TokyoBlackHatNews

silentpush.com 9分で読了

先制的サイバー防御でDORAの5つの柱を極める

デジタル・オペレーショナル・レジリエンス法(DORA) は、EUの金融セクターにとってパラダイムシフトを意味します。もはや、事後対応型のセキュリティ姿勢だけでは不十分です。DORAは、ICTリスクを管理し、デジタル・オペレーショナル・レジリエンスを確保するための、包括的で能動的かつテスト可能な枠組みを義務付けています。

課題は何でしょうか? 従来のセキュリティツールの多くは、侵害の指標(IOC)、つまりすでに起きた攻撃の証拠に対応するように作られています。

DORAは、攻撃が起きるに脅威を特定するため、組織が「爆発の左側(left of boom)」へ移行することを求めています。これが将来攻撃の指標(IOFA)™の中核原則です。IOFA™は、攻撃者が準備段階で構築するインフラを特定する、先制的サイバー防御モデルです。

Silent Pushでは、当社プラットフォームはこのIOFA中心モデルに基づいて構築されています。プラットフォームの機能をDORAの5つの中核的な柱に直接対応付けることで、真に先制的なレジリエンスを実現するためのツールをチームに提供します。

以下では、その実践的な内訳を説明します。

DORA 柱1:ICTリスク管理(IRM)

Image

DORAの要件:すべての脅威と脆弱性を含む、あらゆるICTリスク源を特定・測定・管理・監視することを組織に求めます。

Silent Pushのソリューション:Silent Pushは、セキュリティを事後対応(IOC)から先制(IOFA)™モデルへと根本的に転換します。まだ武器化されていないものの構築中のインフラに焦点を当てることで、組織は攻撃ライフサイクルのできる限り早い段階で介入し、ICTリスクを最小化できます。

主要機能の活用例:

  • 脆弱性の特定と管理:Silent Pushは、ダングリングDNSレコードの早期発見と修復を可能にします。これらの古いエントリは、脅威アクターによってサブドメイン乗っ取りに悪用されます。Enterpriseのお客様は、ダングリングDNSのクエリを自動化し、新たに発生する脆弱性を継続的に監視できます。
  • ICTリスクの継続的監視:Silent Pushは、IPv4およびIPv6の全範囲にわたって日次スキャンと強制解決を実行し、インターネットに公開されたインフラ全体を常時可視化します。すべてのドメインとIPに豊富なコンテキストを付与し、あなたが検索できる150以上の個別パラメータを提供します。
  • リスク評価と優先順位付け:すべてのドメイン、IP、URLには、完全なコンテキストデータとともにリスクスコア(0~100)が割り当てられます。これにより、アナリストはリスクレベルを即座に評価し、脅威フィードへの含有やネームサーバーの評判不良など、スコアを左右する要因を把握できます。
  • 攻撃者の手法(TTP)の追跡:インフラの変動指標(IPの多様性、ASNの多様性、ネームサーバー変更など)を時間経過とともに容易に追跡できます。これは、高度な攻撃者が用いる非常に変動の大きいインフラやFast Flux手法を検知するうえで重要です。
Image

DORAの要件:重大なICT関連インシデントを迅速に検知・管理・分類し、通知するための手順を確立すること。

Silent Pushのソリューション:インシデント対応ではスピードとコンテキストが重要です。そのため当社は、IRおよび脅威ハンティングのワークフローを加速するために必要なデータエンリッチメントと統合ツールを提供し、より迅速な検知、より深い分析、自動化された対応機能を可能にします。

主要機能の活用例:

