エンドオブライフのデバイスは、企業における広範なセキュリティ上の懸念事項であり、分割が不十分なネットワーク、未修正のシステム、可視性のギャップも同様であることが、最近のテレメトリレポートで明らかになった。
企業ネットワークがどれほど広範囲に広がり、可視性が不十分で、旧式のオペレーティングシステムや脆弱なIoTデバイスを実行しているPCやサーバーで溢れているかが、新たな調査で明らかになった。
Palo Alto Networksの調査によると、Linuxシステムの26%、Windowsシステムの8%がエンドオブライフ(EOL)バージョンのオペレーティングシステムで稼働している。
Palo Altoのデバイスセキュリティ脅威レポート(1,800社のネットワーク上の2,700万台のデバイスからのテレメトリデータに基づく)では、ネットワークディレクトリに登録されているITデバイスの39%がアクティブなエンドポイントセキュリティ保護を欠いていることも判明した。企業ネットワーク内の全デバイスの3分の1(32.5%)はIT管理外で稼働している。
セキュリティコントロールがないことで、攻撃者は検知されるリスクなしに保護されていないデバイスへ侵入できる。企業ネットワークのほぼ5分の4(77%)は分割が不十分であり、スマートコーヒーメーカーやプリンターのような低セキュリティデバイスと、金融サーバーのような高価値ターゲットが同じネットワークセグメント上に存在している。
「今回の調査で特に目立ったのは、オフィスカメラ、スマートセンサー、個人用ノートパソコンなどの日常的なデバイスが、どれほど頻繁に機密性の高いシステムに直接接続されているか、そしてIT管理下のデバイスでさえセキュリティギャップが存在していることです」と、Palo Alto Networksのクラウド提供型セキュリティサービス担当プロダクトマネジメントVPのQiang Huang氏はCSOに語る。「これらの接続のほぼ半数は、セキュリティを考慮せずに設計された高リスクデバイスからのものです。」
可視性のギャップ
可視性とセグメンテーションは、多くの企業ネットワークにおける最も弱いポイントのままである。企業デバイスのおよそ3分の1はいまだに管理されておらず、ほとんどのネットワークは実質的にフラットで、攻撃者が一度侵入すれば自由に移動できる。
さらに悪いことに、ネットワークエッジデバイスはますますゼロデイ脆弱性に悩まされており、専門家は基本的なセキュリティバグが原因だと指摘している。
「ファイアウォール、ルーター、スイッチの設定ミスは、これらのデバイスが特権アクセスと広範なネットワーク可視性を持つため、繰り返し大規模な侵害につながっています」と、Trend MicroのフィールドCTOであるBharat Mistry氏は述べる。「これらが脆弱性リストの上位にあることは、厳格なパッチ適用と設定管理の必要性を強調しています。」
ルーター、ビデオ会議システム、IoT機器はネットワークのエッジに位置し、多くの場合管理されておらず、パッチも不十分で、デフォルトの認証情報で稼働している。
「インターネットへの露出を減らし、デフォルトの認証情報を排除し、公開かつ悪用可能なデバイスの修正を優先すれば、攻撃者にとっての低労力な機会を大幅に減らせます」と、ForescoutのセキュリティインテリジェンスVPRik Ferguson氏は述べる。
Ferguson氏はさらに「エージェントカバレッジには頼れないので、継続的かつエージェントレスな可視性、ソフトウェア/ファームウェアのインベントリ、EOLやリスクベースのコントロールをセグメンテーションやパッチ適用レベルで実施する必要があります」と付け加える。
リスキーなビジネス
ForescoutのFerguson氏は、Palo Altoの数値はForescoutが世界中の企業ネットワークで観測しているテレメトリと一致しているとCSOに語る。
「Palo Altoの調査でLinuxシステムの26%、Windowsシステムの8%がエンドオブライフであるという結果は、特にルーターやアプライアンスに組み込まれたLinuxでカーネルバージョンが何年も遅れている現場の観測と方向性が一致しています」とFerguson氏は述べる。「その結果、未修正の脆弱性や弱いデフォルト設定を持つインターネット到達可能なデバイスの大きな攻撃対象領域が生まれています。」
Forescoutの最新年次リスキーデバイスレポートによると、ルーターやその他のネットワーク機器は最も危険な脆弱性を持つデバイスの半数以上を占めており、ビデオ/音声システムなど他のカテゴリも目立っている。
Forescoutの調査(ForescoutのDevice Cloudを利用する企業デバイスからのテレメトリと多要素リスクスコアリング手法に基づく)では、運用技術(OT)がもたらすリスクが急速に高まっていることも強調されている。
ForeScoutによれば、ドメイン別で最もリスクの高いデバイスには、IT側ではアプリケーションデリバリーコントローラーやファイアウォール、IoTではNVR、NAS、VoIP、IPカメラ、OTではユニバーサルゲートウェイやビル管理システムが含まれる。
QualysのEMEA担当マネージングディレクターMatt Middleton-Leal氏は、CISOがセキュリティ修復プロジェクトの支援を得たいのであれば、可視性、脆弱性修復、ネットワーク分割を社内でより重要視する必要があると述べている。
「ここには2つの問題があります。すべてのIT資産を完全に可視化する方法と、なぜエンドオブライフのソフトウェアやハードウェアがいまだにビジネス内に存在しているのかという点です」とMiddleton-Leal氏は述べる。「CISOにとって、これらの問題に対処するには、リスクをめぐってビジネスと協力することが必要です。」
セキュリティリーダーにとっての課題は、安全でない機器の交換プロジェクトが優先度の低いものと見なされ、たとえばAI関連プロジェクトのような「最先端」とされるイノベーションほどビジネス上の根拠がないことだ。
「エンドオブライフ資産の交換には時間や変更管理リソースが必要でコストがかかりますが、ビジネスへのリターンは十分ではありません」とMiddleton-Leal氏は述べる。
GRC International Groupの情報セキュリティ責任者Adam Seamons氏も、レガシーシステムの交換は企業ITプロジェクトの優先事項になることはほとんどないと同意している。
「エンドオブライフのWindowsやLinuxシステムが残り続けるのは怠慢ではなく、現実です」とSeamons氏は述べる。「レガシーシステムの交換は高コストでリスクも高く、何かが壊れるまで優先リストの上位に来ることはめったにありません。」
Seamons氏はさらに「未修正のデバイスはすべて、攻撃者にとって事実上のウェルカムマットです」と付け加える。
修復作業は単なるハードウェア交換や移行にとどまらず、アップグレードにはより新しく安全なコンポーネントで動作するようソフトウェアのリファクタリングなど追加作業が伴う場合もある。
「古いソフトウェア資産が更新されない理由は、再作業や変更管理が比較的大きな投資となり、見返りが少ないからです」とQualysのMiddleton-Leal氏は指摘する。
「CISOやセキュリティリーダーはこれらのコストをチームと共に乗り越えなければならず、エンドオブライフソフトウェアが交換できない場合は、補完的なコントロールやリスク緩和策を設計してソフトウェアや資産の安全を確保する必要があります」とMiddleton-Leal氏は述べる。
