初めての人もわかる! - アタックサーフェスマネジメント(攻撃対象領域管理)とは?

アタックサーフェスマネジメント (ASM - Attack Surface Management) は、インターネット上で収集できるすべての情報を検出、一覧表示、分類、分析、優先順位付け、監視し、外部のデジタル資産を検索して機密データについて組織に通知するプロセスです。

Lovepik_com-400108655-scientific-and-technological-satellites-and-the-earth-1536x768

ASM は、インターネット上のデジタル フットプリント全体を追跡し、会社に関連する情報を検出して収集します。しかし、それは情報が多すぎるか、役に立たない情報である可能性があります。そのため、この情報は会社と共有するのではなく、まず分析され、分類されます。このステップの後、情報は機密性に基づいて優先順位が付けられます。モニタリングが最後のステップです。

つまり、アタックサーフェス(攻撃対象領域)とは、攻撃者が脆弱な組織の脅威状況を調査する際に発見できるもの、また発見するであろうすべてのものです。

アタックサーフェスの管理が重要なのはなぜか?


この動的な攻撃対象領域となりうるインターフェースを管理するには、組織は適切なセキュリティ制御を確保して、攻撃者が悪用できるアタックサーフェスの脆弱性を減らす必要があります。これは、サイバーセキュリティツールを使用して、組織がサイバー攻撃に対して脆弱な場所を最小限に抑えることで実現できます。

ただし、組織のアタックサーフェスの巨大な規模を大局的に把握することは不可能ではありません。新しい方法を使って把握していく必要があります。デジタル フットプリントをプロアクティブにマッピングし、オンライン チャネルで攻撃指標を監視し、特定された脅威を迅速に取り除き、顧客、従業員、ネットワークを保護することで、アタックサーフェスをさらに減らすことができます。

組織の安全を維持するには、インフラストラクチャがどのように攻撃にさらされ、どのような脆弱性があるかを理解し、それらを軽減するための活動に優先順位を付けることが重要です。サイバー攻撃の種類やその内容、サイバー攻撃の規模を理解すると、セキュリティ専門家はインフラストラクチャがさらされる攻撃の種類を絞り込むことができます。

ASM は、高度なインターネット データ インテリジェンスと分析を組み合わせて、調査を迅速化し、アタックサーフェスを理解し、デジタル脅威に対して措置を講じます。継続的なセキュリティ監視は、サードパーティの信頼できるデジタル資産に関するアタックサーフェス管理のレベルです。 ASM ツールは、これらの資産に対する洞察と可視性を提供し、インターネット上の組織に関連するあらゆるものを検出および監視して、膨大な規模のアタックサーフェスに焦点を当てます。

組織のセキュリティ戦略において、動的かつ非常に複雑なアタックサーフェスを侵害するリスクを管理すること、すなわちリアルタイムの可視性は非常に重要です。

5074-2-1536x901

組織は、アタックサーフェスを継続的に管理および削減することで、攻撃者の成功をますます困難にし、積極的に防御に介入することができます。ASM を使用することで、セキュリティの強固さを向上させることができます。

システム全体を保護するためにネットワークの境界線が存在する場合もありますが、制御・監視可能なアタックサーフェスは、今日の組織が直面する最も一般的なサイバーセキュリティリスクの一部を回避するのに役立ちます。ネットワークをセグメンテーションすることで、攻撃者がネットワークを通過する際の障壁を増やし、攻撃範囲を狭めることができます。したがって、管理されたネットワークのセグメンテーションは重要です。

ソフトウェアの範囲を定義することで、潜在的な問題をネットワークのエッジで検出し、アタックサーフェスに到達する前に阻止することができます。新たなエンドポイント攻撃の影響を軽減するもう 1 つの鍵は、エンドポイントのイベントをより可視化することです。

 

優れたアタックサーフェスマネジメント製品は、新たに発見されたセキュリティ脆弱性がないか、すべてのシステムを 24 時間体制で監視します。リアルタイムの可視性は、企業内でオンラインで実行されているさまざまなネットワーク、ソフトウェア、プロトコル、サービスの攻撃対象領域に対する攻撃の影響を検出するために不可欠です。オンラインビジネスにおけるネットワーク、ソフトウェアプロトコル、サービスの数と複雑さを考えると、攻撃のどの部分が侵害や侵入の原因となっているのかを特定することは困難な場合があります。傷害のリスクを特定することは、動的で非常に複雑なプロセスであり、ネットワークインフラストラクチャ、ネットワークセキュリティ、データセキュリティ、ネットワーク管理など、さまざまな領域を考慮する必要があります。

