Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
ゼロトラストセグメンテーション

SolarWindsの侵害:ゼロトラストへのパラダイムシフトを推進

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
1月 19日、 2021
23分読む

SolarWindsの侵害とそれによる継続的な影響により、企業が外部の依存関係(ベンダー、顧客、パートナーなど)と持つすべてのタッチポイントを制御および検証することの難しさが浮き彫りになり、「チェーンの強さは最も弱いリンクと同じくらい大きい」という古い格言がさらに強調されています。

2010年代初頭のターゲット侵害と最近のいわゆる「クラウドホッパー」攻撃は、特にそのチェーンのメンバーが何らかの形でネットワークに直接アクセスしている場合(つまり、ネットワークアクセスを必要とするサードパーティ関係)に、サプライチェーンに関連するリスクをすでに浮き彫りにしています。したがって、このリスクが認識されたことで、これらのネットワークタッチポイントで実施されているセキュリティ制御にさらに重点が置かれています。適切に実装された場合、これらのコントロールは、これらのタッチポイントが存在する場所、アクセスを許可するもの、アクセスのレベル、およびそのアクセスの監視方法を明確に理解できます。検出と対応の観点からは、この「アプリオリな」情報のために、監視すべきより明白な一連の指標を提供する可能性があります。

何よりもまず、SolarWindsの侵害は、テクノロジーサプライチェーンの中で私たちが予想していなかったポイント(つまり、信頼できるソフトウェアベンダーからの署名されたアップデート)を攻撃したため、不安です。それでも、バックドア攻撃者に提供した機会において、それは私たち全員が「完璧」であると認めるものです。

攻撃の成功確率は、利用可能な資格情報、使用可能なネットワークアクセス、悪用可能な脆弱性の関数であると主張できます。この場合、広範なネットワークアクセスと、システムやディレクトリサービスへの高い特権アクセスでシステムを侵害することは、悪意のある攻撃者のウィッシュリストで非常に上位にランクインします。Orion プラットフォームはまさにこの機会を提供しました。

攻撃者がSolarWindsのコード検証とビルドプロセスをどのように侵害したのかはまだ調査中であり、独自の開発を行うすべての組織が、同じリスクを軽減する方法に大きな関心を寄せることは間違いありません。

今一番考えられているのは、潜在的な露出が何であり続けるかということです。利用可能なアクセスのレベルと範囲は、攻撃者がどこに到達して隠れることができたかを正確に測定するのが難しいことを意味します。オリオン・アップデートの使用は、最終的なトロフィーでも、存在やアクセスの持続性の必要性でもない、純粋に標的組織に(非常に目立つ)橋頭堡を確立するためであったことがわかっています。

このことを考えると、継続的な検出と対応に重点が置かれています。そしてこの点で、私たち全員が果たすべき重要な役割があります。この大規模な攻撃の発見は、経験豊富なインシデント対応およびサイバーセキュリティベンダー(FireEye / Mandiant)も侵害されたために可能でした。しかし、彼らは被害者リストの中で最初に、侵害後にデータ盗難を検出し、それを公開し、最初の対策を提供しました。おそらく、これはこの進行中のエピソードの希望の光の 1 つです。

セキュリティベンダーは、攻撃の伝播を検出し、制限(または少なくとも遅延)するために、当社が提供するソリューションをどのように使用するのが最善であるかを緊急に決定する必要があります。
  • Blue Teamsが効果的に活用して、組織内の活動をより正確に把握し、より明確な侵害の指標を提供できるテレメトリはありますか?
  • ラテラルムーブメントを制限するポリシーを迅速に適用できるポリシーはありますか?
  • 当社のテクノロジーソリューションは、接続の量、特権アクセスの使用、ワークロードの脆弱性の数など、アプリケーションが組織にもたらすリスクを明らかにし、場合によっては軽減できるでしょうか?
  • 侵害された認証情報がいつ使用されているかを迅速に特定し、それ以上のアクセスを防ぐことができますか?
  • 既知のTTPと新しいTTPを識別する複数のセキュリティソリューションから引き出すことができる簡単な相関関係はありますか?
そして、潜在的なターゲット組織についてはどうでしょうか:彼らは何をする必要があるのでしょうか?現在、各資産に関連するサイバーリスクを理解することがこれまで以上に重要になっています。
  • 最も重要なリソースを迅速に特定できますか?
  • これらのリソースに関するアクセスモデルをどの程度理解していますか?
  • これらのサーバー/ワークロードとの間のアウトバウンド通信を制御できますか?そもそもアウトバウンド通信は存在すべきでしょうか?
  • 各レイヤー(エンドユーザーデバイス、ネットワーク、IDとアクセス管理、アプリケーションなど)で適切な監視があり、改善できますか?
  • アクセスポリシーを厳格化して、ゼロトラスト/最小権限に近づけることはできますか?
  • 安全なソフトウェア開発プラクティスが可能な限り強力であることを保証するために見直されますか?

悪名高い「ショック・ドクトリン」パラダイムは、システムに変革をもたらすためには、システム全体に衝撃を与えて、そのような変化が必要であることを認識させる必要があることを示唆しています。そして、サプライチェーンのセキュリティとそれに関連するリスクに焦点が当てられるのは当然ですが、本当の変容は次のようになる必要があると思います。

テクノロジーベンダーは、提供する既存のソリューションを使用して検出および対応機能をサポートする方法について顧客を教育でき なければなりません

顧客(つまり、組織)は、次の点に重点を置 く必要があります

  • 最も重要な資産を特定する。
  • さまざまなセンサーを使用してこれらの資産をアクティブに監視し、悪意のあるTTPの指標を特定します。
  • これらの資産のアクセス モデルを理解し、それらを保護するための最小権限ポリシーを適用します。
     

多くの点で、ここで提示された機会は、まさに ゼロトラストの出発パラダイムである「侵害を想定し、所有されることを非常に困難にする」ということです。

関連トピック

No items found.

関連記事

Infosys CISO Vishal Salvi による 5 つの最高のゼロトラスト ヒント
ゼロトラストセグメンテーション

Infosys CISO Vishal Salvi による 5 つの最高のゼロトラスト ヒント

一貫性のある「退屈な」作業がゼロトラストに大きなセキュリティROIをもたらす方法を、InfosysのCISOであるVishal Salviからご覧ください。

Read more
マイクロセグメンテーションを展開するためのアーキテクトガイド:ベンダー関係と運用統合の管理
ゼロトラストセグメンテーション

マイクロセグメンテーションを展開するためのアーキテクトガイド:ベンダー関係と運用統合の管理

従来のネットワークセグメンテーション(ファイアウォールなど)からマイクロセグメンテーションに移行するには、アーキテクトまたはプロジェクトマネージャーが主導する調整された取り組みが必要です。

Read more
ArmisのCTOであるCarlos Buenano氏のOTセキュリティジャーニーがゼロトラストにつながった方法
ゼロトラストセグメンテーション

ArmisのCTOであるCarlos Buenano氏のOTセキュリティジャーニーがゼロトラストにつながった方法

BuenanoのOTセキュリティへの道のり、産業環境を保護する上でゼロトラスト原則が果たす極めて重要な役割、そしてそこに到達するための課題について学びましょう。

Read more
No items found.

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more