  • インシデントデータ分析の一元化:Total View機能は、ネットワーク指標に関連するすべてのデータポイント(DNSレコード、WHOIS、リスクスコア、Webスキャンデータ)を単一画面に集約します。この一元化データは、対象のリスクレベルをできる限り容易に判断できるよう設計されています。
  • フォレンジック支援のためのリアルタイムデータ:Live Scanは、安全なサンドボックス環境でIP、URL、またはドメインのオンデマンドスナップショットを提供します。フィッシングキャンペーンなど、進行中のインシデントを調査する際に非常に有効です。
  • 統合と自動化されたインシデント処理:当社はAPIファースト企業(統合用に250以上のエンドポイントを提供)として、データを自動化ワークフロー向けに構築しています。IOFA™フィードは、相関のためにSIEMへ、またはSOARプラットフォーム(Splunk SOAR、Tines、XSOARなど)へシームレスに統合でき、脅威対応の自動化を実現します。
  • 特定の脅威TTPの追跡:当社のWeb Scannerは、150以上のパラメータ(独自ハッシュを含む)に基づき、過去およびリアルタイムのコンテンツデータを横断して深くクエリできます。これにより、DNSデータ、Open Directoryデータ、WHOISデータ、その他のデータソースといった分散情報を単一の検知へと結び付けられます。結果として、攻撃者インフラの独自の行動フィンガープリントを構築し、時間の経過とともに悪意ある活動パターンを確実に追跡できます。

DORA 柱3:デジタル・オペレーショナル・レジリエンスのテスト

Image

DORAの要件:脆弱性評価や高度な脅威主導型ペネトレーションテスト(TLPT)を含む、ICTシステムの包括的なテストを義務付けます。

Silent Pushのソリューション:効果的なテストには高品質なインテリジェンスが必要です。当社は、レジリエンステストのスコープ定義、現実世界の弱点の特定、修復作業の検証に必要な、実用的な脅威インテリジェンスと脆弱性データを提供します。

主要機能の活用例:

  • 脆弱性評価と修復テスト:ダングリングDNSレコードのようなDNSベースの脆弱性を特定することで、インフラチームに明確で実行可能な修復手順を提供します。これにより、攻撃対象領域にあるダングリングDNS脆弱性を保護し、当社プラットフォームで修正を検証できます。
  • 高度な脅威シナリオ(TLPT)に対するテスト:当社はFast Fluxなどの高度な回避戦術を追跡しているため、脅威シナリオ設計に不可欠なコンテキストと洞察を得られます。これにより、実在の攻撃者が用いる急速に変化するインフラに対するレジリエンスを評価できます。
  • DNSフットプリントのマッピング:ルート(apex)ドメインに関連するすべてのサブドメインを列挙し、ワイルドカードのサブドメインレコードを強調表示します。この包括的なインベントリは、レジリエンステストがDNSフットプリント全体をカバーするために不可欠です。
  • オフェンシブ演習の支援:攻撃エミュレーションツールではありませんが、当社データはレッドチームおよびパープルチームにとって非常に価値があります。公開インフラと重要な脆弱性を可視化し、テスト目標の設定や所見の検証に活用できます。さらに、オフェンシブチームが自らのインフラのフットプリントを理解することも支援します。

DORA 柱4:サードパーティICTリスクの管理

Image

DORAの要件:サードパーティのICTサービス提供者およびサプライチェーンに起因するリスクを組織が管理することを求めます。

Silent Pushのソリューション:組織の攻撃対象領域はサプライチェーン全体に及びます。当社は、外部サービスへの依存(「シャドーIT」)をマッピングし、信頼するサードパーティ提供者になりすましたり侵害したりする脅威を検知するためのツールを提供します。

主要機能の活用例:

