アタックサーフェスを把握: 効果的なエクスポージャー管理の主なポイント
Because of shadow assets, most security teams never have true visibility into their attack surface. This paradigm is exactly why cyber asset attack surface management (CAASM) should be a key part of your exposure management program.
キーポイント
- Attack surface management is essential for seeing the big picture of your attack surface.
- While your existing security tools might give you domain insight, like a vulnerability alert on an asset, you need deeper threat and business context for actionable cyber risk reduction.
- An exposure management platform can ingest data from all your existing tools for security orchestration and ticketing to streamline and automate security processes.
- With unified visibility across your environment, you can more effectively manage and shrink your attack surface.
アタックサーフェスの把握は、現在のサイバーセキュリティの基本です。 しかし、これを行う際には多くの疑問が浮かんできます。
- アタックサーフェスとは、正確にはどのようなものなのか。
- これが問題となるのはなぜか。
- そのすべてを把握するには、どうすればいいのか。
この記事では、そういった疑問にお答えします。 私は Tenable の情報セキュリティエンジニアになってまだ日が浅いものの、エクスポージャー管理への移行を通じて、IT 資産のアタックサーフェス管理 (CAASM) がいかに重要であるかを実感しています。
アタックサーフェスの把握
私はアタックサーフェスを、家の境界のようなものだと考えています。 すべてのドア、窓、そして場合によっては緩んだレンガさえも、侵入口となる可能性があります。 家が大きければ大きいほど、侵入口は多くなります。
デジタル環境は、家のように目に見えず、姿形もありません。しかし、同じようなものだと考える必要があります。Every LLM, application, server, cloud instance and endpoint connected to the internet is part of your attack surface. すべての侵入口を把握せずに、どうやって安全を確保できるのでしょうか?
脆弱性スキャンを超える
「脆弱性スキャンを実施したし、 それで十分ではないか」とお考えかもしれません。
確かに、脆弱性スキャンは重要ですし、これがなければ途方にくれることでしょう。 しかし、従来の脆弱性管理はパズルの一部に過ぎません。 エクスポージャー管理は、より包括的な視点をもたらします。 エクスポージャー管理を利用すると、既知の脆弱性を特定するだけでなく、潜在的なリスクの全体像も把握できます。 This includes external attack surface management and the AI assets you might not even know you have.
ASM 統合にはどのような効果があったか
Tenable Attack Surface Management と Tenable One サイバーエクスポージャー管理プラットフォームの統合に関する最近の私の取り組みを例として紹介します。
Tenable Attack Surface Management を使用すると、組織に関連するすべての外部ドメインとサブドメインを検出できます。 それは、デジタル世界にある家の隠された入り口をすべて探し出すようなものです。 Tenable Attack Surface Management の本当に優れた機能の 1 つは、データを脆弱性管理ツールおよびウェブアプリケーションスキャンツールと統合できることです。
これにより、一気に全体像が捉えられるようになります。
Tenable Attack Surface Management を Tenable Vulnerability Management と統合し、そこからスキャンを実行できるようになったことで、外部資産やウェブアプリケーションに対する可視性が向上しました。 その後、アタックサーフェス管理データは自動的に Tenable One プラットフォームに統合され、他の Tenable One の検出結果と関連付けた文脈で活用できるようになります。
Tenable Attack Surface Management の統合は、これまで未知であった外部資産を検出したりスキャンを開始したりする上で大きな助けとなりましたが、さらに大きなメリットは、Tenable Web App Scanning との相乗効果でした。 Tenable Web App Scanning は、ウェブアプリケーション (多くの場合、顧客向け外部サイト) 内の脆弱性を特定することに特化しているため、Tenable Attack Surface Management の統合が非常に有用であることがわかりました。 Tenable Attack Surface Management で検出されたドメインとサブドメインを Tenable Web App Scanning 内で直接確認できるようになり、アプリケーションを離れることなく、これらの確認を既存のスキャンとスケジュールに追加できるようになりました。
Tenable Attack Surface Management を Tenable Web Application Scanning に統合することで、新しく検出されたドメインを自動的に特定し、スキャンスケジュールに追加することができます。これは本当に画期的なことです。
これにより、ドメイン内の新しいウェブアプリケーションを特定するプロセスが簡素化され、報告が自動化されたので、アプリケーションの所有者に手動で更新を依頼する必要がなくなりました。 この統合により、確認作業の効率が向上し、新たなスキャンの追加や、404 ページにも及ぶような、Tenable Attack Surface Management により検出された無関係なドメインの削除が可能になりました。
アプリケーション所有者から新しいサイトに関する報告を待つ (現実的には必ずしも報告されるとは限らない) のではなく、自ら積極的に検出することも可能です。 忘れられた古いサイトが見つかる場合さえあるでしょう。
エンジニアから探偵への転身
私が学んだことの 1 つは、さまざまなソースからのデータが時として矛盾することがあるということです。 その矛盾を解決するには、ちょっとした探偵のような調査が必要になることも多くあります。
ツールは、何かに関して「XYZ だ」と報告するかもしれません。しかし、本当にそうなのでしょうか? もっと深く掘り下げ、データを再確認する必要があります。 テスト中に計算をチェックするようなものです。見直さず、盲目的に計算機を信頼する人もいますが、もちろん、確認したほうが良いですよね?
