第こんにちは。クラウドセキュリティ事業部のK.Kです。
二回目のブログでは、ASM の主要な構成要素と技術的な観点からの新たなアプローチについてご紹介しました。 この第三回目のブログでは、攻撃対象領域管理(アタックサーフェス管理(ASM))を実践するにあたって重要なプロセスであるアセットを発見するアプローチについて詳しくご紹介します。
従来から言われているように、目に見えないものを保護することはできません。そのため、アセットを正しく把握し可視化することが ASM プログラムの成功の基礎となります。 今日ではアセットの可視性を提供するさまざまなツールが存在しており、このブログではアセット検出の4つの異なる方法についてご紹介致します。
1.ソフトウェアエージェント
概要:
現状、ほとんどのアセット管理システムは、展開されたエージェントを必要としています。 ソフトウェアエージェントはワークステーションまたはサーバー上に展開され、アセットに関する情報を管理システムに送信します。
利点:
このアプローチの利点は、インストールされているソフトウェア、ロケーションなどの最新情報を含む、特定のアセットに関する精度の高いデータを取得できることです。
課題:
課題は、ソフトウェアエージェントがインストールされていないアセットを検出できないことで、実際、ほとんどの組織では、エージェントを100%展開できていません。また、ソフトウェアエージェントが IT 管理エージェントであり、エンドポイント セキュリティ エージェントではない場合、通常、セキュリティ制御、脆弱性、エクスポージャ等一連の情報が不足しており、攻撃対象領域(アタックサーフェス)をよく理解するための重要な情報が欠落している可能性があります。つまり、ソフトウェア エージェントは、攻撃対象領域(アタックサーフェス)のパズルのピースとして扱う必要があります。
2.パッシブネットワークスキャン
概要:
実際のところ、組織内のすべてのアセットが既存のデータ ソースにリンクされているわけではなく、 攻撃対象領域(アタックサーフェス)を完全にカバーするには、ネットワーク トラフィックのデータ ソースに対応するパッシブ ネットワーク スキャンが有効です。
利点:
パッシブ ネットワーク トラフィックのデータ ソースをサポートすることで、チームは他のデータ ソースと相関関係のないオンラインになった新しいアセットを可視化できるようになります。 これにより、セキュリティ ポリシーとプロトコルを回避している不正なデバイスを可視化できます。
課題:
例として、不満を持った従業員が承認されていないワークステーションや危険なデバイスをイーサネットポートに接続したり、攻撃者が WiFi 攻撃から足掛かりを得て、スタティック IP アドレスでネットワークに侵入したりする可能性があります。 いずれも、ネットワーク スイッチ、ファイアウォール、ネットワーク トラフィック分析の観点から見ると、危険なデバイスはチームやツールからは実質的に見えなくなります。
3.アクティブネットワークスキャン
概要:
組織内に接続された不正なデバイスや管理下に置かれていないアセットをアクティブネットワークスキャンにより、能動的に検出します。
利点:
アクティブ スキャンは、見逃されがちなアセットからの情報を取得する方法を提供します。 完全な可視性が非常に重要な環境では、アクティブ ネットワーク スキャンは必須の機能です。全組織に脆弱性スキャナーが展開されている場合、同じネットワーク検出手法を使用するだけでなく、脆弱性とエクスポージャも理解するため、ネイティブのアクティブネットワーク スキャンよりも優れています。 また、CAASM ソリューションを使用して、どのアセットとネットワークの脆弱性が継続的に評価されていないかを把握することは、アクティブなネットワーク スキャンによって新しいアセットを発見する能力を高める優れた方法でもあります。
課題:
最も発見が難しいシャドー IT アセットは、必要なセキュリティ制御が有効になっていないため、最も脆弱である可能性があります。 これらのアセットはテレメトリを提供しないため、ネットワーク データだけでは検出できません。 ネットワーク データがあっても、セキュリティ チームはフィンガープリンティングを見逃し、これらのデバイスで実行されているサービスを識別できないことがよくあります。
4.データの集約と相関
概要:
アセットを発見するより包括的な方法は、組織が使用するさまざまなツールからアセットデータを取り込むことです。 これは、CAASM ソリューションを使用してアセットを検出する主な方法です。
CAASM ソリューションは、接続された各ツールに定期的に最新のアセットリストを要求します。 次に、アセットに関連するセキュリティおよび ID データが保存およびマッピングされ、簡単に検出およびクエリ可能なデータベース内で関係が構築されます。
利点:
API コネクタを介して ITシステム、ビジネス アプリケーション、セキュリティ ツールからデータを取り込むことで、最も広範な可視性が得られ、個々のツールからのデータギャップ全体を把握できるようになります。
アセット履歴追跡によってデータの傾向分析を実行し、アセットと組織が時間の経過とともにどのように変化するかを確認できるソリューションはいくつか存在しますが、多くはありません。 CAASMソリューションの場合、アセットごとに複数のアセットレコードが保存され、設定可能な期間保持されます。 CAASM ソリューションが提供する相関エンジンにより、ツールから取り込むデータが増えるほど、攻撃対象領域(アタックサーフェス)の可視性と精度が向上します。
組織は、通常5つの主要なソースからデータを取り込んで、断片をつなぎ合わせる事から始めます。
- ディレクトリ サービス (Active Directory、Azure AD、LDAP など)
- エンドポイント セキュリティ (insightIDR、Crowdstrike、SentinelOne など)
- 脆弱性管理 (insightVM、Qualys、Tenable など)
- アイデンティティとアクセス管理 (Okta、Duo など)
- CSPまたはCSPMツール (AWS、Azure、insightCloudSec、Wiz など)
課題:
現状、一部のソリューションでは、ARP または DHCP ブロードキャストを処理するエージェントからのデータを使用して新しいアセットを検出できますが、ほとんどの CAASM ソリューションは、Netflow などのネットワーク データを取り込んだり、ネットワークトラフィック分析データの取り込みをサポートしていません。
このシリーズの最後のブログでは、効果的な攻撃対象領域(アタックサーフェス)管理 によって取得できる一連の情報から、より深いインサイトを導き出す方法について説明します。
- カテゴリ:
- Rapid7
