エッジデバイスのライフサイクルをIT優先事項ではなく戦略的要件として扱わなかったため、組織はサイバー攻撃者に貴重な足がかりを与えてしまった。
業界はペリメータが死んだという考えで自分たちを慰めてきた。そうではない。起きたことはさらに悪い。我々はエッジを無視し、サポートされていないハードウェアをその場で腐らせ、実質的にペリメータを喜んで受け入れる攻撃者に寄付してしまった。
FBI の Winter SHIELD プログラムは、脚本を変え、サイバーレジリエンスを改善することを目的とした取り組みの実行面であり、攻撃者が脆弱な認証、過度な権限、パッチが当たっていないエッジデバイスを悪用して足がかりを得る方法を示しています。
CISA の BOD 26‑02 は構造的側面であり、そのような足がかりを可能にする古いエッジハードウェアの削除を強制しています。
このアドバイザリーと指令を合わせると、米国連邦政府がサイバーレジリエンスの基本面でセキュリティリーダーが遅れていることを認め、今は全員が追いつく必要があることを示しています。
率直に言えば、状況は単に悪いのではなく、持続不可能です。BOD 26‑02 は、すべてのセクターにおける大規模なガバナンスの失敗を明らかにしています。すべての産業の組織は、資産ライフサイクルをIT優先事項ではなく戦略的要件として扱ってきました。
ご存知の通り、連邦政府は近代化曲線の先頭に立つことは滅多にありません。今日でもそうではありませんが、追いつくための措置を講じています。その過程で、民間部門の多くの実体もペリメータの保護で遅れていることに気づき、それらの組織とセキュリティリーダーも今や追いつく必要があります。
制度的失敗:足がかりの問題
フェードアウトするペリメータの誤解は、クラウドの台頭によるセキュリティ戦略のシフトの一部として根付いています。ここで、サイバーセキュリティ業界は建築理論と戦術的現実に分かれています。一方は、クラウドネイティブの世界では、アイデンティティだけがペリメータとして重要だと主張しています。ユーザーを検証すれば、ネットワークは無関係になると主張しています。
しかし、これは厳しい真実を無視しています。攻撃者がログインするには、まず足がかりが必要です。我々はユーザーのモビリティとインフラストラクチャの安定性を混同しています。リモートユーザーは仕事をするために一時的なセッションを必要としますが、攻撃者が留まるには永続的な足がかりが必要です。エッジを無視することで、組織は無意識のうちにそのステージングエリアを提供してしまいました。
我々の積み重なった技術的債務は、この失敗の主な証拠です。我々はゼロトラストソフトウェアを追求しながら、パッチが当たっていない、ライフエンド段階のハードウェアをゲートで腐らせたままにしてきました。これらのデバイスは単なる古い機器ではありません。これらは、国家に支援された行為者がアイデンティティコントロールを完全に回避し、ネットワークの構造上に監視されないままに座ることを可能にする、寄付されたアセットです。
戦術的監査:Winter SHIELD と BOD 26‑02
FBI の Operation Winter SHIELD は、攻撃者が引き続き悪用する基本的なことを強化することに焦点を当てた 2 か月間の全国的な急襲です。これはルーチン的な啓発キャンペーンではありません。これは脆弱な認証、過度な管理者権限、パッチが当たっていないエッジデバイス、および組織全体での危機対応準備の欠如を暴露することに焦点を当てた集中的な取り組みです。FBI はこの短いウィンドウを使用して、長い間無視されてきた基本的なことに注意を向けることを強制しています。
CISA の BOD 26‑02 は、FBI が危険にさらされていると指摘している同じデバイスの削除を義務付けることで、提案を完成させます。CISA は政府機関に 18 か月のコンプライアンス期間を与えています。
これらのエージェンシーが同時にエッジに対処するために動くとき、それはルーチン的な更新ではありません。それはラグが負債になったことの認めです。
CISO の現実:認識から実行へ
この調整により、CISO の姿勢の再方向付けが要求されます。政府がもはやサポートされていないエッジ機器のリスクを許容できない場合、企業はそれをプラグインしたままにする防御可能な理由がありません。これは、エッジの完全な可視性と積極的なリスク排除を要求する生存要件です。
Winter SHIELD によって設定された期待に応えるために、CISO は次のアクションを実行する必要があります。
- すべての特権アクセスとリモートアクセスに、強力なハードウェアベースの認証を使用します。
- 管理者権限を一時的な使用のみに制限し、すべての昇格を監視します。
- 重大な欠陥が現れた場合は、72 時間以内にインターネットに面するすべてのシステムにパッチを適用します。
- 永続的なベンダーアクセスを削除し、監視された時間制限の接続を要求します。
- デバイスログを保護された場所に保存し、変更または削除できないようにします。
- 攻撃者が変更できないオフラインバックアップを少なくとも 1 つ保持します。
- 不要なインターネット公開サービス、特にリモートデスクトップとファイル共有をシャットダウンします。
- 厳密なドメイン認証を実施して、メール詐称をブロックします。
- ユーザーからローカル管理者権限を削除し、一時的な昇格を要求します。
- リーダーシップとの定期的な危機演習を実施して、プレッシャー下での意思決定を改善します。
BOD 26‑02 は、ペリメータの管理に関する連邦の期待を定義する構造的要件を追加します。
- ファイアウォール、ルーター、リモートアクセスアプライアンスを含む、すべてのエッジデバイスの完全なインベントリを維持します。
- サポートされていない、またはサービスライフを超過したすべてのデバイスを特定します。
- サポートされていないエッジデバイスを定義されたスケジュールで削除または交換し、完了を文書化します。
- 各デバイスを購入から廃棄まで追跡するライフサイクル処理を確立します。
- すべての交換デバイスが展開前に現在のセキュリティ標準を満たしていることを確認します。
- サポートされていないデバイスがペリメータに残っていないことを継続的に確認します。
単純な現実
ペリメータは決して消えませんでした。無視されただけです。サポートされていないファイアウォール、ルーター、リモートアクセスアプライアンス、およびエッジボックスは、常に予測可能なエントリポイントでした。攻撃者はそれらを足がかり、横方向の移動、および永続性に使用します。無視されたペリメータは、行った可能性のある他のすべての投資を損ないます。
FBI は 2 か月間の急速な対応を実行しているかもしれませんが、CISO にとってこれらの期待は、急襲が終わったときに終わるわけではありません。強力な認証、厳密な権限管理、迅速なパッチ適用、および規律あるログは短期的な活動ではありません。彼らは生涯の責任です。そして CISA は絆創膏を剥がし、ライフエンド以降の機器を使用することのリスクの現実を露呈させました。ペリメータでライフエンド段階の機器を実行している場合、もはや防御していません。アクセスを寄付しています。
