自動テストを使用するとサイバーセキュリティとチームに利点がありますが、これは人間による侵入テストを無効にするものではありません。
サイバーインシデントへの対応として、より多くの認定およびコンプライアンス要件が追加されました。これらのフレームワークはセキュリティベースラインを確立する上で重要な役割を果たしていますが、真のセキュリティは完璧なコンプライアンススコアを達成することだけではありません。私がよく言う通り、「ポリシーと手順は攻撃者を止めることはできません。彼らが私たちに侵入すれば、流出させるべき文書が増えるだけです。」
決定的な脅威アクターに対して私たちの環境がどのように耐えるかをテストすることが、セキュリティ姿勢の真の検証です。ここで年次マニュアル侵入テストが登場し、ボードが今ポジティブな結果を見ることを要求しています。
しかし、私が経験したマニュアル侵入テストに関する重大な問題があります。特に年1回だけ実施する場合です。
スピード、スコープ、および人間のボトルネック
マニュアルテストの制約は、環境がより複雑になるにつれてますます明らかになりました。すべての取り組みは時間と予算に制限され、何をテストするか、どの程度深くテストするかについて難しい判断が強いられました。結果の品質と包括性は、どのコンサルタントを関与させるか、彼らの個々の専門知識、新しい技術への精通度、および契約時間内に達成できる量に大きく異なります。
従来の侵入テストは、基本的に欠陥のあるバリュープロポジションをもたらしていることに気づきました。テスト終了から数週間後にセキュリティ姿勢のスナップショットを受け取るために大きな予算を投資すると、その時点から牛乳のように老化し始めました。継続的なフィードバックループはなく、セキュリティコントロールの継続的な検証もありませんでした。年次テストの間、盲目的に飛び続け、脅威環境が毎日進化しているのに防御が効果的なままであることを願っていました。
おそらく最もイライラしたのは、調査結果を受け取った後の出来事でした。私たちのチームは修正を実装するために熱心に取り組みました。しかし、修復を検証するためにテスターをもたらす予算や機会はほとんどありませんでした。私たちは不確実性に直面していました。識別と検証の間のギャップは、セキュリティプログラムに危険な盲点を生じさせました。
従来の脆弱性評価は、脆弱性が特定の環境でどの程度利用可能であるか、または現実的な攻撃経路内のどこに位置するかを示していないCVSSの重要度スコアに大きく依存していました。攻撃者が脆弱性をチェーンしてどのようなことを実現できるかを理解する必要がありました。
より良い前進への道
これらの制限にイライラして、侵害とアタックシミュレーション(BAS)および継続的な自動レッドティーミング(CART)を含むカテゴリである自動侵入テストを探索しました。PenteraやHorizon3.aiのNodeZeroなどのプラットフォームは、実際の攻撃者の戦術、技術、および手順を使用して継続的なオンデマンドシミュレーションを実行します。
彼らはブラックボックステスト(外部攻撃者のシミュレーション)、グレーボックステスト(インサイダーの脅威のシミュレーション)、およびランサムウェアやゼロデイエクスプロイトのような特定のリスクをターゲットにするカスタムシナリオを提供します。
最も重要なことに、彼らは即座に結果を提供し、報告書を数週間待つ必要がなく、修正を検証するための即座の再テストを可能にします。
実装と投資
年次マニュアルテストの35,000ドルから自動プラットフォームの年90,000ドルに移行し、130万ドル相当のテスト結果を提供しました。私たちのケイデンスは年1回のテストから最小38回に増加し、追加シミュレーションの柔軟性は無制限です。
私たちはブラックボックステストとグレーボックステストの2週間のリズムを確立し、ランサムウェア攻撃のような特定の懸念をターゲットにする月次のカスタムシナリオで補完されました。これはチームに再テスト前に修正に2週間を与え、修正が機能したことを確認しました。これらのツールは、1日で人間のテスターが1週間で達成するよりも多くをテストし、迅速に調査結果に調整し、ギャップを活用してさらに深く調査します。
予期しない教訓とチーム変革
このプラットフォームは私たちの理解を根本的に変える洞察を提供しました。パスワードセキュリティを例にしましょう。私たちは長いパスフレーズを採用し、14文字のフレーズで侵害時間を8ヶ月から120億年に増加させることができると確信していました。このツールはその信頼を打ち砕き、大文字と小文字、数字、特殊文字を含む23文字のパスフレーズを30分以内に破壊しました。教訓は謙虚でした。人間は予測可能です。攻撃者は一般的なフレーズを特にターゲットにするレインボーテーブルでワードリストと事前計算されたハッシュリストを保持しています。パスフレーズの長さは問題ですが、品質がより重要です。
