出典:Brian Jackson via Alamy Stock Photo
寄稿
私のホームオフィスに、14ヶ月前にクライアントから支給されたノートパソコンが置いてあります。当時は「一時的に停止中」だったプロジェクト用でした。返却要求を受けたことはありません。
このデバイスには依然としてVPNアクセス、保存された認証情報、および彼らの内部ネットワークに認証するための証明書があります。私は彼らと協力している多数のコンサルタントの一人です。もし私が望めば、またはこのノートパソコンが悪い手に落ちた場合、それは彼らのインフラへの直接的な経路になるでしょう。
あるKensington調査によると、IT意思決定者の76%が過去2年間のデバイス盗難を報告しており、46%が盗まれたまたは保護されていないデバイスの直接的な結果としてデータ侵害を経験しており、窃盗の3分の1が侵害されたデータによる法的または規制上の結果につながったとのことです。
これは孤立した事例ではありません。現在、私のホームオフィスには異なるエンタープライズ組織からの3台のノートパソコンが置いてあります。もはや誰もこれらのデバイスについて気にかけていないかのようです。
組織全体のパターン
Salesforce監査とゼロトラスト成熟度評価を実施している者として、この問題をあらゆる場所で見てきました。ほとんどの組織に共通する問題は何か?ひどいアセットインベントリと管理です。彼らはゼロトラスト評価のエンドポイント可視性部分に一貫して失敗しており、これは実装するのが最も簡単な制御の1つであるべきです。
管理検出および対応サービスのために組織をオンボードするときに、この矛盾はさらに明白になります。クライアントが指定するエンドポイント数が、実際にオンボードされた数に近いことはめったにありません。場合によっては、デバイスが長期間オフラインのままなので、オンボードできません。調査すると、これらはコントラクターデバイスまたは元従業員に発行されたノートパソコン、数ヶ月前、それ以上前に回収されるべきデバイスであることがわかります。
なぜこれが重要なのか
セキュリティへの影響はノートパソコンを追跡できないこと以上に及びます。忘れられた各デバイスは複数のリスク要因を表しています。アセット管理の失敗は、存在を知らないものを保護できないことを意味します。
コントラクターが自宅で有効な認証情報を持つコーポレートデバイスを持っている場合、インサイダー脅威は簡単になります。攻撃者が認証されたネットワークアクセスと昇格された権限を持つデバイスを侵害した場合、横方向への移動が容易になります。コントラクターのホームネットワーク(侵害されたIoTデバイスを含む)があなたの攻撃面になる場合、サードパーティリスクが増加します。
デバイスがどこにあるか、または誰がそれらを持っているかについての可視性がない場合、サプライチェーンセキュリティは完全に破綻します。
コンプライアンスの観点からは、これは災難です。HIPAAおよびNIST SP 800-53 CM-8は、情報システムコンポーネントの正確なインベントリを必要とします。監査人が「すべてのエンドポイントはどこにあるか?」と尋ねて、答えられない場合、それは深刻な調査結果です。
財政的な浪費も同様に悪いです。忘れられたデバイスは新しい従業員向けに再利用したり、廃止して寄付したりする可能性があります。代わりに、組織は誰も使用していないデバイスのソフトウェアライセンスと管理オーバーヘッドに対して支払いを続けています。そして、すべてのエンドポイントを説明できない場合、脆弱性スキャンは不完全です。既知のデバイスに修正プログラムを適用しながら、忘れられたデバイスは露出したままになっています。
なぜこれが続いているのか
組織は短期プロジェクトのためにコントラクターが必要です。リモートワークは従業員をグローバルに分散させています。プロジェクトは正式に終了する代わりに「一時停止」されます。ITはコントラクターがデバイスを返すと想定します。ビジネスユニットはITがそのギアを追跡していると想定しています。コントラクターは移動し、ノートパソコンは単に置いたままです。リモートワークでは、最後の日にバッジを返すようなIT物理チェックポイントはありません。デバイスは背景に消えます。
組織がすべきこと
まず、コントラクターへのコーポレートノートパソコン発行を中止してください。すべてのサードパーティ作業に対してBYOD(Bring Your Own Device)ポリシーを実施し、Amazon WorkSpacesなどの仮想デスクトップインフラストラクチャまたはクラウドワークスペース経由のアクセスを提供してください。これはデバイス管理の負担をそれが属する場所に戻し、「忘れられたノートパソコン」問題を完全に排除します。コントラクターは自分たちのものではない損傷または盗まれたデバイスについて心配する必要はなく、組織は世界中に散在するエンドポイントを持つことはありません。
デバイスを発行する必要がある組織の場合、自動化が鍵です。Active Directory、Intune、またはエンドポイントログの最後のログオン日を照会するPythonまたはPowerShellスクリプトを作成してください。45日以上休止中のデバイスにフラグを立ててください。Microsoft IntuneやSentinelOneなどのEDRソリューションなどのツールにはこれが組み込まれています。
ただし、レポートを生成するだけではありません。デバイスが休止状態として表示されている場合は、調査してください。エンゲージメントマネージャーに電話してください。彼らに返すように促してください。
すべての組織は盗まれたデバイスのための緊急対応計画を持つべきであり、これはコントラクターオンボーディングトレーニングの一部であるべきです。ノートパソコンが盗まれた場合はどうなりますか?誰に通知されますか?リモートワイプのタイムラインは何ですか?これらは事実発生後に判明すべき質問ではありません。
対応計画は、不正なコントラクターもカバーしている必要があります。ノートパソコムファーム計画に引っかかったコントラクターが、発見された瞬間にコーポレートノートパソコンを売却する代理従業員事例を調査しました。特に法的措置がない国では。セキュリティオペレーションセンター(SOC)にはこのためのプレイブックが必要であり、リモートワイプはすべてのデバイスで有効にする必要があります。
ゼロトラストの矛盾
ここに皮肉があります。組織は数百のエンドポイントを追跡できない一方で、ゼロトラストアーキテクチャの実装に数百万ドルを費やしています。ゼロトラストは「決して信頼しない、常に検証する」という原則に基づいています。しかし、正確に何を検証しますか?
どのデバイスが存在し、どこにあり、誰がそれらを持っているかを知らない場合、何も検証できません。あなたはゼロトラストをしていません。あなたはゼロ可視性をしています。
忘れられたエンドポイント問題は、洗練されたサプライチェーン攻撃や新規脆弱性ではありません。ほとんどの組織が失敗している基本的なブロッキングとタックルングです。単純な四半期監査、自動スクリプト、またはポリシーの変更により、このリスクを完全に排除することができます。
ただし、まず、一時停止中のプロジェクトと返却されていないノートパソコンが他の誰かの問題ではないことを認める必要があります。それらはあなたのものです。
翻訳元: https://www.darkreading.com/endpoint-security/forgotten-endpoint-security-risks-dormant-devices
