定期的なスキャンを超えて、分散環境を最新の脅威から保護する方法
管理するすべてのアセットが攻撃表面を拡大します。インターネットに接続されたアプリケーション、クラウドワークロード、認証情報、エンドポイント、サードパーティ統合はすべて、攻撃者にとって潜在的なエントリーポイントになります。環境がより分散されるにつれて、その露出は、ほとんどのセキュリティチームが手動で追跡できるより速いペースで拡大します。
攻撃表面管理(ASM)は、ITセキュリティチームにとって重要な質問に答えるのに役立ちます。攻撃者は現在実際に何に到達できるのか?環境全体の露出を継続的に特定し優先順位をつけることで、ASMは生の可視性を測定可能なサイバーレジリエンスに変換します。
以下は、攻撃表面管理の原則を使用して攻撃耐性を強化するためにセキュリティチームが講じることができる5つの実践的なステップです。
1. すべての攻撃表面カテゴリーを識別し監視する
効果的な攻撃表面管理は、完全な可視性から始まります。セキュリティギャップは、チームが1つまたは2つのアセットタイプにのみ焦点を当てている間に、攻撃者が他のものを悪用するために発生することが多いです。
包括的なASMプログラムは、以下の可視性を維持しています。
- 外部攻撃表面。Webアプリケーション、API、VPN、DNSサービス、メールゲートウェイなど
- 内部攻撃表面。Active Directory、ファイル共有、内部データベース、特権システムを含みます。NIST Cybersecurity Framework 2.0は、ID管理、認証、アクセス制御機能を通じて内部サーフェスに対応しています。
- デジタル攻撃表面。クラウドワークロード、コンテナ、CI/CDパイプライン、コードリポジトリなど。マルチクラウド環境を管理するMSPの場合、このカテゴリーは最大かつ最も複雑な攻撃表面を表しています。
- 物理的攻撃表面。エンドポイント、ネットワークデバイス、IoTシステム、リムーバブルメディアなど
- 人的攻撃表面。フィッシング、ソーシャルエンジニアリング、認証情報の悪用によって駆動される
- クラウドおよびハイブリッド環境。共有責任と設定の誤りがリスクを増加させます。マルチクラウド認証情報管理と異種環境の可視性により、CNAPP ソリューションと一元化されたアセットインベントリ管理が必要な課題が生じます。
いずれかのカテゴリーのギャップは、攻撃者が悪用するブラインドスポットを作成します。すべてのサーフェス全体の継続的な検出は、レジリエンスの基礎です。
2. レジリエンスを最速で破壊する攻撃ベクトルに焦点を当てる
攻撃者がどのようにアクセスを獲得するかを理解することは、セキュリティチームが正しいコントロールを優先順位付けするのに役立ちます。最近の侵害分析は、一貫して、ほとんどの成功した侵入の原因となるいくつかのベクトルを示しています。
- 認証情報ベースの攻撃。VPN、RDP、管理者アカウント、RMMプラットフォームをターゲットにしています
- 脆弱性悪用。特に、公開されているサービスと修正されていないシステムで
- サードパーティの侵害。共有ツール、認証情報、インフラストラクチャに影響する
- クラウドの設定ミス。過度に許可性のあるアクセスまたは弱い認証を通じてサービスを露出させる
攻撃表面管理は、環境全体にこれらのリスクが存在する場所を明らかにするのに役立つため、修復の取り組みは、攻撃者が積極的に悪用している露出に焦点を当てます。
3. 定期的な評価から継続的な露出管理への移行
従来の四半期スキャンは、最新のインフラストラクチャのペースを保つことはできません。クラウドの展開、構成の変更、ソフトウェアの更新は毎日発生します。ASMには、ポイントインタイム評価ではなく、継続的なプロセスが必要です。
効果的なプログラムは、4つの継続的なサイクルに従います。
- 検出。オンプレミス、クラウド、サードパーティ環境全体で既知および未知のアセットを識別する
- 評価。脆弱性、設定ミス、露出したサービスを継続的に検出する
- 優先順位付け。悪用可能性、アセットの重要性、アクティブな脅威インテリジェンスに基づいて
- 修復。自動化を使用してルーチン修正を行い、重要な露出に対してオーケストレーションを使用する
このアプローチは、最新の継続的な露出管理モデルと密接に一致し、チームを反応的な消火活動からプロアクティブなリスク低減へシフトさせます。
4. 攻撃者が悪用する可能性が最も高いものを優先する
すべての脆弱性が同じレベルのリスクを表しているわけではありません。ASMは、優先順位付けが現実世界の攻撃者の行動を反映しているときに効果的になります。
強力な優先順位付けは、以下を組み合わせています。
- 技術的影響のためのCVSS重大度
- 悪用可能性スコア。悪用の可能性を評価する
- ビジネス影響に基づくアセットの重要性
- 既知の悪用された脆弱性。政府と業界のソースによって追跡されている
このリスクベースのアプローチは、チームが最大のレジリエンス改善をもたらす場所で修復努力に焦点を当てることを保証します。
自動パッチ適用と脆弱性管理は、N-central RMM™などのツール内で検出、優先順位付け、修復を単一のワークフロー内で接続することで、これらのギャップをより迅速に埋めるのに役立ちます。
N‑centralは、Windows全体および100以上のサードパーティアプリケーション全体でシステムに自動的にパッチを適用します。CVSSスコアリングの組み込み脆弱性管理は、即座の注意を必要とする露出を特定します。
5. ASMを検出、対応、復旧と統合する
攻撃表面管理だけではattacksを止めません。レジリエンスは、ASMがより広いbefore–during–after戦略に統合されるときに改善します。
- 前:パッチ自動化、構成管理、アクセス制御を通じて露出を減らす
- 中:継続的な監視と脅威検出を使用してアクティブな脅威を検出し、封じ込める
- 後:変更不可能なバックアップとテストされた復元プロセスを使用して迅速に復旧する
Adlumin MDR™は、エンドポイントとID全体で悪意のある行動を監視することによって24/7の検出と対応を追加します。Cove Data Protection™は、ランサムウェアイベント中でも保護されたままの変更不可能なクラウドファースト バックアップを使用した迅速な復旧をサポートします。
これらの機能が組み合わさることで、攻撃者が開くのを見つけたとき、影響は封じ込められ、ビジネス操作が継続することを保証するのに役立ちます。
可視性からレジリエンスへ
攻撃表面管理は、セキュリティをリスクが存在する場所を推測することから、何が露出されているかを知り、継続的にそれに作用することにシフトさせます。複雑な分散環境を管理するITセキュリティチームの場合、ASMは、大規模に露出を減らすために必要な可視性と優先順位付けを提供します。
エンドポイント管理、脅威検出、復旧機能と統合されると、ASMはセキュリティメトリックではなく、サイバーレジリエンスの重要なドライバーになります。
詳細については、こちらをご覧ください。
