あなたを危険にさらすのは派手なハッキングではなく、パッチを当て忘れた退屈な部分です。防御を崩壊させるかもしれない15の巧妙な盲点を紹介します。
レジリエンスは継ぎ目で失敗します。小さな設定ミス、忘れられたデフォルト、静かに進行するドリフトは目立たないまま、問題発生時の被害範囲を拡大させます。
ほとんどの侵害は珍しいゼロデイ脆弱性から始まりません。平凡な抜け穴が狙われます。時刻のズレでフォレンジックが破綻したり、乗っ取りやすい古いDNSレコードや、誰も覚えていないプリンターが原因になったりします。
このパターンを見たことがあるはずです。攻撃者はあなたが忘れていた退屈な脆弱性を見つけ、それを使って本当に大切なものすべてを侵害します。
システム全体のレジリエンスには、アイデンティティ、設定、テレメトリ、クラウド、リカバリーにまたがる地味な抜け穴を塞ぐことが必要です。これらはカンファレンスで話題になるような派手な脆弱性ではありません。インシデントを災害に変える静かな殺し屋です。
「気づかぬうちに組織を蝕む静かな破壊者の正体」では、微妙で見落とされがちなセキュリティギャップがどのように組織の防御力を静かに蝕むかを検証しました。
今回は、6つの重複しない領域にまたがる15の盲点について解説します。重複も漏れもなく、攻撃者が見つける前に割り当て、測定し、解消できるシンプルなチェックリストです。
時刻とテレメトリの完全性
時刻やログが信頼できなければ、検知もフォレンジックも根本原因の特定も信頼できません。
サーバー時刻同期(NTPドリフト)
時刻のズレは攻撃者にとって絶好の隠れ蓑です。サーバー同士でイベント発生時刻が食い違えば、相関は崩れ、フォレンジックは虚構になります。それでも多くの組織はNTPを配管のように扱い、一度設定したら放置しています。
今すぐ対策しましょう。認証付きソースによる安全なNTP階層を徹底し、オフセットを厳格に監視しましょう。境界で許可されていないNTPトラフィックを遮断し、100msを超えるドリフトにアラートを設定してください。SIEMも、夜中3時に幽霊を追いかけることのないインシデント対応者も、きっと感謝するでしょう。
見落とされがちなログの抜け穴
ファイアウォールのログに埋もれ、本当に重要なものが見えていません。エンドポイントのテレメトリもなければ、クラウドIAMの監査証跡もなく、プロセス生成の監視もありません。攻撃者はこのバランスの悪さを好み、あなたが見えない場所で活動します。
今日、最低限必要なテレメトリの基準を定めましょう。すべてのエンドポイントにEDRを導入し、すべてのアイデンティティ操作を記録し、クラウドコントロールプレーンの変更もすべてキャプチャしましょう。これらのシグナルを中央集約し、毎週その完全性を検証し、検知が本当に機能しているかテストしましょう。多くの組織はこれをしていません。
信頼できるシグナルを確保したら、誰が何をできるかを制御しましょう。
アイデンティティとエッジ
攻撃者はガバナンスが最も緩い経路を好みます。サービスプリンシパル、BYOD、誰も所有していないデバイスなどです。
特権サービスアカウント
2019年に設定されたドメイン管理者権限付きのサービスアカウントがありませんか?攻撃者はそれを知っています。非人間系のアイデンティティは管理が追いつかないほど増殖し、それぞれが静的な秘密情報や過剰な権限を持っています。
明日から棚卸しを始めましょう。すべてのサービスアカウントにオーナーを割り当て、最小権限を徹底してください。秘密情報は四半期ごとにローテーションするか、マネージドアイデンティティに移行しましょう。可能な限りMFAを有効化してください。サービスアカウントにも例外はありません。異常な挙動を継続的に監視しましょう。これらのアカウントは休暇を取りません。異常な活動は侵害のサインです。
モバイルデバイス管理(BYODの拡散)
BYODの拡散は、企業データがあなたの管理外の個人スマホに存在することを意味します。1台のデバイスが侵害されるだけで、メールやファイル、チャットへの永続的なアクセスが可能になります。今やあなたのセキュリティ境界にはAmazonやBest Buyで購入されたデバイスも含まれます。
