English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
優れた ASM ソリューションを際立たせるものは何ですか
Jun 13, 2023この Help Net Security のインタビューでは、Onyphe の CTO、Patrice Auffret が、従来の境界ベースのセキュリティの考え方がどのように時代遅れになりつつあるのかについて説明しています。 同氏は、組織が攻撃対象領域の概念を再定義する必要があることを示唆し、攻撃対象領域管理 (ASM) ソリューションを強化するために実行できる事前対応策について議論します。
まず、ASM を定義しましょう。 この用語は、2020 年に Gartner によって造られました。これは、組織の防御サイバーセキュリティ兵器の新しいツールです。 ASM は、組織がインターネットに公開されている資産をより適切に把握できるようにするだけでなく、未知の資産を識別するのにも役立ちます。 それ以来、ASM カテゴリの下に多くのソリューションが登場しましたが、それらはすべて同じではありません。 優れた ASM ソリューションには、未知の資産を検索する機能である Attack Surface Discovery (ASD) が組み込まれている必要があります。 私たちは、ASD と ASM という用語が存在する前から 6 年間、ASD と ASM の両方のカテゴリーで活動してきました。
2023 年、組織は常にすべてに迅速にパッチを適用することはできません。 ASM により、IT チームは最も重要な脅威、つまりサイバー犯罪者がネットワークに侵入してランサムウェアを展開するために悪用される脅威に集中できるようになります。 脅威インテリジェンスのレポートのおかげで、侵入の大部分は、インターネットに公開されたリモート デスクトップ プロトコル (RDP) サービス、VPN アプライアンス、および重大な脆弱性 (CVE) が原因で発生していることがわかっています。 2022 年のパロアルト Unit 42 レポートでは、これら 3 つの初期アクセス ベクトルがインターネット ベースのネットワーク侵入の 46% を占めていることが強調されています。
外部攻撃対象領域管理の観点から見ると、企業は少なくともこれら 3 つのベクトルに焦点を当てる必要があります。
組織の攻撃対象領域には、アウトソーシングされたインフラストラクチャやアプリケーションなど、ビジネス プロセスとデータを支えるすべてのテクノロジーが含まれる可能性があります。 だからこそ、ASD は非常に重要であり、効果的な ASM の前提条件です。 さらに、多くの組織にとって ASM は簡単な部分であり、課題は公開されている資産の完全な目録を作成することであると私たちは主張します。 そこで ASD ソリューションが登場します。
ASD のもう 1 つの重要な利点は、ASM ソリューションを補完するものとして、IP アドレスまたは完全修飾ドメイン名 (FQDN) のリストを従来の脆弱性スキャナーに供給できることです。
さらに、資産インベントリに対する時代遅れの IP ベースのアプローチは禁止されるべきです。 現在、資産インベントリにはドメインベースのアプローチを採用する必要があります。 なぜそうなのか? 一時的なクラウドベースのインフラストラクチャでは、IP アドレスは変更される可能性がありますが、ドメイン名は常に新しいドメインが追加されて、時間が経過しても一貫性を保つ必要があるためです。 変更や新しいドメインを追跡するにはどうすればよいですか? 優れた ASD ソリューションでは、DNS、証明書透明性ログ (CTL)、インターネット全体の IP ベースのスキャン、そしてさらに重要なことに、URL ベースのスキャンなどの複数のソースからデータを収集する必要があります。 Cloudflare などの CDN ソリューションを使用して Web サイトを保護する企業が増えているため、最後の点は非常に重要です。 Clouflare の IP アドレスのみをスキャンすると、実際の Web ホストを表示できなくなり、隠れたセキュリティ問題が発生する可能性があります。
これらすべての情報ソースを活用することで、組織は単一のドメイン名から開始し、キーワードと既知のサービス プロバイダーを中心に、公開されているすべての資産のインベントリを作成する作業を繰り返すことができます。 次に、適切なツールを使用して、すべてのドメインにバインドされている IP アドレスや、Web サイトにある TLS 証明書の組織フィールドや HTTP トラッカー (Google アナリティクスやメタ ピクセルなど) などの他のピボットを検索する必要があります。 このパターンのリストは資産インベントリとなり、新しい公開資産を見つけるには定期的に更新する必要があります。
優れた ASM ソリューションは、IP に依存せず、IP 範囲またはデータセンターを持つ組織をネットワーク ブロックで検索できる必要があります。
内部 ASM はより単純です。IP アドレスまたはネットワーク ブロックのリストがすでに存在している必要があります。 範囲のスキャンは定期的に行う必要があり、これは何十年も行われてきました。