先週、サイバーセキュリティ・インフラセキュリティ庁(CISA)の担当者は、連邦政府の民間部門全体でF5製品の使用状況を追跡する上で直面した課題について率直に語りました。CISAは現在、数千件のF5の使用例があることは把握しているものの、それぞれがどこに配備されているかは確信が持てないと認めました。
この不確実性は、CISAがF5に関連する緊急指令を発出し、他の政府機関に対してF5のインスタンスを特定しパッチを適用するよう指示した際に明らかになりました。この緊急性は、F5自身が国家主体による長期的なシステム侵入を明らかにしたことに起因しています。
この指令の主な目的の一つは、「連邦ネットワーク内の異なるF5技術を特定する手助けをすること」だと、ある担当者が記者団に語りました。
CISAは、数十億ドルが投じられてきた「連続診断・緩和(CDM)」プログラムにもかかわらず、F5の全体像を把握できていませんでした。このプログラムは、他にも「連邦のサイバーセキュリティ態勢の可視性向上」などを目的としており、CISAの公式ウェブサイトでも主要な4つの目標の一つとされています。
連邦政府内でF5の脆弱性がどの程度存在するかCISAが把握できていないことは、概ね高く評価されているCDMプログラムの弱点を浮き彫りにしています。しかし、CDMが自動的にF5の普及状況を特定できなかったのは、急速に変化する技術と、デジタル資産の追跡に特化したCDMの一部の限界によるものだと、現役・元CISA職員やサイバー業界関係者は指摘しています。
エッジの見落とし
「CDMは従来型の資産、例えばコンピュータやサーバーに強く焦点を当ててきましたが、ネットワーク側では多くの場合苦戦しています」と、QualysのCISOであるジョナサン・トゥルル氏はCyberScoopに語りました。
11年間CISAに在籍したショーン・コネリー氏は、CDMの初期からこのプログラムに精通していると述べました。CDMは2012年に60億ドルの契約で始まりました。国土安全保障省は最初の10年間で数十億ドルを受け取り、2022年時点でも今後10年間でさらに数十億ドルを投じる計画でした。詳細
「CDMの多くの機能は当初、内部ネットワークや各機関内部で起きていること、そしてミッション重視のシステムにより重点が置かれていました。インターネットに直接接続されたシステムではありませんでした」と、現在ZScalerのグローバルゼロトラスト戦略・政策担当エグゼクティブディレクターであるコネリー氏はCyberScoopに語りました。これはF5がエッジデバイスに存在する状況とは対照的だと述べました。
「その種のデバイス、つまりファイアウォールやエッジにあるデバイスは、通常、内部ネットワークのような報告機能を持っていませんし、デバイスにエージェントをインストールできるようなものでもありません」とコネリー氏は続けました。「多くのエッジデバイスは独自仕様で、センサーを設置することができません。」
エッジデバイスは、特に中国関連のハッカーにとって現在最も好まれる標的でもあると、CISAの元サイバーセキュリティ副執行補佐ディレクターのマット・ハートマン氏は述べています。
「機関ネットワークの規模と多様性を考えると、特にネットワークエッジデバイスのような技術に対しては可視性のギャップがあります」と、現在Merlin Groupのチーフストラテジーオフィサーを務めるハートマン氏はCyberScoopに書面で答えました。「F5 BIG-IPロードバランサーのようなデバイスは、しばしば機関の内部ネットワークとパブリックインターネットの間にある非武装地帯(DMZ)に存在します。これらの環境は、機関のエンタープライズネットワークと同じインベントリやテレメトリーツールで常に監視されているわけではありません。そして、これらのデバイスの位置や監視方法の違いから、攻撃者にとって理想的な侵入口やピボットポイントとなっています。」
コネリー氏は、CDMチームは連邦ネットワークへの可視性拡大に常に注力していると述べました。また、CDM以外にもCISAのサイバーハイジーンサービス(CyHy)など、支援できる他のプログラムもあると述べました。
F5の脆弱性は、CDMが可視性を高めるために改善が必要な点を示す唯一の例ではありません。
CDMプログラムマネージャーのマット・ハウス氏は、昨年、CDMがクラウドインフラへの対応を目指していると述べました。しかし「既存のCDMツールをプラットフォーム・アズ・ア・サービスやソフトウェア・アズ・ア・サービスに適用する際には、ほとんど盲目状態だ」と語り、その状況を変える第一歩はCDMが資産をどのように定義しているかを見直すことだと述べました。また、すべての機関がオンプレミスのハードウェアでさえ100%の資産特定と監視を行っているわけではないとも述べました。
トゥルル氏は「資産とは何かという考え方が大きく変化した」と述べました。
6月の政府説明責任局(GAO)報告書は、CDMがサイバーセキュリティの可視性目標を「部分的に達成」しているとし、CISAと行政管理予算局(OMB)が機関向けに有用な「ダッシュボード」を作成したと述べました。しかし、CISAのガイダンス不足がこれらの目標の達成を妨げていると報告書は結論付けています。
