金融サービスとサイバー攻撃:拡大する攻撃対象を保護する4つのステップとは?

4 Steps Financial Industry Can Take to Cope With Their Growing Attack Surface

2022/07/26 TheHackerNews — 金融サービス業界は、常にテクノロジー導入の最前線にあるが、2020年のパンデミックにより、モバイルバンキング・アプリ/チャットベースの顧客サービスなどの、デジタルツールの普及が加速した。Adobe の 2022 FIS Trends Report によると、調査対象となった金融サービス/保険会社の半数以上が、2020年上半期のデジタル/モバイルビジター数が著しく増加したという。

同レポートによると、金融機関の経営幹部 10人中 4人が、デジタル/モバイル・チャネルが売上の半分以上を占めていると答えており、この傾向は今後数年間は続くと予想されている。

金融機関のデジタル化が進むにつれ、顧客へのより良いサービス提供の機会が増えている。しかし、新しいツールが登場するたびに攻撃対象が拡大するため、セキュリティ上の脅威にも晒されることになる。潜在的なセキュリティ・ギャップが増えることで、より多くのセキュリティ侵害を引き起こす可能性も高まる。

Cisco CISO Benchmark 調査によると、2020年には、17%の組織が、毎日10万件以上のセキュリティ警告を受けるようになったようだ。パンデミック後もその傾向は続いている。一般的な脆弱性/露出の件数が、2021年は前年の 18,325件を上回り、過去最高の 20,141件となっている。

そのため、サイバーセキュリティ・チームは、攻撃対象領域を正確かつリアルタイムに可視化する方法で、最も悪用されやすい脆弱性を特定し、優先的にパッチを適用することが求められている。

従来のセキュリティ検証アプローチ

従来、金融機関では、いくつかの手法で自社のセキュリティ態勢を評価してきた。

ー 侵入/攻撃シミュレーション

侵入/攻撃シミュレーションは、脅威アクターが使用するかもしれない攻撃経路をシミュレートすることで、脆弱性の特定に役立つ。これにより、動的な制御の検証が可能になるが、エージェントベースであるために、導入が困難となる。また、シミュレーションは事前に定義されたプレイブックに限定されるため、その範囲は決して完全なものではない。

ー 手動侵入テスト

手動侵入テストでは、攻撃者の視点という付加的な情報を提供しながら、例えば銀行の制御が、実際の攻撃にどのように耐えられるかを確認できる。しかし、このプロセスはコストがかかる上、せいぜい年に数回しか実施されない。つまり、リアルタイムの知見を得ることはできないのである。さらに、結果は常に、第三者である侵入テスト担当者のスキルと範囲に左右される。もし人間が侵入テストで悪用可能な脆弱性を見逃した場合、攻撃者に悪用されるまで、未発見のままになってしまう可能性がある。

脆弱性スキャン

脆弱性スキャンは、企業のネットワークに対する自動化されたテストだ。このテストはスケジュール化され、いつでも、何度でも実行することができる。しかし、脆弱性スキャンが提供する情報は限られている。サイバーセキュリティ・チームは、ほとんどのケースにおいて、スキャンによって検出された各問題について CVSS 深刻度評価(なし/低/中/高/重要)のみを受け取る。そして、そのチームは、問題を調査し解決する責任を負うことになる。

また、脆弱性スキャンは、警告の疲労という問題を引き起こす。多くの脅威が存在する中、金融業界のセキュリティ・チームは、最もビジネスに影響を与える可能性のある、悪用可能な脆弱性に焦点を当てる必要がある。

ー 自動セキュリティ検証

自動セキュリティ検証 (ASV : Automated Security Validation) は、斬新かつ正確なアプローチを提供する。脆弱性スキャン/コントロールの検証/実際のエクスプロイト/リスクベースの修正勧告などを組み合わせて、完全な攻撃対象領域の管理を実現する。

ASV は、金融機関のセキュリティ状況をリアルタイムで把握できるよう、継続的な調査を提供する。内部と外部の両方をカバーすることで、金融機関のリスク環境全体を可能な限り把握することが可能になる。また、現実の攻撃者の行動をモデル化しているため、シナリオベースのシミュレーションよりも、はるかに高度な結果が得られる。

金融業界における ASV の活用方法

銀行/信用組合/保険会社などが、顧客のデータを保護するために、高いレベルのセキュリティを必要としていることは言うまでもない。また、FINRA/PCI-DSSなど、特定のコンプライアンス基準も満たす必要がある。

では、どのようにそれを実現しているのだろうか。多くの企業は、自動化されたセキュリティ検証ツールに投資して、その時々の真のセキュリティ・リスクを示し、その洞察をもとに改善のためのロードマップを作成している。ここでは、Sander Capital Management のような、金融機関が実践しているロードマップを紹介する。

Step 1 — 攻撃対象領域の把握

Pentera を使ってウェブ上の攻撃対象領域をマッピングし、ドメイン/IP/ネットワーク/サービス/Web サイトを把握する。

Step 2 — 攻撃対象領域への挑戦

マッピングされた資産を最新の攻撃手法で安全に利用することで、内部と外部の両方で完全な攻撃ベクトルを発見する。これにより、何が真に悪用可能で、どのような対策を講じる価値があるのかを理解するために必要な知識が得られる。

Step 3 — 影響度による修復作業の優先順位付け

攻撃経路のエミュレーションを活用することで、各セキュリティ・ギャップがビジネスに与える影響を正確に把握し、検証された各攻撃経路の根本原因を重要視できる。これにより、組織を保護するためのロードマップの作成がより容易になる。

Step 4 — 改善のロードマップの実行

これらの金融機関は、費用対効果の高い改善策リストに従い、セキュリティ・チームがギャップを解決できるようにし、その取り組みが IT 全体の体制に与える影響を測定している。

Pentera という Automated Security Validation ソリューションのマーケティング記事ですが、サイバーセキュリティ・チームに課せられる、攻撃対象領域を正確かつリアルタイムに可視化する方法で、最も悪用されやすい脆弱性を特定し、優先的にパッチを適用するという使命が、しっかりと整理されています。しかし、言うは易しであり、そこから先にはイバラの道が待っています。お隣のキュレーション・チームに聞いてみたところ、年間で 20,000件強の脆弱性情報を 12,000件ほどに絞り込んでいるとのことでした。つまり、どこまでが有益な情報であり、どこからがノイズになるのかを、毎日の作業におけるモノサシにしていると言っていました。これは、脆弱性スキャンと組み合わせて用いる情報ですが、その他のアプローチにおいても、さまざまな試みが繰り返されているはずです。それらを組み合わせて、脅威アクターたちを迎え撃つほかに、方法はありませんね。

%d bloggers like this: