Millions of Pen Tests Show Companies’ Security Postures Are Getting Worse
2023/03/29 DarkReading — 平均的な企業のリスク・スコアは、この1年で悪化している。その背景にあるのは、企業におけるデータ流出への対応が不足し、Web アプリケーションの適切な保護が向上しないという現実である。企業におけるデータ流出のリスク・スコアは、2021年の 30ポイントから、2022年の 44ポイントに上昇し、データ漏洩に関する全体的なリスクが高まったことを示している。この調査結果は Cymulate によるものであり、プロダクション環境における 170万時間に及ぶ攻撃的サイバー・セキュリティ・テストを含む、100万回のペンテスト・データを集計したものである。
2023年3月28日に発表された、Cymulate の 2022 State of Cybersecurity Effectiveness レポートでは、リスクの増加につながる各種の持続的な問題があることが指摘されている。 たとえば、多くの企業がネットワークおよびグループ ポリシーの採用と厳格化を改善している一方で、攻撃者側は、そのような保護の回避に適応していると、このレポートは述べている。
そして、基本的な対策も遅れ続けている。顧客の環境で確認された Top-10 の CVE のうち4件が、2年以上も前のものであることが判明した。その中には、悪意の実行ファイルにセキュリティ・チェックを通過させる可能性のある、きわめて深刻な WinVerifyTrust 署名検証の脆弱性 CVE-2013-2900 や、Microsoft Office のメモリ破損の脆弱性 CVE-2018-0798 などもあったという。
しかし、良いニュースもある。セキュリティ評価のデータによると、主要プラットフォームにおけるマルウェア検出のリスク・スコアが全て改善され、数多くの攻撃が Web ゲートウェイによりブロックされていることが判明した。
Cymulate の Director of Technical Messaging である Mike DeNapoli は、「全体として、企業はサイバー・セキュリティを他のビジネス・プロセスと同様に扱い、コントロールの定期的なチェックを行う必要がある。サイバー・セキュリティは、チェックとバランス、そして定期的なレビューを行うべきプロセスである。CFO は、帳簿を閉じたままにすることを許さないだろう。しかし、すべての現金をデータとして収容するシステムは、年に一度のペンテストの際にしかチェックされないのが現実だ」と述べている。
こうした背景をもとに、攻撃対象領域全体の安全確保/サイバー攻撃に対する回復力の向上/情報システムの混乱防止などに、ユーザー企業は注力している。その結果として、複雑さを軽減するサイバー・セキュリティのサービスや製品の人気が高まっている。2022年6月に IBM が、ASMの 新興企業 Randori を買収し、年8月には Microsoft が、Defender External Attack Surface Management を発表するなど、この分野には大手テクノロジー企業も参入してきた。これらのトレンドがリスクに対する針を動かすかどうかは、時間が解決してくれるだろう。
その一方で、Cymulate が実施した、この1年間における攻撃的サイバー・セキュリティ・テストの分析では、クラウドと電子メールがハッカーたちに対して、豊かなサンドボックスを提供し続けていることも判明した。
一般的なクラウドからの攻撃が増えている
脅威アクターたちは、電子メールの添付ファイル・フィルターなどのセキュリティ技術を回避するために、その攻撃の手法を、Dropbox や Box などのファイル共有サービスの利用から、Amazon や Azure などのクラウド・インフラの利用へと切り替えている。
つまり、大規模なクラウド・サービスや Web サイトのバックボーンとして機能する、信頼できるサービス・プロバイダーからのデータをブロックすることが、ユーザー企業にとって難しくなっていると、DeNapoli は言う。
彼は、「これらの指標が示すのは、組織が管理すべきデータを削除する、無数の試みを示唆するものである。この値の増加が意味するのは、ビジネス機密や個人情報などの管理されるべきデータが、不正な方法で削除されるのを防ぐための、組織のコントロールが低下していることである」と述べている。
Cymulate の調査において、模擬的な攻撃において最も成功した戦術には、drive-by compromise のシナリオを用いた、Web ブラウザを介したユーザーへの攻撃、また、データのアーカイブ化と流出、AWS/Azure などのクラウド・アカウントへのデータ転送などがあった。
電子メール防御はチームスポーツである
Cymulate のペンテストで発見された Top-10 暴露の約半分は、基本的な IT インフラ・セキュリティの欠如に関係していた。このシミュレーションでは、フィッシング・ドメインを認識していないことや、DNSSEC のミスコンフィグレーションが目立った。また、メールベースの攻撃を阻止に有効な、2つの技術である DMARC と SPF の欠落も判明した。
DMARC:Domain-based Message Authentication, Reporting, and Conformance
SPF:Sender Policy Framework
ユーザー企業においては、DMARC と SPF に加えて、フィッシングやブランド詐欺の防止に有効な、DKIM (Domain Keys Identified Mail) などの電子メール・セキュリティの導入で遅れをとっている。DMARC/DKIM/SPF を導入している企業は、電子メールベースの攻撃から保護されるが、これらの技術は、メールを交換する両側で、それらを使用している場合にのみ、本当に有効であると DeNapoli は述べている。
彼は、「電子メールの防御は、チームスポーツであることを認識し、自身と他者の安全を考え、それぞれの役割を果たす必要がある。そのメリットは、より多くの組織が、これらのプロセスを実装することで、自身の組織もより安全になることだ」と指摘している。
また、このレポートでは、業界ごとの強みと弱みが示されている。たとえば、教育機関や接客業は、データ流出のリスクが最も高かった。また、差し迫った脅威に対する保護については、テクノロジー分野が最も低くかった。技術系と政府系の組織は、いずれも Web アプリケーション・ファイアウォールでの保護が平均より劣っていた。
この記事のベースになっている、Cymulate Research の 2022 State of Cybersecurity Effectiveness Report には、2022年に悪用が検出された脆弱性の Top-10 などを含む、さまざまな統計値が掲載されています。また、Web Gateway/Email Gateway/WAF/Endpoint Security/Immediate Threats/Data Exfiltrarion が機能した状況をスコア化し、各業種ごとにまとめるなど、とても役に立つ指標が示されています。よろしければ、ぜひ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.