今日の組織にとって、アタックサーフェスマネジメントは、敵対者が脆弱性を悪用する可能性を最小限に抑え、データ侵害の防止に役立ちます。

アッタクサーフェスの中身を考えてみる


攻撃インターフェイスとは、攻撃者が組織に侵入するポイントまたはベクターであり、攻撃者がデバイスまたはネットワークに侵入してデータを抽出できるすべての方法のリストにすぎません。言い換えると、攻撃インターフェイスとは、権限のないユーザーが IT 環境に侵入できるさまざまなポイントの集合です。ネットワークへのアクセス、遠隔地からのアクセス、ネットワーク接続プロトコルなど、攻撃者が環境への侵入を試みる可能性のあるポイントはいくつかあります。

アタックサーフェスとは、攻撃者がシステムに侵入してデータにアクセスできるさまざまなポイントを表します。簡単に言うと、攻撃対象領域とは、攻撃者が攻撃を成功させるために悪用できる組織のネットワーク環境です。これには、導入されているプロトコル、インターフェイス、ソフトウェア、サービスが含まれます。これは、企業に公開されているリソースです。

現代の企業では、攻撃対象領域がますます大規模かつ広範囲になってきており、今日のデジタル環境の複雑さを考慮すると、外部のアタックサーフェスの管理に関連する課題がよりよく理解されるようになっています。

Screen-Shot-2020-08-10-at-23.51.07

 

アッタクサーフェスとは、ドメイン インフラストラクチャ、Web サイト サービス、クラウド テクノロジなど、インターネットに公開されており、攻撃者によって悪用される可能性のあるあらゆる資産を指します。これは、組織のネットワーク インターフェイス、そのネットワーク インフラストラクチャ、およびリソースとして説明できます。要約すると、攻撃対象領域には次のものが含まれます。

既知の資産 : 既知の資産は、Web サイト、サーバーなど、企業によって登録および管理されている資産です。

不明な資産 : 不明な資産は、セキュリティ チームによって忘れられた、マーケティング目的で開かれたものの閉じられていないドメインのようなもの、または開発チームがリポジトリに忘れた機密データのようなもので、未知のエンティティを構成します。

資産のなりすまし : 偽のドメインや悪意のあるソーシャル メディア アカウントなどの悪意のあるインフラストラクチャは、企業に属しているように見えますが、攻撃者によって作成されました。

サードパーティの資産 : 攻撃対象領域は、企業自身の資産や企業だけをターゲットにするわけではありません。企業が使用する Web サイト上のサードパーティ JavaScript、または資産を見つけるために使用されるホスティング サーバーは、データが交換される企業のエコシステムにおける攻撃対象領域の一部です。

アッタクサーフェスを管理するための5つのステップ?


1. デジタル フットプリントの発見

外部の攻撃対象領域を管理するには、まずインターネットに公開されているすべての資産を識別する必要があります。企業には、知っていて管理している資産だけでなく、知らない資産や忘れている資産も数多くあるため、発見フェーズは重要です。たとえば、マーケティング目的で開かれたプロモーション ページの一部は、シャットダウンするのを忘れていたり、セキュリティ チームに通知されていなかったりする可能性があります。忘れ去られた資産やセキュリティが設定されていない資産は、企業にとって有害となる可能性があります。なぜなら、攻撃者は常に、管理されていない資産よりも企業を攻撃することを好むからです。

earth-2254769_1920-1536x944

また、Web サイトや SNSアカウントなど、攻撃者が会社を模倣するために使用する一部の公開された PII (個人識別情報) データと資産は、外部攻撃対象領域管理の最初のステップで検出できます。

企業の資産に接続されているサードパーティのアプリケーションやベンダーも検出段階に現れます。この場合、企業のエコシステムに含まれるため、攻撃対象領域が拡大します。

検出プロセスは、プロビジョニングされた IP アドレスとサブネットの単純なスキャンから、より包括的な OSINT (オープンソース インテリジェンス) やダーク Web ブラウジングまで多岐にわたります。

一部のセキュリティ ソリューションでは、外部の攻撃対象領域を監視および管理したり、社内で何らかの位置付けを行ったりするために、組織にデータ インベントリを要求します。

SOCRadar は、組織の攻撃対象領域を検出するための入力としてドメイン アドレスのみを受け取ります。高度な検索手法により、企業の資産に触れたり損傷したりすることなく、OSINT 手法を使用してサーフェス Web、ディープ Web、ダーク Web 上の資産インベントリ全体を探索します。