MDMまたはMAMを例外なく適用しましょう。デバイスの準拠状況に基づく条件付きアクセスを設定し、業務用アプリをコンテナ化してデータの混在を防ぎましょう。リモートワイプを迅速に実行できるようにし、その効果を四半期ごとにテストしてください。退職者の個人スマホに企業秘密が残らないようにしましょう。
安全でないプリンターやIoTデバイス
フラットなネットワーク上のデフォルト認証情報は攻撃者のお気に入りです。会議室のスマートTVは2018年からLinuxで稼働し、プリンターはadmin/adminのままです。どちらもドメインコントローラーと同じネットワーク上にあります。
今すぐセグメント化しましょう。すべてのデフォルト認証情報を変更し、プリンターも含めたファームウェアのパッチサイクルを作りましょう。使わないサービスは無効化してください(ほとんどが不要です)。これらのデバイスと重要システム間の東西トラフィックを監視しましょう。プリンターがデータベースサーバーと通信し始めたら、それは問題です。
アイデンティティとエッジを制御したら、次はその基盤を強化しましょう。
設定と暗号の衛生管理
静かな設定負債は攻撃経路を増やします。暗号の遅れはダウングレードや盗聴を招きます。
ファームウェア・BIOS/UEFIアップデート
ファームウェアはOSの下に存在し、永続化に最適です。しかし多くの組織は一度もパッチを当てません。サーバーは製造時のBIOSバージョンのままで、既知の脆弱性を抱えています。
来月からパッチSLAにファームウェアを含めましょう。改ざん検知のためのアテステーションを有効化し、すべてでセキュアブートを設定しましょう。ベンダーのセキュリティアラートを購読してください。ファームウェアの脆弱性は武器化されるまでニュースになりません。
旧式の暗号化プロトコル
レガシーアプリのためにTLS 1.0を使い続けていませんか?SSL 3.0も「念のため」有効のまま。互換性維持のために弱い暗号が残り続けます。攻撃者はこのためらいを毎日悪用しています。
今週末にTLS 1.2未満はすべて無効化しましょう。最新の暗号スイートのみを強制し、証明書の衛生状態を毎月監査してください。期限切れ証明書や弱い鍵はリスクを増やします。今、互換性を断ち切らなければ、後で攻撃者に機密性を破られます。
非本番環境の安全でないデフォルト設定
「開発用だから」と油断した設定が「なぜ本番データが漏れた?」につながります。弱い非本番設定が本番に持ち込まれたり、下位環境で実データが露出したりします。
すべての環境でゴールデンイメージを適用し、ポリシーをコード化してドリフトを防ぎましょう。秘密情報は必ずボールトに保存し、設定ファイルには絶対に書かないでください。非本番環境のセキュリティも本番と同等にしましょう。攻撃者は環境の区別をしません。
表面を強化したら、今度は見えない外部信頼の悪用を防ぎましょう。
DNSとWeb信頼境界
信頼は名前とリンクから始まります。あなたがクリーンにしなければ、攻撃者がやります。
古いDNSレコード
孤立したサブドメインは即席のフィッシング基盤になります。廃止したサービスへのCNAMEが残っていませんか?攻撃者は明日それを乗っ取り、あなたのドメインの評判を引き継げます。
毎月ゾーン全体を棚卸しし、すべてのレコードにオーナーをタグ付けしましょう。90日使われていないレコードは自動削除し、DNS変更には必ず2名の承認を求めてください。DNSのタイプミスは永遠に残ります。
サードパーティのオープンリダイレクト
あなたの信頼されたドメインが、リダイレクトパラメータを通じて悪意あるリンクを洗浄します。ユーザーはあなたのURLを見て安心してクリックし、侵害されます。
すべてのリダイレクト先を許可リストで検証し、リダイレクトトークンには署名と短い有効期限を設定しましょう。リファラーログで悪用パターンを監視してください。あなたのドメインの評判は築くのに何年もかかり、壊れるのは一瞬です。
名前をクリーンにしたら、次はビジネスを支えるクラウドとSaaSの拡散を制御しましょう。
クラウドとSaaSの拡散
ガードレールなしのクラウドのスピードは、見えない負債を生みます。未使用の資産、未知のアプリ、危険なパートナーシップなどです。
シャドーSaaSの可視化