このような統合によって促進された、より広範なエクスポージャー管理アプローチへの移行により、データソースが大幅に増加しました。 私たちのチームは、10~15 個のアプリケーションのデータ管理体制から、その 2 倍または 3 倍の規模の管理体制へと移行しました。 そのため、正確さと実行可能性を確保するために、徹底的な調査作業とデータ改良のプロセスが必要となりました。
少数のデータソースから多数のデータソースへの移行は大変に思えるかもしれません。 でも、それは物事を複雑にすることではなく、 より鮮明で明確な全体像を捉えることが目的なのです。
主な課題は、さまざまなソースから取り込んだデータの正確性と一貫性を検証することでした。 私のチームは、以前は他のリソースやチームが所有していたプロセスに慎重に対処し、その効果の最適化を図るために反復と改良を重ねる必要がありました
少数のデータソースから多数のデータソースへの移行は大変に思えるかもしれません。 でも、それは物事を複雑にすることではなく、 より鮮明で明確な全体像を捉えることが目的なのです。 確かに、さまざまなソースのデータをチェックして絞り込む作業は必要です。特に、そのデータの以前の所有者が独自のプロセスを持つ別の部門であった場合はなおさらです。
しかし、長い目で見れば、このような情報をすべて手元に置くことで、状況をより明確に捉えることができます。 潜在的なエクスポージャーを全体像として把握できるのです。
エクスポージャー管理の未来
将来を見据えたエクスポージャー管理チームの目標は、このプロセスをさらに合理化することです。そのために、これらの異なるデータソースをすべて取り込み、ソフトウェア開発ライフサイクルなどのさまざまな担当部門が、できる限りシンプルな方法で活用できる形にします。 この継続的な移行の重要な要素には、Tenable が最近買収した Vulcan のようなツールをセキュリティオーケストレーションとチケッティングに統合することが含まれます。
最終的な目標は、現在手動で行っているプロセスの多くを自動化し、ステークホルダーに対して正確で実用的な情報を頻繁に報告できるようにすることです。 この包括的なアプローチにより、すべての検出結果と脆弱性の報告、およびすべての製品の SLA の監視と遵守を徹底することができます。
キーポイント
明確な計画を持つことは極めて重要です。 行き当たりばったりでやることはできません。
私たちは、これらの新しいソースから得たすべての情報をインベントリ化し、引き継がれる前にそれらがどのように機能していたかを把握して、さらに改善する方法を模索しています。 例えば、プロセスの調整、セキュリティオーケストレーションの追加、すべてのデータが正確で実用的であることの確認などを行っています。 さらに、Tenable One を使用すると、データについて文脈を踏まえて分析することもできます。
結局のところ、重要なのは、アタックサーフェスを把握し、徹底的にスキャンし、あらゆる情報を報告できるようにすることです。 それがエクスポージャーの効果的な管理につながります。 ただ単にチェックボックスにチェックを入れるだけではなく、 何がそこにあるのかを真に理解し、それを保護するために必要な対策を講じることが重要なのです。
エクスポージャー管理は継続的なプロセスであり、 進化し、適応し、常により良い可視性を追求することです。 個人的には、それこそが面白い点だと思います。
もっと詳しく
- Tenable のエクスポージャー管理リソースセンターをご確認ください。このページには、エクスポージャー管理の価値が発見できるさまざまなリソースが掲載されています。文書、ブログ、動画、診断ツールなどを活用して、継続的なエクスポージャー管理システムの構築にお役立てください。
もっと詳しく
もっと詳しく
関連記事
- Exposure Management
- Exposure Management Academy
Tenable One
Container デモを申し込む
世界をリードする、AI を活用したエクスポージャー管理プラットフォーム
ありがとうございます
Tenable One に関心をお寄せいただきありがとうございます。
近々、担当者からご連絡させていただきます。
Form ID: 7469
Form Name: one-eval
Form Class: c-form form-panel__global-form c-form--mkto js-mkto-no-css js-form-hanging-label c-form--hide-comments
Form Wrapper ID: one-eval-form-wrapper
Confirmation Class: one-eval-confirmform-modal
Simulate Success