インターネットに公開された資産は、悪意のある人物があらゆる組織にアクセスするための簡単なエントリ ポイントとして機能します。侵入すると、攻撃者はこれらのインターネットに接続された資産を使用して、偵察を実行し、データを盗み、横方向に移動し、アクセスを維持し、破壊または混乱を引き起こします。 Mandiant は最近、約 26% の確率で攻撃者が公開アプリケーションを悪用して初期アクセスを取得していると報告しました。これは、組織が資産と脆弱性の最新のインベントリを維持することがいかに重要であるかを強調しています。これは、連邦政府を含め、公的機関と民間企業の両方に当てはまります。リスクを効果的に軽減し、初期侵害から保護するために、連邦政府機関は、インターネットに接続するデバイス、ホスト、アプリケーション、およびネットワーク サービスを特定、列挙、および強化する必要があります。
拘束力のある運用指令 23-01 — 連邦ネットワークでの資産の可視性と脆弱性の検出の改善
サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) の最近の連邦ネットワークにおける資産の可視性と脆弱性の検出を改善するための拘束力のある運用指令には、国家のサイバー セキュリティ体制を改善するための最新の要件が含まれています。この指令は、すべての連邦民間機関に対し、すべての IP アドレス可能なネットワーク資産について、継続的かつ包括的な資産の可視化と脆弱性の列挙を実施することを要求しています。新しいポリシーによると、これは、「政府機関の情報を収集、処理、保存、送信、配布、またはその他の方法で維持する機関に代わって、別のエンティティによって使用または運用される」ものを含む、すべての未分類の連邦情報システムに適用されます。機関は、資産の発見と脆弱性の検出の方法を自由に選択できます。ただし、次の結果を達成するには、2023 年 4 月 3 日までに行動を起こす必要があります。
- IPv4 および IPv6 プロトコルを介してアクセス可能なネットワーク資産の最新のインベントリを維持します。
- 技術的に実行可能なあらゆる手段でソフトウェアの脆弱性を特定します。
- 政府機関が資産を列挙する頻度、達成した資産の範囲、および脆弱性シグネチャの最新性を追跡します。と
- CISA の継続的な診断と緩和 (CDM) プログラムの連邦ダッシュボードに資産と脆弱性の情報を提供します。
資産の発見と脆弱性の検出は、サイバー防御に対するより広範で全体的なアプローチの構成要素です。指令 23-01 は、 大統領令 14208 、 Improving the Nation’s Cybersecurity、およびいくつかの追加の最近のホワイト ハウス ポリシーに続いて適用されます。 ゼロトラスト アーキテクチャの実装とエンドポイントの検出と対応 (EDR) の採用を促進します。資産の検出と脆弱性の検出を、脅威ハンティング、悪意のあるアクティビティの検出、およびゼロトラスト アーキテクチャと組み合わせることで、連邦機関がサイバー攻撃からシステムを保護するための強力で包括的なアプローチが提供されます。
外部向けの資産とサービスを積極的に特定して検証する方法を検討する場合は、コンプライアンスを迅速に達成するために次のことを評価してください。
- 内部および外部に重点を置いた脆弱性評価または侵入テスト演習
- 既存のテクノロジー ベンダーが既知の脆弱性に対するパッチまたはアップデートを必要としていることを確認する
- 新しいテクノロジー ベンダーが既知の脆弱性にパッチを適用または更新するための要件を追加する
- CISAのKnown Exploited Vulnerabilityカタログ全体をカバーするサードパーティの脆弱性スキャン技術または外部の攻撃面管理ソリューションを活用する
攻撃対象領域管理による外部資産の発見と脆弱性の列挙
Mandiant Advantage Attack Surface Management (ASM) は、SaaS ベースのシステムを通じて、組織の攻撃対象領域の独自の敵対的ビューを提供することで、CISA 指令に対するソリューションを提供します。組織に関する単純な情報 (ドメイン、既知のネットワーク、または SaaS アカウントなど) から始めて、ASM は、攻撃者と同様に、組織の分散グローバル インフラストラクチャに関する資産および露出情報を収集します。次に、このソリューションは、外部に面した資産とクラウド リソースを毎日スキャンして徹底的な検出を実行し、組織に対するソフトウェア、アーキテクチャ、および構成のリスクを特定します。 Mandiant Threat Intelligence、NIST の National Vulnerability Database、CISA の Known Exploited Vulnerability カタログ、Mandiant によって作成されたカスタム コンテンツなど、250 を超えるデータ ソースをクロスチェックして、重大度レベルを割り当て、リスク修復のガイダンスを提供します。脅威インテリジェンスを顧客の攻撃面に直接適用することで、組織は特定の業界内で悪用される可能性が最も高い資産を特定して、優先順位付けを改善できます。これにより、防御チームの追加のサイクルが削減され、燃え尽き症候群のリスクが減少し、潜在的なコスト削減にもつながる可能性があります。
インシデント対応とマネージド サービスの最前線から新しい情報が収集されると、Mandiant の専門家は最新の脆弱性を迅速にチェックします。最近の注目すべき例には、Log4j と Microsoft Exchange Server の脆弱性が含まれており、どちらも発見から数時間以内に ASM によって検出されました。
攻撃対象領域の管理機能には次のものがあります。
- オープンなインターネット、クラウド プロバイダー、コード リポジトリで検出可能な 15 種類以上のアセット タイプ
- 既知の CVE や設定ミスに対する資産の露出を検証する 350 以上のアクティブなチェック
- 最も重要なものに優先順位を付けるための構成可能な課題作成設定
- 4,400 以上のテクノロジー ベンダーと製品のフィンガープリント
詳細については、Mandiant Advantage Attack Surface Management にアクセスするか、 Mandiant Advantageプラットフォームへの無料アクセスにサインアップして、脅威インテリジェンスと攻撃面の管理を行ってください。
参照: https://www.mandiant.com/resources/blog/cisa-directive-strengthens-federal-networks
Comments