2020年のオーストラリア政府資産の保護:パート1

連邦全体のサイバーセキュリティ体制を理解する 

オーストラリア信号局(ASD)は最近、 2019年の連邦サイバーセキュリティ態勢 報告書を発表し、対応したインシデントの数と種類、および連邦機関のセキュリティ向上を支援するために導入されたプログラムの一部を強調しました。個々の部門のさらなる透明性を求める政治的圧力が高まっているにもかかわらず、報告書の集約および匿名化されたデータは、市民データの保護を強化する必要性を明確に示しています。最近、首相と国防大臣が、官民部門の組織が巧妙なサイバー攻撃者の標的となっていると発表し、現在の測定基準に対してはわずかな進化的利益しか得られていないため、ハードルを引き上げるには革命的な変化が必要かもしれません。

ここイルミオでは、オーストラリアとニュージーランド全土の政府機関や部門、セキュリティシステムインテグレーター、シー ラスネットワークスなどのマネージドサービスプロバイダーと直接協力する戦略的議論やセキュリティプログラムに参加できることを誇りに思っています。

現在、ほとんどの企業が、 1日または1週間に被った「サイバーセキュリティイベントとインシデント」の数 (多くの場合、1日に数百件)を正確に特定できると述べているにもかかわらず、企業以外の連邦企業の73%は、そのような脅威に対応するためのベースラインセキュリティ規律の成熟度のアドホックまたは発展途上のレベルのみを報告しています。

過去7年間に行われた報告は、たとえ改善があっても、 連邦政府のシステムがサイバー脅威に対して脆弱であること、そして連邦政府が進化する脅威環境に対応する成熟した回復力のあるサイバーセキュリティ体制に到達するには、追加の作業が必要であることを 非常に明確にしています 。

これらの調査結果で報告されているように、さまざまなインシデントと進化するIT環境には、セキュリティの継続的な評価と調整が必要です。攻撃から政府機関を保護するためのポイントソリューションアプローチを継続するには、多数のツール、スキル、および人員が必要です。多くの場合、組織は、 ゼロトラストなどのサイバーレジリエンスに対するより包括的なアーキテクチャアプローチの恩恵を受けることができます。米国連邦政府の各省庁で大きな勢いを増すことは、侵害を超えた想定と計画に重点を置き、より広範なセキュリティ分野に最小特権の原則を浸透させるだけでなく、サイロ化されたツールやチームの「詳細な費用」を削減するための包括的な戦略を通じて支援します。米国連邦政府の各省で大きな勢いを増しているこのアプローチは、侵害を超えた想定と計画に重点を置くだけでなく、サイロ化されたツールやチームの「詳細な費用」を削減するために、より広範なセキュリティ分野全体に最小特権の原則を浸透させています。

企業界が発見したように、地方自治体は、侵害が発生した場合の影響や爆発半径を縮小する予防的封じ込め戦略に重点を置く必要があります。これは、各省が予想されるベースラインのセキュリティレベルを引き上げ続けており、防衛能力、オーストラリアの最先端の研究、貴重な知的財産、オーストラリア居住者や政府職員の個人情報や財務情報に関する情報を入手するために、意欲的で洗練された敵が意図的にオーストラリアを標的にしているという証拠がある場合に特に重要です。

ほとんどの企業、州、連邦機関で一貫した調査結果を示す際立った項目の 1 つは、 連邦機関が情報システムとデータの可視性が不十分であるということです。ほとんどの政府機関のITチームは、よりアジャイルなアプリケーション開発を実現するために、ソフトウェア定義ネットワーキング(SDN)、仮想化、コンテナ化などのアプローチと自動化およびオーケストレーションプラットフォームを重ねてデータセンターテクノロジーの最新化を必要とし、進めているため、運用チームやセキュリティチームが動的なアプリケーション環境と既存のセキュリティの盲点を追跡することが指数関数的に困難になり続けるのも不思議ではありません。

