サイバーセキュリティについて尋ねるべきことが知らなかった4つの質問

基本的な サイバーセキュリティ衛生を 適切に行うことは、大いに役立ちます。しかし、今年のサイバーセキュリティ啓発月間が始まるにあたり、サイバーセキュリティ戦略とロードマップの中で忘れがちな部分を検討する良い機会です。

多くのセキュリティチームは、新しいソリューションとプロセスを組織に導入するゼロトラストアプローチの必要性を認識していますが、セキュリティに大きな影響を与える可能性のある見落とされた考慮事項がしばしばあります。

特にイルミオのような ゼロトラストセグメンテーション ソリューションを実装している場合に、セキュリティチームが見落としがちな最も重要な質問について、4人のイルミオサイバーセキュリティ専門家から洞察を得ることができます。

質問 #1: ベンダーの誇大宣伝をカットして、組織がゼロトラストに向けて取り組むために何が必要かを正確に知るにはどうすればよいですか?

イルミオの技術探査担当テクニカルリードであるデビッド・レンロウ氏より:

ゼロトラスト は目的地であり、そこに到達するための道は、過剰な特権を減らすことで舗装されています。  

過剰な権限は、ゼロトラストを主張するために必要な場所と、現在地との間の違いです。そのため、1つのベンダーであろうとベンダーの組み合わせであろうと、最終的に導入する統合ソリューションには、多様なハイブリッドおよびマルチクラウドインフラストラクチャにわたるすべての可能な通信パスにきめ細かなセキュリティ制御を挿入できる機能が必要です。  

重要なアプリケーションインフラストラクチャは均質ではないため、ゼロトラストソリューションも同質ではありません。

コンテナと仮想マシンはありますか?Windowsサーバー、クラウドデータベースサービス、IOT/OTネットワーク、メインフレームアプリケーション、組み込み/RTOSはありますか?

これらすべてのものには、承認および認証されたエンティティへのアクセスを制限するためのコントロールが挿入されている必要があります。これらのシステムはすべて相互運用性があるため、テクノロジードメイン内およびテクノロジードメイン間でラテラルムーブメントを伝播する可能性があります。  

また、ベンダーにとっては、次のことを知っておくことが重要です。

• マルチクラウドのハイブリッドソリューション戦略とアーキテクチャはありますか?  
• 多様な従来のITインフラストラクチャと最新の一般的なテクノロジーをサポートしていますか?  
• さまざまなオペレーティング システム、ディストリビューション、バージョンをサポートしてきた歴史がありますか?

上記の質問に対する満足のいく回答は必要ですが、十分ではありません。  

ゼロトラストテクノロジーの非グリーンフィールド展開には、時間の経過とともに段階的なアプローチが必要になるため、選択したソリューションがこの移行の加速とリスクの軽減に役立つかどうかを尋ねることが重要です。

• このソリューションは、最小限の労力と複雑さで過剰な権限を大幅に削減できる動きを特定できますか?  
• これらの動きを支援するヘルパー機能を提供していますか?  
• ハイレバレッジの変更が行われた後に残るあいまいな問題やコーナーケースを特定できますか?  

断固とした侵入者が窓の中を這うだけの場合、ドアをロックしても効果は限られています。ゼロトラストとは、一部またはほとんどだけでなく、すべての潜在的なアクセスベクトルをロックダウンすることを意味します。  

既存および計画されているインフラストラクチャの範囲を把握し、ベンダーが機器、ソフトウェア、アプリケーション、サービスの多様性と異種性をすべて処理できるかどうかを尋ねることで、誇大広告を回避できます。次に、 過剰な権限を排除 し、今後ゼロトラスト体制を維持するというタスクにどのように役立つかを尋ねます。

質問 #2: 侵害が発生した場合に、セキュリティ スタックが 実際に 機能するかどうかを組織はどのように知ることができますか?

イルミオのソリューションマーケティングディレクターであるクリスター・スワーツ氏から:

組織がセキュリティソリューションを導入したら、侵害が発生した場合にそれが機能することを確認することが重要です。これには、サイバーセキュリティ侵害をシミュレートし、選択したサイバーセキュリティプラットフォームが侵害のライフサイクル全体にわたってリソースをどの程度保護しているかを監視する必要があります。  

セキュリティのベストプラクティスでは、選択した運用リソースに対して、何らかの形式の侵入テスト (侵入テストとも呼ばれます) を使用してこれを行うことをお勧めします。

これは、組織がネットワークの脆弱性を評価し、「タイガーチーム」または「倫理的ハッカー」と呼ばれることもある社内外の担当者がセキュリティソリューションをバイパスして内部リソースにアクセスしようとすることを許可する時期です。これは、社内運用チームに事前に警告して行うことも、内部運用チームやセキュリティチームからの対応手順を確認するために予告なしに実行することもできます。

