Mandiant AdvantageプラットフォームにAttack Surface Managementを追加
Mandiant
※この投稿は米国時間 2022 年 2 月 2 日に、Google Cloud blog に投稿されたものの抄訳です。
Mandiantの持つ経験、知見、インテリジェンスを集約したSaaSプラットフォーム Mandiant Advantageに新しいモジュールが追加されました。今すぐ試してみたい?それなら、今すぐアカウントを作成して、Mandiant Advantage Attack Surface Managementで何ができるのかをみてみましょう。
ビジネスのデジタル化が進み、従業員がその価値をフルに活用するようになると、セキュリティチームにはインフラ、アプリケーション、クラウドサービス、SaaSの利用状況を把握するのはもちろん、これらの環境全体でセキュリティポリシーが順守されていることを確認しなければなりません。環境が多岐に渡れば、その分作業は複雑になり、対応に苦慮するようになるのは当然です。攻撃対象が劇的に拡大している中、セキュリティチームが環境全体を把握し、制御し、そして脅威インテリジェンスをタイムリーに活用できるようにするためには、もはや適切に自動化を推進することなしには不可能でしょう。
今回新たに追加したMandiant Advantage Attack Surface Management (ASM) は、インターネットに面した攻撃対象領域における広範なアセットとその外部公開の状況を可視化することで、この課題に取り組むもので、アセットのディスカバリー、脆弱性の適切な管理、脅威のインテリジェンスの活用の各領域の間に存在するギャップを埋めるものです。ASMは、オープン環境、オンプレ環境、クラウド環境それぞれのデータソースからアセットを発見し、それらアセットの外部露出をインテリジェンスと関連付けることができるため、セキュリティチームは実際のセキュリティ運用にインテリジェンスを組み込んで活用し、リスクのある領域について注意を喚起して対策を行うことができるようになります。
Log4j、Accellion、SolarWinds、Exchangeなど、ソフトウェアに対する大規模な攻撃や、大規模なサプライチェーン侵害の事件が頻発している昨今の状況を踏まえると、ASMはもはやセキュリティチームにとって「あったらいいな」ではなく、「なくてはならない」ものになっています。ASMをMandiant Advantageプラットフォームに統合することで、お客様は、リスクのある領域に関するインテリジェンスをアセットの所有者に迅速に伝えることができ、これによって業務のあらゆる側面ですぐに必要な対策を実行することが可能になります。
Attack Surface Managementの価値
Attack Surface ManagementをMandiant Advantage Platformに統合することで、各モジュールが提供する価値をさらに高めることができます。
- アセットを自動的に特定して監視:把握していないものを守ることはできません。ASMは、多数の異なるソースから自動的にアセットを発見して分類します。これにより、対策強化の基盤となる包括的なアセットインベントリが提供されます。
- 使っているソフトウェアやサービスの詳細情報を把握:ASMは単にアセットを見つけるだけでなく、個々のリソースを深く掘り下げ、実行中のソフトウェア、コンフィグレーション、その他の属性を特定。クエリーを実行するだけで、5000以上もの製品カテゴリへの分類を行うことができます。
- 脅威インテリジェンスにより、外部公開のリスクを可視化:アセットの把握は、そのリスクを特定し、深刻度を即座に判断し、適切な対策に結びつけることができて初めて有益となります。ASMは受動的・能動的な手法を統合し、外部公開のリスクを特定し、最新の脅威に対する優先順位付けを行います。
攻撃の経路となり得るアセットについての広範、かつ詳細な可視性は、セキュリティ・ポリシーの策定やその推進・実行に非常に有益です。セキュリティチームは、インターネットに接続されたアセットとそのセキュリティ状況をリアルタイムに把握することでビジネスに対するインサイトを得ることができるようになり、その情報をもってアセットの所有者を特定し、脅威に先んじて必要なタイミングで必要な対策を進めることができます。
実例で見るASMの価値
攻撃の対象となる領域が拡大する中、新たに明らかになる意図しないアセットの公開や脆弱性の問題は、ある予測可能なパターンに従っていると言えます。まず、新たな脆弱性や設定ミスが明らかになります。脆弱性に関する情報が公開される、セキュリティチームは、影響を受けるアセットを特定するために奔走します。多くの場合、まずそのソフトウェアが利用されているシステムを特定するための調査を行い、その後、影響を受ける特定の設定についてさらに掘り下げます。この作業はさまざまな形で行われますが、多くのデータソースを関連付け、多数の組織・関係者との調整が必要となります。
脆弱性の可能性があるアセットが特定されると、セキュリティチームはアセットの所有者に連絡して、影響を受けるかどうかを判断するために必要な構成と詳細情報を得ます。これは時間がかかる地道なプロセスです。一方、攻撃者は、脆弱性と組織の攻撃対象領域を積極的に調査し、まさにその組織に対して実際にどのようにその脆弱性を使用して攻撃を仕掛けることができるかを特定しようとしています。これは、時間との戦いなのです。
直近では、Log4jの脆弱性がまさにこのパターンでしたが、その対応における初期のタイムラインを見ることで、ASMがどのように役割を果たすのかを明確に確認することができます。
