを確認することで、このような事態を回避できたはずです。
明確な改善ガイダンスを得る
セキュリティ検証は、重大な脆弱性の発見にとどまらず、解決への明確な道筋を示すものでなければなりません。キルチェーン全体をマッピングすることで、セキュリティチームは最も重要な修正に優先順位を付けることができ、非効率的な「何でもかんでもパッチを当てる」アプローチから脱却できる。
このような的確な対応により、修復の遅延が最小限に抑えられ、チームは迅速かつ効果的に行動できるようになる。
セキュリティ検証は、ギャップを特定するだけでなく、何が機能しているかも確認する。防御が現実の脅威に対処できることを知ることは、単に期待するよりも大きな自信につながります。従来の評価基準とは異なり、セキュリティ検証では、模擬攻撃を通じて自社の防御態勢を評価するため、進捗状況をより明確かつ行動指向の視点で把握することができます。
リアクティブからプロアクティブへ
強化されたレジリエンスは、防御策を導入するだけではありません。組織は、本番の IT 環境で実際の攻撃を安全にエミュレートすることで、リアクティブなセキュリティ管 理からプロアクティブなセキュリティ管理へと移行することができる。
被害が発生する前に、セキュリティ管理が悪意のある活動を効果的に検出、ブロック、対応できているかどうかをテストする。
検証を導入したセキュリティ・リーダーは、長期的な成功に向けて効果的なポジションを確立している。彼らは次の侵害を待つのではなく、検証し、是正し、それを繰り返しているのです。
検証を開始し、防御を開始し、勝利を収める方法を学ぶには、GOATガイドを入手してください。
著者
ベテランの最高マーケティング責任者であるアビブ・コーエンは、製品およびマーケティング管理で20年以上の経験を持つ講演者、漫画家、作家である。ペンテラの設立初期に参画し、同社を世界的なブランドと市場リーダーへと成長させた。Pentera以前は、Earnixのブランド開発、Excelerate Insurance SummitおよびCEO Forumの設立、Nvidia (NASDAQ: NVDA)およびAmdocs (NASDAQ: DOX)での製品およびマーケティングにおける重要な職務を歴任。アヴィヴは電子工学とコンピューターサイエンスの学士号とMBAを取得している。
主催・執筆:ペンテラ
Comments