  • サードパーティ依存関係の可視化:「Discover Shadow IT」クエリは、組織のドメインに紐づく可能性のあるサードパーティサービスの一覧を提供します。これは、廃止済み(de-provisioned)、未管理、または統制されていない外部サービスがもたらすリスクを管理するうえで重要です。
  • サプライチェーン脅威の監視:CRMや一斉配信メールプロバイダー(Mailchimp、SendGridなど)といった重要なサードパーティシステムを標的とするキャンペーンを能動的に追跡することで、パートナーが攻撃に悪用されているかどうかを把握できます。
  • ブランド保護となりすまし防御:脅威アクターが信頼されたサービス(例:偽のOktaログインページ)を偽装するブランドなりすましキャンペーンを検知し、サードパーティリスクを低減します。類似ドメインや、コンテンツベースのなりすまし(faviconやHTMLタイトルの一致)を検索することで、これらの脅威を発見できます。
  • アウトソースされたインフラのリスク監視:インフラ・ロンダリングに潜むリスクを明らかにします。サイバー犯罪者がAWSやAzureのような大手クラウドプロバイダーを悪用し、フィッシングや詐欺を支える大規模運用を隠蔽する手口を追跡します。

DORA 柱5:情報共有とコミュニケーション

Image

DORAの要件:金融機関がサイバー脅威情報およびインテリジェンス(CTI)を交換し、セクター全体のデジタル・レジリエンスを向上させることを奨励します。

Silent Pushのソリューション:当社プラットフォームの主要なアウトプットの一つは、高精度で実用的な脅威インテリジェンスです。これは、社内および外部パートナー双方と、容易に共有し運用できるよう構造化されています。

主要機能の活用例:

  • 実用的な脅威情報の交換:当社はEnterpriseのお客様に、高精度な将来攻撃の指標(IOFA)™フィードを提供します。これらの厳選されたドメインおよびIPのリストは、攻撃が開始されるに脅威アクターが構築したインフラに焦点を当てており、先制的なブロックと共有に最適です。
  • 透明性と詳細レポーティング:当社のIOFA™フィードは、詳細なTLP:Amberレポートによって裏付けられています。チームは根拠、手法、攻撃者の技術の全体像を得られ、インテリジェンスの「なぜ」を理解したうえで、パートナーにも自信を持って共有できます。
  • データ交換のための技術的手段:APIファースト企業として、当社はすべてのデータをAPI経由で容易に利用できるようにしています。この構造により、TIP、SIEM、SOARプラットフォームへのシームレスな統合が可能となり、自動取り込みと共有を支援します。また、管理と調査のために自社データを取り込むこともできます。
  • 外部組織との連携:当社は外部パートナーと積極的に協力し、法執行機関と研究を共有するとともに、World Economic Forum Cybercrime Atlas Groupのような団体と連携して、国境を越えるサイバー犯罪インフラの追跡と妨害に取り組んでいます。

義務対応から熟達へ

コンプライアンス要件にとどまらず、DORAはより強固で先見的なセキュリティアプローチを推進します。

これを実現するには、侵害への対応から攻撃の先回りへと、根本的な転換が必要です。

将来攻撃の指標(IOFA)™に焦点を当てることで、Silent Pushは、脆弱性の先制的な特定、インシデント対応の加速、テストの検証、サプライチェーンの保護、実用的インテリジェンスの共有を可能にする機能を提供します。これは、組織がDORAの要件を満たすだけでなく、デジタル・オペレーショナル・レジリエンスを極めるための基盤となります。

DORAが求める先制的な要件に合わせて、セキュリティ姿勢を整える準備はできていますか? 今すぐ当社プラットフォームの専門家によるデモをご依頼ください。

翻訳元: https://www.silentpush.com/blog/eu-dora-compliance-cybersecurity/

ソース: silentpush.com
#DORA(デジタル運用レジリエンス法) #EU金融規制 #ICTリスク管理 #IOFA(Indicators of Future Attack) #インシデント対応(IR) #サードパーティリスク/サプライチェーン #サイバーセキュリティ #フィッシング対策・ブランド偽装検知 #レジリエンステスト(TLPT) #脅威インテリジェンス(CTI)

関連記事

DriveSurgeを紹介します:数千の侵害されたサイトでClickFixと偽アップデートによるドライブバイ攻撃を使用する新たな脅威アクター

Silent Push コンテキストグラフが示した5つのこと

完全なインシデント対応とは実際どのようなものか