シャドーSaaSがないと思っていませんか?考え直してください。マーケティング部門は「無料」のAIツールに顧客データベースを丸ごと登録し、営業は未審査のプラットフォームに契約書をアップロードしています。データはブラウザタブからガバナンス外に流出します。
CASBやSSPMを導入して調査すれば、想定の3倍のアプリが見つかるでしょう。独自導入よりも早い受付プロセスを作り、データを分類して未承認アプリへのアップロードをブロックしましょう。ユーザーが独自に探す前に、承認済みの代替案を提供してください。
孤立したクラウド資産
顧客データ入りの放置S3バケット。本番アクセス権を持つテストインスタンス。退職者の個人プロジェクトが企業アカウントで稼働し続けている。クラウドの拡散と孤立資産は見えない攻撃面を生みます。
作成時のタグ付けを義務化しましょう。タグがなければリソース作成不可にし、30日未タグのリソースは自動削除。攻撃面スキャンを毎週実施し、オーナー不在の資産は自動隔離しましょう。クラウド請求額もセキュリティも改善します。
組織間APIの信頼
恒久トークンと管理者権限を持つパートナーAPI。導入以来一度も見直されていないベンダー連携。組織間接続の一つひとつが攻撃者の橋渡しになります。
連携前にセキュリティ要件を契約し、mTLSとOAuthで最小権限を実装しましょう。クライアントごとに鍵を発行し、共有認証情報は使わないでください。トークンは四半期ごとにローテーションし、異常なパターンを監視しましょう。パートナーを信頼しても、そのセキュリティは必ず検証してください。
表面とプロバイダーを管理したら、ビルドチェーンと最後の防衛線を守りましょう。
ソフトウェアサプライチェーンとリカバリー体制
上流を侵害するか、まずバックアップを潰すか。どちらも被害を最大化します。
コード再利用と忘れられた依存関係
あなたのアプリにはオバマ政権時代に最後に更新されたライブラリが含まれていませんか?間接依存関係には聞いたこともない脆弱性が潜みます。すべてのコンポーネントが攻撃経路になり得ます。
すべてのビルドでSBOMを生成し、重大な問題でビルドを止めるSCAツールを使いましょう。バージョンは固定し、計画的にアップデートしてください。出所を検証し、署名付きアーティファクトを必須にしましょう。サプライチェーンは最も弱い依存関係の強さしかありません。
バックアップの安全性の思い込み
オンラインで暗号化もテストもされていないバックアップは、ランサムウェアの最初の標的です。あなたは「大丈夫」と思っていますが、いざ必要なときに使えないことに気づきます。
3-2-1バックアップ戦略を今すぐ実施しましょう。変更不可でエアギャップされたコピーを作り、四半期ごとにリストアをテストしてください。「完了」ログだけでなく、実際のデータ復元を確認しましょう。リストア権限はバックアップ権限より厳格に制限し、すべてを暗号化しましょう。バックアップは最後の希望です。それにふさわしい扱いを。
メンテナンスでレジリエンスを獲得する
レジリエンスは通達では得られません。メンテナンスで得られるものです。
これら15項目は、シグナル、アイデンティティ、設定、信頼、クラウド、リカバリーにまたがる最も悪用されやすい継ぎ目を塞ぎます。90日間のアクションプランはこちら:
- 最初の30日:棚卸しと測定。 NTPドリフトの確認、ログカバレッジの評価、サービスアカウントの棚卸し、DNS衛生の監査、シャドーSaaSの発見、バックアップリストアのテスト。
- 次の30日:基準の徹底。 ファームウェアのパッチ、暗号の強化、非本番環境の本番同等化、全デバイスへのMDM導入、クラウドのタグ付けとライフサイクルポリシーの実装。
- 最後の30日:レジリエンスの検証。 リストア訓練、検知効果のテスト、API契約の見直し、SBOMガバナンスの確立。
今日、領域ごとにオーナーを割り当てましょう。準拠資産の割合、ファームウェアパッチの平均所要時間、ログカバレッジ率、バックアップリストア成功率、最小権限スコープのAPI割合を追跡してください。
これら15項目を監査計画と四半期ごとのKRIに組み込みましょう。攻撃者に先んじて閉じてください。
退屈な脆弱性は、ゆっくり、そして突然あなたを殺します。そうならないようにしましょう。
この記事はFoundry Expert Contributor Networkの一部として掲載されています。
参加希望はこちら
