NCSC、ペネトレーションテスターの仕事を難しくする方法についてのヒントを公開

ペネトレーションテスターによると、セキュア・バイ・デザインのシステム、セグメント化されたネットワーク、そしてログ記録・監視が、サイバー攻撃者を打ち負かす最善の方法だといいます。

これは、国家サイバーセキュリティセンター(NCSC)が7月1日に公開したブログ記事で明らかにしたものです。同センターは、協力関係にあるペネトレーションテスターの一団に「組織は、あなたたちの仕事をより難しくするために何ができるか」と尋ねたとのことです。

彼らの回答は、セキュリティチームが自社システムの侵害耐性を高める上で参考になるはずです。

ペネトレーションテストの関連記事はこちら: 自動化されたAI脆弱性スキャンへの信頼が9%まで急落、新たな調査で判明。

NCSCが聞き取りを行ったペネトレーションテスターたちは、セキュア・バイ・デザインのシステムが不可欠だと述べています。攻撃の実行をより困難にするうえ、発見された脆弱性の修正も容易になるためです。

NCSCによれば、セキュア・バイ・デザインとは以下を意味します。

  • 開発プロセスにおける脅威モデリングの活用
  • 特権ユーザーに対する強力な認証(フィッシング耐性のある多要素認証)の義務化。これはオプトアウト方式とする
  • ツール内のデフォルトパスワードの変更
  • 入力データをできるだけ早期に検証し、エラーを明確かつ安全な方法で処理すること
  • 認証情報の安全な保管、およびソフトウェアへの認証情報のハードコーディング回避
  • 不正アクセスのリスクがある場合、保管中および転送中の機密データの保護

セグメント化とログ記録

ペネトレーションテスターはまた、ネットワークセグメンテーションも嫌います。これは、高レベルなネットワーク設計、VLANやファイアウォールの利用、あるいはネットワークの各領域ごとに別々のアカウントを持つユーザーやグループの管理などによって実現できます。

OTシステムは、横方向への侵入(ラテラルムーブメント)を防ぎ、可用性の喪失を回避するため、ITネットワークから分離すべきです。

「セグメンテーションとは、単にITとOTを分離することだけを意味するのではありません。その境界を何が越えていくのかを制御することが重要なのです。ドメイン横断的な思考は、信頼のゾーンを定義し、その間のデータフローを厳密に管理する助けとなります」とNCSCは続けています。

「安全なOT接続は、露出する接続を最小限に抑え、アクセス経路を標準化し、境界を強化すべきです。一方、特権アクセス用ワークステーション(PAW)は、特権管理のための信頼できるデバイスを提供し、近道を減らして横方向への侵入をより困難にします」

最後に、質の高いログ記録、監視、調査は、ペネトレーションテスター(ひいては悪意あるハッカー)の仕事を難しくします。

「どれほど優れたログ記録・監視機能であっても、組織が適切なデータを収集し、そのデータに適切な方法で対応しなければ意味がないことを、いくら強調してもし過ぎることはありません」とNCSCは結論付けています。「アラートが確実に適切な調査を受けるようにし、インシデント対応計画が策定され、チームに定期的に周知・訓練されるようにしてください」

翻訳元: https://www.infosecurity-magazine.com/news/ncsc-tips-make-pen-testers-job/

ソース: infosecurity-magazine.com