.png)
マイクロセグメンテーションの有効性を測定できますか?
「測定できなければ、コントロールすることはできません。」– ケルビン卿
定量的な測定は、さまざまな製品の比較、プロジェクトの成功の判断、スポーツチームの発展の追跡など、私たちが行うすべての情報を提供します。私たちは、主観的な意見だけに頼るのではなく、現実的で客観的な「類似」の比較を行うことができます。しかし、企業向けのセキュリティ製品の多くに関しては、コンプライアンスを高めたり、セキュリティを向上させたり、脅威を検出するためのより良い方法を提供したりする製品に満足しているようです。しかし、精通したセキュリティのバイヤーが、ベンダーの主張を裏付ける数字を求めることが増えています。彼らは、「その製品やソリューションの成功はどのように測定されるのか」などの質問をしています。
ここ数年のセキュリティメディアの記事が殺到していることから、 マイクロセグメンテーション は今や組織にとって不可欠なセキュリティ制御であり、いわばあらゆるセキュリティ戦略において「テーブルステークス」であることが明らかになりました。特に、ゼロトラスト戦略におけるマイクロセグメンテーションの中心的な役割は、ラテラルムーブメントを制限し、攻撃者がネットワークをナビゲートして意図したターゲットを見つける能力を妨げることを考えると、驚くべきことではありません。マイクロセグメンテーションは「最小権限」の典型的な例であり、通信を許可されるべきもののみを通信できるようにし、それ以上でもそれ以下でもありません。しかし、マイクロセグメンテーションを実装している(または実装を検討している)企業は、歴史的にその有効性を実証するための定量的尺度を欠いていました。
イルミオでは、マイクロセグメンテーションの利点、環境のサイズが大きくなるにつれて影響がどのように変化するか、およびこれらの結果を自社の環境で検証したい組織が繰り返すことができる明確なテスト方法論を定量的に実証することが重要であると感じました。これを達成するために、私たちはレッドチームのスペシャリストである Bishop Fox と提携して、MITRE ATT&CK®フレームワークの主要コンポーネントに基づいてマイクロセグメンテーションの有効性を測定する方法について、業界初の青写真を実施し、文書化しました。
ビショップ・フォックスのチームは、一連のラウンドにわたってテスト環境で2つの「至宝」アセットを見つける任務を負っていました。これは「旗を奪う」演習のようなものだと考えてくださいが、環境を積極的に守るブルーチームがいません。対照試験を含めて全部で4回の試験が行われました。テストのたびに、マイクロセグメンテーションポリシーはますます厳しくなりました。
- 制御テスト – マイクロセグメンテーション制御は実施されていません(基本的に フラットネットワーク)
- ユースケース 1 – 環境分離 (つまり、マイクロセグメンテーションは非常に粗く、本番環境、テスト環境、開発環境など、さまざまな環境のワークロードが同じ環境内の他のワークロードにのみ接続できるようにします)
- ユースケース 2 – アプリケーション リングフェンシング (つまり、特定のアプリケーションに関連付けられたワークロードのみ (例:特定の環境で支払い処理アプリケーションまたはHRMアプリケーション)は、相互に通信できます。これは本当に縄を締めていると考えてください)
- ユースケース 3 – 層セグメンテーション (つまり、これはマイクロセグメンテーションポリシーの最もきめ細かい形式の 1 つであり、特定の層 (例:Web層またはDB層など)特定のアプリケーションで、特定の環境で相互に通信できます)
ビショップフォックスチームはテスト環境に対する事前知識がなく、テストごとに環境全体を破壊して再構築した。つまり、テストの各ラウンドで、特にトポロジとIPアドレスは何も引き継がれませんでした。すべてのマイクロセグメンテーションポリシーは、ホワイトリストまたはデフォルトの拒否アプローチを使用して定義されており、つまり、許可されたトラフィックを明示的に許可するようにルールが記述されているため、ルールのないものはすべてデフォルトで許可されず、ブロックされました。最初の一連のテストは、100 ワークロードの環境 (ほとんどの中規模組織のデプロイ サイズよりもかなり小さい) で行われ、500 および 1000 のワークロードでユースケース 2 を繰り返しました。
100 のワークロードを含むテストの観察結果は次のとおりです。
このデータは、非常に単純な環境分離ポリシー (ユース ケース 1) でさえ、攻撃者が列挙してターゲットに到達する難易度が少なくとも 300% 増加することを示しています。また、アプリケーションリングフェンシングポリシーを適用するための比較的少ない増分作業 (ユースケース2)により、攻撃者の難易度が450%増加します。しかし、マイクロセグメンテーションを説得力のあるセキュリティ制御にしているのは、労力が明らかに増加しているだけではありません。ブロックされた接続の数の増加に注意を払うと、攻撃者が不正な接続を試みるのを検出する可能性があるため、段階的な取り組みが防御側にとって魅力的な投資であることがわかります。これは、コントロール、ユースケース1、ユースケース2のテストで生成されたトラフィックの量にも表れており、非常に長期間にわたって試みない限り、接続量の急増はSOCでアラートをトリガーし、調査につながるはずです。
また、ユースケース3(層のセグメンテーションが適用された)で試みられた接続の減少も興味深いことです。この低下は、環境が非常に緊密に分割されていたため (ランチタイムのボア コンストリクターを思い浮かべてください)、敵が戦術の変更を余儀なくされたという事実によって説明されます (vs.ユースケース2)。しかし、この戦術の変更は、最終的に攻撃側にとってより効率的な勝利にはつながりませんでした。実際、防御側がマイクロセグメンテーションポリシーを強化するための労力は比較的少ないにもかかわらず、成功までの合計時間は依然として増加し、対照実験を950%上回っており、これは、セキュリティポリシーの制限の増加により、以前のユースケースと比較して攻撃者のアプローチに重大な変化を余儀なくされ、この変更でさえ攻撃者の状況が大幅に悪化したことを示しています。
この最初のテストの見出しは、敵の仕事を3倍から10倍難しくしたくないですか?その場合は、マイクロセグメンテーションを実装します。
100、500、1000 のワークロードでのユースケース 2 (アプリケーションリングフェンシング) のデータは次のとおりです。
ここで重要なポイントは 、保護された資産のサイズが大きくなるにつれて、セグメンテーションポリシーの性質を変更しなくても、攻撃者の仕事が著しく困難になるということです(4.5倍から22倍の間) これは、高度に戦術的なセグメンテーションの展開を超えて、メリットが現実のものであるため、この機能セットを資産全体に拡張するためにジャンプする強力な正当化です。
では、これはすべて何を意味するのでしょうか – これが私の最終的な考えです。
- マイクロセグメンテーションはホワイトリストのアプローチを取る必要がありますが、このアプローチを採用することによってのみ、承認された経路以外のすべてを排除するため、セキュリティ体制の改善を真に測定することができます。
- マイクロセグメンテーションは、非常に単純な環境分離ポリシーであっても、攻撃者が結果を達成することを少なくとも3倍困難にします。
- ポリシー定義を変更することなくマイクロセグメンテーションの展開サイズを拡大することで、それ自体が全体的なセキュリティ上の利点を得るため、組織はセグメンテーションを小さな戦術的サブセットだけでなく、資産全体に拡張することを目指す必要があります。
- マイクロセグメンテーションポリシーが高度化すると、攻撃者によるアプローチの変更を余儀なくされ、多くの場合、時間がかかり、検出される可能性が高まります。