2. 資産のインベントリーと分類

資産が検出されたら、そのタイプ、技術的特性、ビジネスの重要性、およびコンプライアンス要件に応じて、正しいラベルを付けてインベントリを作成する必要があります。
Screen-Shot-2020-08-14-at-01.58.26

組織は、常に更新される資産のメンテナンスと保護を必要としています。ただし、各部門が管理する資産の種類は異なります。たとえば、ネットワーク チームは DNS レコードの変更を監視したいと考えていますが、ソーシャル メディア アカウントの管理はマーケティング チームの管轄である可能性があります。管理している資産にすぐにアクセスできるようにしたい担当者。このため、正しく分類された在庫を作成することが重要です。

SOCRadar は、資産をさまざまなカテゴリに分類することで、資産に簡単にアクセスできるようにします。また、各資産の監視中に発生した調査結果を担当者に通知できる承認メカニズムも備えています。

3. 継続的なセキュリティ監視

組織の資産はデジタル世界で常に更新されており、セキュリティ チームはインベントリーが増大するにつれて更新された資産を追跡することに課題を抱えています。また、アセット上では多数のサードパーティ アプリケーションが実行されており、これらのアプリケーションでは簡単に悪用可能なセキュリティ脆弱性が毎日数百件公開されています。したがって、新たに発見された脆弱性や構成ミスがないか、デジタル資産を 24 時間 365 日監視することが不可欠です。

Screen-Shot-2020-08-14-at-02.19.58

SOCRadar は、検出された資産を継続的に監視し、社内の誤解や構成についてセキュリティ チームに通知し、攻撃的な活動の可能性を特定することを目的としています。脆弱性追跡モジュールのおかげで、脆弱性のあるアプリケーションを攻撃対象領域内で検出できます。

4. 資産のなりすましとインシデントの監視

継続的なセキュリティ監視は、組織または認定された第三者によって運用されている既知および未知のデジタル資産をカバーします。ただし、攻撃対象領域はそれよりも広く、サイバー犯罪者によって作成された悪意のある資産や不正な資産が含まれています。

これには、あなたの商標や信用を悪用するフィッシング Web サイト、あなたの所有物を装ったモバイル アプリ、ソーシャル ネットワーク上の偽アカウントなどのデジタル脅威が含まれます。

したがって、組織に対する攻撃ベクターの全体的な可視性を確保するには、悪意のあるエンティティとイベントを継続的に監視することが不可欠です。

SOCRadar は、大量のデータ ポイントを集約して関連付けて実用的なインテリジェンス アラートを生成することにより、フィッシング ドメインの即時識別、インターネット全体のスキャン、および侵害された認証情報の検出テクノロジーを構築します。

5. リスクの検出と特定

組織は、デジタル資産に対して発生する可能性のあるリスクを特定し、関連する措置を講じるために、外部の攻撃対象領域の管理を必要としています。

SOCRadar は外部攻撃対象領域の管理にどのように役立つか?


ASM は、顧客が自動化された方法で未知の外部デジタル資産の重大度に関する追加の可視性とコンテキストを取得できるように支援します。 SOCRadar の高度なインターネット全体の監視アルゴリズムを通じて、 ASMはセキュリティ チームに使用中のインターネットに面したすべての技術資産と、IP、DNS、ドメイン、および暗号化インフラストラクチャに起因する資産を直接可視化する機能を提供します。

SOCRadar は、メインドメインアドレス情報のみを使用して企業のデジタルフットプリントを検出し、分類して資産インベントリを自動的に抽出できます。

Screen-Shot-2020-08-11-at-00.19.37

組織の資産を定期的に監視し、それに関連する変更を検出します。攻撃対象領域を構成する資産を監視することで、攻撃者を追跡し、攻撃の可能性を防ぐことができます。また、社内で発生したセキュリティ構成の欠落、重要なオープンポート、期限切れの SSL 証明書/ドメインなどに関する情報をセキュリティ チームに提供できます。

SOCRadar は、外部ネットワークおよびそのアプリケーションに表示される企業の資産に関する脆弱性が公開されると、企業に通知します。

SOCRadar は、次のモジュールをサービスとして提供します。

  • デジタル フットプリントの発見
  • ドメイン/IP監視
  • SSL証明書の監視
  • DNS監視
  • 脆弱性の検出
  • クリティカルポートの検出
  • JavaScriptの監視
  • 重要なデータ漏洩の検出

攻撃者が何を見ているかを覗いてみましょう。そしてサイバー犯罪者の攻撃の機会を制限するために、攻撃領域の管理に集中しましょう。SOCRadarについてはこちらよりお問い合わせください。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です