再テスト機能はゲームチェンジャーであることが証明されました。セキュリティチームは問題を特定し、修正し、修正が有効であることを確認するために即座に再テストできました。プラットフォームは、ボード提示用のエグゼクティブレベルのレポートと、数週間後ではなく即座にアクションするセキュリティチーム向けの詳細な技術レポートの両方を生成しました。
おそらく最も重要なことに、プラットフォームはチームの能力を高めました。チームが自動侵入テストツールが環境を利用するまで経験するまで、防御概念を特定のシステムに適用する方法を完全に理解しません。各シミュレートされた攻撃は完全に文書化され、リアルタイムの学習機会を提供しました。チームはプラットフォームを勝つことを決意したゲームとして扱い始めました。
優先順位の再検討:重要度スコアを超える攻撃経路
最も重要な啓示の1つは、自動侵入テストが脆弱性管理をどのように変換したかでした。即座の注意を受ける重大度レーティングの脆弱性は、攻撃経路に5層深く埋もれる可能性がありますが、優先度を下げた低レーティング脆弱性は、攻撃者が利用する初期エントリーポイントである可能性があります。さらに明らかなことに、プラットフォームは、一見低リスクの脆弱性を一緒にチェーンして重要なシステムにアクセスする方法を示しました。
これは私たちのパッチ戦略を変えました。CVSS重要度レーティングで脆弱性に反射的に対処する代わりに、攻撃者が実際に足がかりを確立するために使用できることに焦点を当てました。注意が必要な脆弱性の数が圧倒的な場合、実際の攻撃経路に関するこの情報は、実世界のリスクを反映していない重要度スコアを追い求める代わりに、最大のセキュリティ成果を生み出す限定リソースに焦点を当てることができるため、非常に価値があることが証明されました。
設定と現実の間のギャップ
セキュリティツールで機能を有効にすると、大きな信頼を置き、それが機能していると想定します。自動侵入テストプラットフォームは、あなたのコントロールをテストし、GUIを信頼しないだけの厳粛な教訓をもたらしました。
特定のリスクを軽減するための機能を有効にしたときに、これを直接経験しました。それは画面上では完璧に見えましたが、機能していませんでした。プラットフォームは、保護していると思ったシナリオを含む、異なるタイプの攻撃を方法的にテストしました。攻撃は成功し、セキュリティツールの機能がバグのために機能していません。私たちは思っていた保護を持っていませんでした。
これは防御者のジレンマを思い出させます。「防御者は100%の時間正しくする必要があります。攻撃者は1回正しくする必要があります。」攻撃者がこれらのギャップを発見するより、独自のテストツールがこれらのギャップを強調する方が、はるかに好みです。
究極の検証:検出と対応のテスト
別の強力なアプリケーションは、検出ツールとSOCを検証しています。概念実証を初めて実行したとき、意図的に第三者のSOCに通知しませんでした。内部のSIEMは即座に多数のアラートを生成しました。外部SOCが私たちに連絡するのに4時間かかりました。これはサイバーセキュリティの一生です。
第三者のサービスに支払う場合、その対応を検証することは非常に価値があり、少なくとも1つの予告なしテストを実行することを強くお勧めします。結果はあなたを驚かせるかもしれません。実際のインシデント中にギャップを発見するより、自分自身のテスト中にギャップを発見する方がはるかに良いです。
最後の教訓:セキュリティの回復力が向上し、一貫して高いスコアを達成すると、プラトーに達します。新しい自動侵入テストプラットフォームに移動すると、各ツールが異なるアプローチを採用しているため、新しい調査結果が得られます。自己満足になるのではなく、改善し続ける機会を提供します。
評決:排除ではなく進化
マニュアル侵入テストを自動プラットフォームで置き換えるべきですか?答えはニュアンスのあります。継続的なセキュリティ検証、継続的な改善、および運用上の回復力のために、自動テストは主な検証方法になるべきです。ROI、学習機会、および継続的なフィードバックループは、年次マニュアルテストが提供するものをはるかに超えています。
しかし、マニュアルテストを完全に排除することはありません。複雑なカスタムアプリケーション、重要なインフラストラクチャの変更、または経験豊富なセキュリティ研究者のみが提供する創造的な思考が必要な場合に、専門的な人間のテスターをもたらすことには価値があります。自動プラットフォームを毎日のトレーニングレジメンと考え、マニュアルテストを時折の特別な評価と考えてください。
実際の問題は、継続的な自動検証を採用しない余裕があるかどうかです。年次マニュアルテスト間のギャップは、1年間に364日間脆弱にします。自動侵入テストはそのギャップを埋め、チームの能力を変換し、年1回監査人が尋ねたときだけでなく、セキュリティ姿勢を継続的に検証します。
