ペネトレーションテスターによると、セキュア・バイ・デザインのシステム、セグメント化されたネットワーク、そしてログ記録・監視が、サイバー攻撃者を打ち負かす最善の方法だといいます。
これは、国家サイバーセキュリティセンター(NCSC)が7月1日に公開したブログ記事で明らかにしたものです。同センターは、協力関係にあるペネトレーションテスターの一団に「組織は、あなたたちの仕事をより難しくするために何ができるか」と尋ねたとのことです。
彼らの回答は、セキュリティチームが自社システムの侵害耐性を高める上で参考になるはずです。
ペネトレーションテストの関連記事はこちら: 自動化されたAI脆弱性スキャンへの信頼が9%まで急落、新たな調査で判明。
NCSCが聞き取りを行ったペネトレーションテスターたちは、セキュア・バイ・デザインのシステムが不可欠だと述べています。攻撃の実行をより困難にするうえ、発見された脆弱性の修正も容易になるためです。
NCSCによれば、セキュア・バイ・デザインとは以下を意味します。
- 開発プロセスにおける脅威モデリングの活用
- 特権ユーザーに対する強力な認証(フィッシング耐性のある多要素認証)の義務化。これはオプトアウト方式とする
- ツール内のデフォルトパスワードの変更
- 入力データをできるだけ早期に検証し、エラーを明確かつ安全な方法で処理すること
- 認証情報の安全な保管、およびソフトウェアへの認証情報のハードコーディング回避
- 不正アクセスのリスクがある場合、保管中および転送中の機密データの保護
セグメント化とログ記録
ペネトレーションテスターはまた、ネットワークセグメンテーションも嫌います。これは、高レベルなネットワーク設計、VLANやファイアウォールの利用、あるいはネットワークの各領域ごとに別々のアカウントを持つユーザーやグループの管理などによって実現できます。
OTシステムは、横方向への侵入(ラテラルムーブメント)を防ぎ、可用性の喪失を回避するため、ITネットワークから分離すべきです。
「セグメンテーションとは、単にITとOTを分離することだけを意味するのではありません。その境界を何が越えていくのかを制御することが重要なのです。ドメイン横断的な思考は、信頼のゾーンを定義し、その間のデータフローを厳密に管理する助けとなります」とNCSCは続けています。
「安全なOT接続は、露出する接続を最小限に抑え、アクセス経路を標準化し、境界を強化すべきです。一方、特権アクセス用ワークステーション(PAW)は、特権管理のための信頼できるデバイスを提供し、近道を減らして横方向への侵入をより困難にします」
最後に、質の高いログ記録、監視、調査は、ペネトレーションテスター(ひいては悪意あるハッカー)の仕事を難しくします。
「どれほど優れたログ記録・監視機能であっても、組織が適切なデータを収集し、そのデータに適切な方法で対応しなければ意味がないことを、いくら強調してもし過ぎることはありません」とNCSCは結論付けています。「アラートが確実に適切な調査を受けるようにし、インシデント対応計画が策定され、チームに定期的に周知・訓練されるようにしてください」
翻訳元: https://www.infosecurity-magazine.com/news/ncsc-tips-make-pen-testers-job/