2021年12月9日:Log4jの脆弱性のゼロデイがGithubに投稿される
2021年12月10日:Mandiant ASMは、脆弱性をテストするためのアクティブチェックを統合。すべてのASMのお客様に対して、直ちに脆弱性のスキャンを実施。お客様のアタックサーフェスで脆弱性が確認された場合は通知を送信
2021年12月10日:Apache FoundationがCVE-2021-44228を発表し、脆弱性に対応したLog4j 2.15.0をリリース
2021年12月13日:脆弱性の詳細が明らかになるとともにASMチェックを更新、追加のエントリポイントが特定される。お客様の攻撃対象領域で脆弱性が確認された場合は通知を送信
2021年12月13日:Mandiantは、国家の支援を背景とした攻撃者による本脆弱性のエクスプロイテーションを報告。併せてASMに情報を統合
これは初期のタイムラインのほんの一部です。新たな情報が順次明らかになり、そのたびにASMはライブラリを利用するLog4jとその関連技術の発見を強化すべく更新されました。その詳細は、Intrigueのブログで公開されています。
残念ながら、Log4jの脆弱性は決して特異なものではありません。このようにスピーディに展開が進むケースは、ますます一般的になってきています。このような環境では特に、セキュリティチームが組織の環境に関する包括的な知識を持っていることが重要です。Log4jだけでなく、公開されているすべてのソフトウェアとサービスに対してです。Mandiant ASM は、お客様がアセットをインベントリ化し、テクノロジーと外部公開を特定し、新たな脅威が出現したときに迅速に適切な対策を行うことができるよう支援します。
Better Together - Mandiant Advantage SaaSプラットフォーム
2020年10月に発売されたMandiant Advantageは、インシデントレスポンスの最前線で培った経験、知見、インテリジェンスをテクノロジーと組み合わせてスケールアップさせたものです。Mandiantの各種テクノロジー群にアクセスするためのSaaSインターフェースであり、中核となるプラットフォームです。
ASMは、Mandiant Advantageプラットフォームに追加された新たな機能で、これを活用することによってリアルタイムで影響のあるリスクを発見し、防御の優先順位付けを容易にします。Mandiant Advantageの各モジュールがどのように動作し、相互に連携するのか見てみましょう。
- Threat Intelligence:攻撃の最前線からのインテリジェンス。攻撃者が今まさにどのような戦術、技術、手順(TTPs)を活用しているかを知ることで、適切かつ効果的に防御することができます。例えば、攻撃者がXの脆弱性を利用しているとき、Yの戦術が使われているといった分析や、特定のIoC(indicators of compromise)や標的とされている技術スタックを識別することができます。ASMと脅威インテリジェンスを組み合わせることで、企業は自組織にとって最も関連性の高い新たな脅威インテリジェンスをセキュリティ運用に組み入れ、文脈を把握し、適切に優先順位をつけて対策を最適化できるようになります。
- Security Validation:セキュリティの有効性検証。導入されたセキュリティ対策の効果を測定し、セキュリティチームが予算と人員の両方の観点からセキュリティ対策の最適化、合理化、優先順位付けを行えるようにします。インテリジェンスをセキュリティ検証プログラムに統合することで、攻撃者が積極的に利用している最新のTTPに対して、セキュリティコントロールが有効に機能しているかをテストすることができます。また、ASMとセキュリティ検証を組み合わせることで、自組織のセキュリティ対策が外部攻撃対象領域に対する攻撃を効果的にブロックまたは検出しているかどうかを検証することができます。
- Automated Defense:SOC運用の自動化。経験、知見、インテリジェンスを機械学習と組み合わせることで、SOCのイベント/アラートの相関とトリアージの自動化。つまり、Mandiantアナリストがセキュリティプログラムにロボットのように統合されているようなものです。機械学習のエキスパートモデルが、複数ベンダーのコントロールから得られる何十億ものイベントやアラートを分析して真陽性やインシデントを探し、アナリストの作業時間を大幅に短縮します。ASMは、Automated Defenseに追加のコンテキストを提供し、アラートをより適切で実用的なものにします。
- Attack Surface Management:攻撃対象領域の可視化とリスク管理。ASMは、オンプレミス、クラウド、SaaSアプリケーション環境において、何千もの異なるタイプのアセットと外部公開を発見するための継続的でスケーラブルなアプローチを提供します。アセットを発見するだけでなく、使用されているテクノロジーを特定し、脆弱性を確認します(単なる推測ではありません)。ASMをMandiant Advantageファミリーに追加することで、攻撃対象領域に関する情報の優先順位付けと検証を行い、サイバー防御者が効率的かつ効果的にリスクのある外部露出を削減できるようにします。
まずは、無料のアカウントを作成してMandiant Advantage Attack Surface Managementで何ができるのかを確認してください。または、Mandiant Advantage Attack Surface Managementの価値、具体的な機能についてはこちらのページをご確認ください。
-Mandiant, 作成者: Jonathan Cran