フラットネットワークでリスクを軽減する方法 — 攻撃者の楽園

この記事はもともと Forbes.com.

フラットネットワークは、通常、設計が簡単で、構築が安価で、運用と保守が容易であるため、非常に普及しています。しかし、悪意のある攻撃者もフラットネットワークを好むことが判明しました。これは、フラットネットワーク上の単一のホストが侵害されると、ネットワークの残りの部分の整合性がトランプの家のようになり始めるためです。企業が侵入されると、フラットネットワークは、招かれざるゲストや歓迎されないゲストに、高価値資産をスキャン、識別、ターゲットにするための自由なネットワークアクセスを提供します。残念ながら、多くの組織はこれらのリスクを軽減できていないか、完全に認識することさえできていません。

フラットネットワークのセキュリティリスク

組織は、主にネットワーク境界防御のセキュリティ保護に重点を置く傾向があります。ただし、境界セキュリティへの投資では限界があります。Verizon Data Breach 2018 Report によると、昨年は 2,216 件の侵害が確認されました。報告書によると、これらの侵害の73%は外部の攻撃者によって行われた。ハッキングやマルウェアは依然として蔓延しています。

これらの統計は、これまで以上に強力で高い「壁」で境界を確保するための最善の努力にもかかわらず、これらの措置は、粘り強く、ネットワークに侵入するための完全な能力とリソースを持つ悪質な行為者を締め出すことはできないことを強調しています。新しい考え方が必要です。「侵害を想定する」必要があり、そのためにはネットワーク防御が侵害されることを前提に行う必要があります。さらに、フラットなネットワークがある場合、悪意のある攻撃者は、侵害された単一のシステムまたはデバイス(橋頭堡)を、最も貴重な資産に向かう途中でネットワークを横方向に移動するための出発点として使用できます。

フラットネットワークでは、デフォルトのポリシーは、すべてのデバイスとアプリケーションが相互に通信できるようにすることであり、セキュリティがどの接続とデータフローが正当であるかを判断することが困難になります。たとえば、オフィスで支給されたラップトップは、会社のプリントサーバーに接続して「通信」できるため、ドキュメントをすばやく簡単に印刷できます。卓上 IP 電話は同じフラット ネットワーク上にあるかもしれませんが、その IP 電話がそれらのプリント サーバーと通信することは理にかなっていますか。セキュリティシステムは、そのようなトラフィックや接続が異常であり、侵害の兆候である可能性があるかどうかを検出するのに苦労しています。

フラットネットワークは、攻撃者が静かにネットワークを横断しようとするときに、隠れることも容易になります。滞留時間として知られるこの期間は、世界全体で平均して 101 日です。また、ハッカーがはるかに長い間、最長で数年間検出されなかった注目を集める攻撃を見つけるために、あまり遠くを振り返る必要はありません。

脅威は内部からも来ることがあります

フラットネットワークは、(潜在的な)悪意のある内部関係者にとって潜在的な遊び場としても機能します。インサイダーが最初に行うことは、より多くの資格情報を収集するか、既存の昇格された権限を使用して、自分の役割の範囲外のシステムにアクセスすることです。2要素認証(2FA)または多要素認証(MFA)は、ユーザーの手に渡った盗まれた認証情報に対処するための確実な対応です。

ただし、モバイルおよびマシンツーマシン(M2M)デバイスは、ネットワーク内および他のすべてのネットワーク内でデータトラフィックが増加している2つの主な理由です。より多くのビジネス システムが相互に対話する必要があり、この種のトラフィックには認証が必要ですが、これは 2FA や MFA だけでは解決できません。この問題は、接続されたさまざまなデバイスに存在し、顧客データリポジトリや決済システムなどの重要な資産を危険にさらします。

フラットネットワークでリスクを軽減する方法

上で述べたように、「違反を想定する」という考え方から始める必要があります。遅かれ早かれ、最高の境界防御でさえ突破されるでしょう。この考え方により、攻撃者のように考えることができ、CISO は次のような適切な質問をすることができます。

• 攻撃者がネットワークに足場を築いた後、どのような価値の高い資産に誘導しようとしますか? 
• フラットなネットワーク内での攻撃者の自由な移動と持続を防ぐために、私たちは何を用意しているのでしょうか?

答えが「何もない」、あるいはおそらく同じくらい悪い「一握りのファイアウォールとVLAN」である場合、CISOはそのリスクを軽減するための行動を起こす必要があることを知っています。

1. 最も重要な資産を特定する: 当たり前のことのように思えるかもしれませんが、価値の高い資産の分類は、誰に尋ねるかによって異なる場合があります。このため、主要な利害関係者(CISOと法務チーム、財務チームなど)を結集して、企業のインフラストラクチャ内の資産とアプリケーションのリスクをマッピングすることが重要です。これを行う良い方法は、NIST サイバーセキュリティ フレームワーク (CSF) を活用することです。
2. 最適な保護または制御を決定する:最高のアプリケーションを保護するには、IDおよびアクセス管理(IAM)、脆弱性管理、セグメンテーションなど、多くのレイヤーがあります。セグメンテーションは、NIST CSFに適合するコントロールの1つであり、アプリケーションが許可されたデバイスからのみアクセスできるようにし、それらのデバイスが重要なアプリケーションの特定のビジネスプロセスにのみアクセスできるようにします。
3. 潜在的なソリューションを特定する: 一連のソリューションを決定するには、主要な利害関係者 (セキュリティ エンジニアリング、ネットワーク エンジニアリング、アプリケーション チームなど) を特定して、市場で利用可能なソリューションを調べることから始まります。ベンダーごとに異なるセグメンテーションアプローチを検討し、セグメンテーションは新興市場であることを念頭に置いておくことを強くお勧めします。

ネットネットとは、フラットネットワークの人気が高まっており、残念ながら悪意のある攻撃者の欲求も高まっているということです。これは危険な組み合わせになります。フラットネットワークのリスクを認識することが最初のステップです。「侵害を想定する」という考え方に変えることで、そのリスクを軽減するプロセスが始まります。最後になりましたが、ゼロトラスト戦略(すでに侵害されているがまだ気づいていないという前提に基づく戦略)を実装することで、フラットなネットワークを持つ組織が攻撃者の遊び場にならないようにすることができます。