The Defender’s Advantage Cyber Snapshotの最近の記事、Detecting Common Exploitation Paths Exposed on the Internetで、 Mandiant はインターネット上で公開されている一般的なエントリ パスを特定しました。最近、ウェビナーを開催して、これらの外部資産の露出、なぜそれらが一般的であるか、およびセキュリティチームが露出に対して修正および強化するために実行できる手順について説明しました.このブログでは、Mandiant の外部資産の強化に関する推奨事項の概要を説明します。
オンデマンドのウェビナーを視聴して、より詳細な情報を入手し、ライブの質問への回答を聞いてください。
外部資産の識別、列挙、および露出の検出
脅威アクターは、脆弱な、または不適切に構成された外部資産をエントリ ポイントまたは最初の侵害ベクトルとして使用して、偵察を実行し、横方向の動きを獲得し、アクセスを維持し、ミッションを達成することができます。外部資産の悪用による初期侵害から効果的に保護するには、組織はインターネットに接続するデバイス、アプリケーション、およびネットワーク サービスを特定、列挙、および強化する必要があります。
外部アセットの識別と列挙については、次の点を考慮してください。
- 外部に重点を置いた脆弱性評価または侵入テスト
- 既存のテクノロジー ベンダーが既知の脆弱性に対するパッチまたはアップデートを必要としていることを確認する
- 新しいテクノロジー ベンダーが既知の脆弱性にパッチを適用または更新するための要件を追加する
- サードパーティの脆弱性スキャン テクノロジーまたは外部の攻撃面管理ソリューションを活用する
上記のすべての考慮事項は、潜在的なインシデントを軽減するのに役立つ優先順位付けされた推奨される修復アクションを提供します。
Mandiant では、CVSS スコアが 8 を超える CVE や実際に悪用された CVE など、重大で深刻度の高い問題の修復作業を優先することをお勧めします。ただし、セキュリティ チームは、既知の CVE のエクスプロイトと組み合わせて使用できる重大度の低い脆弱性、設定ミス、および露出を認識し、監視することが不可欠です。重大度の低い問題の例には、公開されたサービス、バイパス可能な 2FA、アプリケーション情報の漏えい、期限切れ (またはほとんど) の証明書が含まれます。
組織の外部の攻撃面をすぐに確認するには、 Mandiant Advantage Attack Surface Management Freeを試してください。
露出した侵入経路に対する強化
次のガイダンスは、組織がインターネットに接続する資産に適用するための強化の推奨事項を提供します。
公開されたバージョン コントロール リポジトリ
公開されたバージョン管理リポジトリは通常、公開されている Web サーバー上にあり、組織やアプリケーションに関連する機密ファイルやソース コードが含まれている可能性があります。
- 外部向けの IP 範囲とインベントリ アプリケーション、およびそのアプリケーション/システムに必要なポート/プロトコルをスキャンします。
- システム/アプリケーションに関する外部からアクセス可能な情報の量を制限する
- サーバーから送信されるラテラル ムーブメント ポートを制限する (例: SMB、WMI、RDP)
- バージョン管理リポジトリにアクセスする管理者およびサービス アカウントのパスワードを定期的にローテーションする
コード リポジトリで漏えいする可能性のあるシークレット
オープンソース コード リポジトリには、機密情報や機密情報が含まれている場合があります。ベスト プラクティスとして、セキュリティ チームは次のことを継続的に実行する必要があります。
- プロフェッショナル ツールまたはオープンソース ツールを使用してコード リポジトリをスキャンしてシークレットを探します
- コミットされたすべてのコードでリポジトリのシークレット スキャンを強制します (つまり、コミット前のフックを作成します)。
- コード リポジトリでのログ記録を有効にする
- コミット履歴を消去して、シークレットを含む以前にコミットされたコードが削除されていることを確認します
- すべてのユーザーに多要素認証 (MFA) を適用する
- IP ホワイトリストを作成して、コード リポジトリへのアクセスが信頼できる場所からのものであることを確認します。
- ユーザーが公開リポジトリを作成する機能を無効にする
- ユーザーが既存のリポジトリをフォークする機能を無効にする
- 定期的に SAST および DAST スキャンを実行する
乗っ取りに対して脆弱なサブドメイン( T1584.001 – インフラストラクチャの侵害: ドメイン)
サードパーティのサービスを指すようにサブドメインを構成することは一般的な方法です。ただし、忘れられたサブドメインは、攻撃者がハイジャックして悪意のある手段に使用するためのベクトルを提供します。次のガイダンスは、セキュリティ チームが強力な DNS 検疫を維持するのに役立ちます。
- DNS レコードの監査
- アマス / アクアトーン / Sublist3r
- 古い CNAME レコードを DNS ゾーン ファイルから削除する
- サードパーティのサブドメイン レコードを検査する
- 固有の TXT レコードを作成する
- インスタンス名にエントロピーを適用する
- クライアントが名前を取り戻すことを禁止する
- ワイルドカード DNS をリッスンする
- サブドメインのプロビジョニングとプロビジョニング解除のプロセスを刷新
- 最初にインスタンスを作成し、次にサブドメインを作成してインスタンスを指すようにします
- 最初に CNAME レコードを削除してから、インスタンスを削除します
Microsoft Exchange の脆弱性
Mandiant は、2021 年に公開された Microsoft Exchange の脆弱性について広範に報告しました。詳細については、 こちらを参照してください。サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) は、2021 年に修復期限を実装しました。次のガイダンスは、セキュリティ チームが CISA ガイダンスを順守するのに役立ちます。
- Exchange Server からの送信通信を制限する
- HTTP/HTTPS/SMTP
- 内部通信パスの横移動ポートを制限する
- SMB、WMI、RDP
- Exchange特権アカウントを制限する
- 組織管理、Exchange Trust サブシステム
- 分割権限の構成
S3 バケットからの機密情報の漏えい
パブリック アクセスを許可する設定ミスと、不正アクセスを許可するバケット ポリシーは、S3 バケットで最もよく見られる 2 つの問題です。安全な S3 バケットを確保するために、次のガイダンスをサイバー防御戦略内に実装できます。
S3 バケットへのアクセスをさらに制限するバケット ポリシーを作成する
- HTTP 通信を制限し、HTTPS のみを強制する
- MFA 削除による S3 バージョニング
- サーバー アクセスとオブジェクト レベルのログ記録を有効にする
- S3 Block Public Access の実装を検討する
- 機密情報の公開 S3 バケットをスキャンする
その他の強化に関する推奨事項と検出の機会については、ホワイト ペーパー「プロアクティブな準備と破壊的な攻撃から保護するための強化」を参照してください。
Mandiant の専門家による最新の洞察を読んで、 The Defender’s Advantage Cyber Snapshot のコピーをダウンロードしてください。
参照: https://www.mandiant.com/resources/blog/preventing-and-remediating-external-asset-exposures
Comments