最も熟練した担当者が選択したセキュリティ ソリューションに対して実際のデータを提供できることを確認するために、顧客向けにテストを実行する専門の侵入テスト会社があります。たとえば、イルミオは侵入テスト会社ビ ショップ・フォックス と協力してランサムウェア攻撃をエミュレートし、その結果、イルミオが10分以内に攻撃の拡散を阻止するという証拠が得られました。  

100%完璧なソリューションはありませんが、プロの侵入テストにより、ソリューションやセキュリティスタックが侵害の試みを検出できるほど堅牢かどうか、または侵害を継続することが難しすぎる場合にサイバー犯罪者が諦めて他の場所に努力を注ぐかどうかが明らかになります。

組織が侵害されることは避けられないため、サイバーセキュリティソリューションが侵害が発生したらすぐにその侵害の拡大を阻止できることを確認する必要があります。

質問 #3: マイクロセグメンテーションを優先しないのはなぜ間違いなのでしょうか?

イルミオのシニアディレクター兼フィールドCTOであるロン・アイザックソンから:

1オンスのセグメンテーションは、1ポンドの価値があります...インシデント対応?この例えは少しぎこちないですが、 マイクロセグメンテーション プログラムが常に最優先事項であるとは限らない理由を示していると思います。セキュリティ侵害が発生した後、状況は急速に変わる可能性があります。しかし、人々が毎年恒例の健康診断を先延ばしにしたり、都市が道路や橋の予防メンテナンスを遅らせたりするのと同じように、積極的なセキュリティプログラムを推進することは難しい場合があります。

しかし、行動を起こすための議論はいたるところにあります。新聞を開くだけで、注目を集めるランサムウェア攻撃とデータ侵害の最新リストが表示されます。無縁の企業や業界はありません。重大な侵害は、風評被害を考慮する前であっても、完全な復旧には1年以上かかることが多く、コストは 数百万ドルに達することがよくあります。

今日の企業は、攻撃を受けることを前提に運営する必要があります。一部の推定によると、今年は全企業の40〜50%が、意図的またはランダムに攻撃者の標的になるでしょう。友人が大きな病気や怪我をする可能性が 50% ある場合、健康保険に加入しないようにアドバイスしますか?

マイクロセグメンテーションは、サイバーウェルビーイングのための保険のようなものだと考えてください。

プロアクティブなセキュリティ制御に投資することで、攻撃からの復旧にかかる時間とコストを大幅に削減できます。飲み込むのが難しい薬のように思えるなら、代替案を考えてみてください。

質問 #4: マイクロセグメンテーションプロジェクトに対してアプリケーション所有者の賛同を得るには何が必要ですか?

イルミオの西、フィールドCTOであるケルビン・フランクリンより:

組織のセキュリティを確保するには、誰もが役割を果たします。通常、インフラストラクチャとセキュリティのチームが環境のセキュリティ保護の中心的な役割を果たしますが、 アプリケーション所有者 は包括的な多層防御戦略の重要な要素です。これは、組織が イルミオゼロトラストセグメンテーションを使用してマイクロセグメンテーションを導入したときの私の経験に特に当てはまります。

まず、セキュリティチームは次のことから始める必要があります。

• Illumioエージェントが軽量であり、CPU、メモリなどのホストリソースへの影響が最小限に抑えられることをアプリケーション所有者に示します。
• アプリケーション所有者に、イルミオエージェントがホストオペレーティングシステムのパッチ適用またはアップグレードにどのように対処するかについての期待を提供します
• プロセス名、ID、フローなどのシステム情報を収集して表示する方法など、Illumioエージェントがどのように機能するかの概要を提供します。  

次に、セキュリティおよびインフラストラクチャチームは、環境を保護するだけでなく、アプリケーションが常に利用可能であることを確認し、優れたユーザーエクスペリエンスを生み出すことが目標であることをアプリケーション所有者に示す必要があります。チームは、Illumioエージェントと連携して、セキュリティツールがIPアドレス、ポート、プロトコルに加えてホスト、アプリケーションを追跡し、アプリケーション所有者がこの情報を簡単に利用できるようにする方法を示すことで、これを実現できます。  

アプリケーション所有者は、セキュリティワークフローで重要な役割を果たすことを知っておくことが重要です。

最後に、Illumio Zero Trust Segmentationを使用すると、アプリケーション所有者はアプリケーションをリングフェンスして他のアプリケーションから分離できます。リングフェンシングは、ビジネス継続性を制御するための鍵ですが、セキュリティ侵害の重要な要素であるラテラルムーブメントも阻止します。  

また、Illumioを使用してアプリケーションを分離することに加えて、セキュリティチームは、 Illumio Explorer ツールを使用して、アプリケーションが環境内でどのように通信しているかを視覚化できます。これには、情報を送受信しているポートとプロトコルに関する情報が含まれます。

サイバーセキュリティ戦略に他に何も欠けていないことを確認してください。無料相談については、今すぐお問い合わせください。