未検証で信頼できない Microsoft Office マクロの実行の防止、ユーザー ワークステーションでのアプリケーションの強化、RDS セッションでの多要素認証、Web に接続されたサーバーへのパッチ適用は、重要な衛生戦術であり、これらの分野で顕著な改善が見られるのは良いことです。ただし、これらは、既知の脆弱性に対する他のコピー&ペーストスタイルの攻撃や、発見され悪用され続けている他の ゼロデイ 脅威など、攻撃者が使用する多数の脅威ベクトルのほんの一部にすぎません。侵害が発生したときに侵害の被害を防ぐには(必然的に侵害が発生する)、攻撃者が確立された足場から、各部門が運用する数百、数千台のサーバー内の機密データを管理するシステムにどのように横方向に移動できるかを理解する必要があります。

アプリケーションが何であるか、どこでホストされているか、 アプリケーションが相互にどのように相互作用しているかを理解して初めて、それらの資産を制御し、最も効果的なセキュリティ体制を定義して展開することができます。

Cirrus Networks の CTO である Andrew Weir 氏は、「顧客から、システムやネットワーク上のアプリケーション内で何が起こっているかをより可視化するにはどうすればよいかを定期的に尋ねられます。多くの場合、これらのアプリケーションはレガシーシステムで開発され、後日新しいインフラストラクチャに統合されました。大規模なIT部門の場合、アプリケーションの効率とセキュリティの検証と管理は困難な場合があります。アプリケーションとユーザーが環境内で何をしているかを理解することは、適切な意思決定に不可欠です。この可視性がなければ、限られたリソースをどこに費やすべきかを判断することは困難です。」

ネットワークセキュリティは従来、境界を通るNorth-Southトラフィックに焦点を当てているため、政府機関はコマンド&コントロールの確立を防ぐことについて測定されていますが、まだEssential Eightセキュリティ規律を組み込んでいません。外部ファイアウォールの侵入に成功した攻撃者は、多くの場合、ネットワーク内に侵入するとそれ以上の制限はありません。言い換えれば、ハッカーは自分の道をチェリーピックして侵入し、ターゲットに到達するまでネットワーク内を自由に横方向に移動できます。

エッセンシャル 8 には含まれていませんが、サイバー インシデントの範囲の制限のより広範なセットでは「優れた」推奨事項です。最新のデータセンターの効果的な ネットワークセグメンテーション と ゼロトラスト の中心にある封じ込め戦略は、各部門の継続的なセキュリティ戦略の重要かつ基本的な部分として優先されつつあります(そして今後も優先され続けなければなりません)。これは、最低水準点のベースラインレベルに達したときの回復力を強化するのに役立ちます。

現在、政府機関がセキュリティ体制を評価して報告するよう求められている方法は、定性的な測定を推進し、最終的には「コンプライアンスの向上、セキュリティの向上、または脅威を検出するより良い方法を提供する」アプローチや製品を推進します。そうは言っても、「より」、「改善」、「より良く」はすべて定性的な尺度であり、主に自己評価です。これらの取り組みは、国家攻撃やサイバー犯罪者の人気ランサムウェアなど、悪意のある攻撃に対するITシステムのレジリエンスの定量的改善を提供し、また関連づけることができるのでしょうか?

マイクロセグメンテーションを適切に選択すると、攻撃者が貴重なデータにアクセスして盗み出すことが困難になり、定量的なメリットが実証されているだけでなく、追加のスタッフや、このレポートで強調されている従来の大規模なセキュリティイニシアチブの労力と経済的負担を必要とせずに、それが実現します。

しかし、それについては、このシリーズのパート 2 で詳しく説明します。

特定の攻撃の具体的な詳細は言及されておらず、最近の攻撃量の増加の原因は誰によるものでもありませんが、モリソン首相の最近の プレスリリース は、オーストラリアの政府部門や企業にとって、おそらく責任者への通知であると同時に、警鐘として受け止めるべきであることは確かです。 「私たちはあなたが何をしようとしているのか知っています。」

まだ関与していない場合は、イルミオとシーラスに連絡して、国防大臣のアドバイスを受け入れる方法について次回の記事をチェックしてください:「自社のネットワークを保護するための措置を講じる」と、最近の攻撃ベクトルに対する戦術的な推奨事項を超えて計画を立てて、将来の侵害の機会と影響を制限してください。

イルミオによるマイクロセグメンテーションの仕組みの詳細については、https://www.illumio.com/products/illumio-core をご覧ください。