「ダッシュボードは各機能領域からの情報を可視化し、資産、ユーザー、ネットワーク、データに関連するサイバーセキュリティ態勢への洞察を提供することを意図しています」と報告書は述べています。「しかし、23の民間機関のうち21の担当者は、ネットワークセキュリティ管理およびデータ保護管理分野で機能を完全に実装していないと述べました。複数の機関の担当者によれば、これらの機能に関するCISAからの追加ガイダンスを待っているとのことです。」
CISAはまた、CDMがポスト量子暗号への移行対象システムの特定に十分ではないとも昨年結論付けました。
ハートマン氏は—このストーリーの取材に応じた全員がCDMプログラムを称賛したように—現在の課題が将来の能力を反映するものではないと強調しました。
「現在、CDMはサーバーやワークステーションなどの従来型IT資産には優れていますが、OTやIoTなどの特殊システムや、動的に変化するクラウドネイティブリソースやコンテナ化されたワークロードには最適化されていません」と彼は述べました。「良いニュースは、CISAがこれらのギャップを完全に認識しており、CDMの展開ロードマップに組み込まれていることです。」
CDMは指令とどう連携するか
CDMによる自動識別ができない場合、F5の脆弱性に対して発出されたような緊急指令が、連邦機関の一連の対応を引き起こします。
「プロセスは通常、インベントリの検証から始まります。どの資産がどこにあり、どのように構成されているかを確認するのです」と、Keeper SecurityのCISOであり、米国市民権・移民局の元CISOであるシェーン・バーニー氏は書面で述べました。「F5システムのようなデバイスに関連する問題に対処するため、機関チームはネットワークスキャン、資産インベントリ、調達記録など複数のデータソースに頼り、完全な可視性を確保し、すべてのシステムを把握します。」
ハートマン氏は「CDMは、CISAと機関が自らの環境を迅速かつ包括的にインベントリできるように合理化し、緊急指令プロセスのスピードを向上させた」と述べました。
CISAのスポークスパーソンであるマーシー・マッカーシー氏は、緊急指令は「CISAがテクノロジーパートナーと協力して重要かつタイムリーな情報を伝達した好例だった」と述べました。
先週メディアに説明したCISA担当者は、連邦機関の予算や人員削減が指令への対応に影響を与えることはないと述べました。オハイオ州選出のショーンテル・ブラウン下院議員(サイバーセキュリティ・情報技術・政府革新監督小委員会の民主党トップ)は、これらの削減がCDMのパフォーマンスに与える影響を懸念していると述べました。
「ランキングメンバーとして、私は連続診断・監視プログラムを支持します」とブラウン氏はCyberScoopに書面で述べました。「しかし、トランプ政権による大量解雇と予算削減は、このプログラムの有効性を危険にさらしています。私は今後もCISAの状況を監視し、透明性と監督を求めて機関のサイバーセキュリティ努力を支援します。」
緊急指令プロセスが大きく機能するのは、機関同士の協力によるものだと、CISAの元サイバーセキュリティ執行補佐ディレクターのジェフ・グリーン氏は述べました。
「CISAが連邦民間機関を保護する上での劇的な改善と、特にEDプロセスの有効性は、私がサイバーセキュリティ部門に着任したときに最も驚いたことの一つでした」と、現在ケンブリッジ・グローバル・アドバイザーズのシニアサイバーリーダーシップチームに加わったグリーン氏はCyberScoopに語りました。「これは他の機関と協力したからこそ機能し、チームは本当に必要なときだけEDを使うよう慎重でした。」
しかし、CDMの存在自体が、F5の脆弱性のようなインシデントへの対応に不可欠だと、Elasticのグローバル政府渉外責任者であるビル・ライト氏は述べました。
「成熟した包括的なCDMプログラムがなければ、連邦機関は手探り状態になりかねません」と彼は書面で述べました。「このインシデントは、CDMがこのような迅速で政府全体に及ぶ対応を可能にする基盤的能力であることを示しています。」
F5の脆弱性露呈は「CDMの意図した成果と現実の実行との間にある重大な緊張関係を浮き彫りにしています」と、SOCRadarのCISOであるエンサル・セケル氏は述べました。
「今、各機関が数千ものF5インスタンスのインベントリ作業に追われており、多くが露出している可能性があることは、データ収集と実用的な洞察の間に依然としてギャップがあることを示しています」と彼はCyberScoopに書面でコメントしました。「CDMは技術的には資産データを収集しているかもしれませんが、そのデータが正規化されておらず、統合されておらず、機関環境全体で容易に検索できない場合、このような時には運用上の有用性を失います。」
本記事の取材にはマット・カプコも協力しました。
翻訳元: https://cyberscoop.com/f5-vulnerability-highlights-weak-points-in-dhss-cdm-program/
