CISA, NSA Publish Guidance on IAM Challenges for Developers, Vendors
2023/10/05 SecurityWeek — 米国の CISA と NSA が発表した、IAM (Identity and Access Management) の実装に関する新しいガイダンスは、開発者とベンダーが直面する課題に焦点を当てるものだ。この、IAM 管理者向けのガイダンスから半年後にリリースされた、この新しい出版物は、主に大規模組織を対象としているが、小規模企業にも利用できる。Identity and Access Management: Developer and Vendor Challenges (PDF) という名前で、IAM に対する脅威の影響を組織的に軽減するための、ベスト・プラクティスに焦点を当てるものとなっている。
この文書で詳述されているのは、永続性を持つ新規アカウントの作成/従業員アカウントの乗っ取り/脆弱性を悪用した強制認証/代替エントリー・ポイントの作成、パスワードの漏洩/デフォルト認証情報の悪用/認証情報を窃取するためのシステム・アクセスなどの、脅威アクターたちが一般的に使用するテクニックである。
この文書で指摘されているように、イランの脅威アクターは、IAM の脆弱性を悪用して認証情報を漏洩させ、特権を昇格させ、永続性を確立していることが確認されている。また、そこで不正に得られたアクセスは、データの流出や暗号化などに悪用される可能性がある。
CISA と NSA は、「既知の IAM の脆弱性を悪用すると、脅威アクターたちが合法的な活動を模倣することで、正当なユーザーと同じリソースにアクセスできるようになる可能性がある。それにより、彼らは特権昇格させて、永続的なアクセスを得るための時間を確保できるようになる」と説明している。
また、この2つの機関が指摘しているものには、脅威アクターたちが SSO (Single Sign-On) 機能を悪用して、被害者の組織全体で保護されているリソースにアクセスするケースの増加がある。
このガイダンスには、「このような広範な攻撃を防御するには、環境の運用を認識して異常を検出し、異常なアクティビティと敵対者よるエクスプロイトを結びつける、包括的な IAM ソリューションが必要だ。IAM に対する脅威を軽減するために、組織にとって不可欠なのは、IDガバナンス/環境のハードニング/ID フェデレーションと SSO/多要素認証 (MFA)/IAM の監視と監査に重点を置くことである」と記されている。
これらの緩和策により保護されるものには、ユーザーのアカウント権限および、リソース・アクセスの適切な管理、IAM ソリューション周辺のソフトウェアとハードウェアが含まれる。さらに、ID 管理の簡素化が実現され、パスワードのみに依存しないアカウントのセキュリティが向上し、外部と内部の脅威に対抗できるようになる。
IAM にセキュリティのベスト・プラクティスを導入することで、組織的に防御できるものには、フィッシングやソーシャル・エンジニアリングに加えて、永続性を目的とした新規アカウントの作成、機密データやリソースへの不正アクセス、クレデンシャル・スタッフィング、制限付きリソースへの従業員による不要なアクセスなどがある。
CISA と NSA は、すべての組織に対して推奨しているのは、IAM の姿勢とリスクの評価/環境の強化による、攻撃時の影響の抑制である。そのために、この新しいガイダンスを確認し、該当する場合には緩和策を実施すべきである。
CISA と NSA は、「米国の重要インフラは、広範な脅威アクターたちの主要な標的であり、それらの脅威には、国家やテロ組織からの高度で継続的な攻撃も含まれる。これらの脅威は現実に存在し、現在も進行中であり、進化を継続している。したがって、サイバーセキュリティ・コミュニティは、IAM と SSO に迫ってくる脅威に対して、大きな懸念を抱いている」と指摘している。
10月に入ってから、CISA から沢山の発表があります。2023/10/02 の「CISA の Secure Our World キャンペーン:誰もができる4つのステップを解って欲しい」にあるように、10月は Cybersecurity Awareness Month なんだそうです。この記事では IAM について、先ほどの記事では MisConfig について、CISA のスタンスが示されていますね。今月の CISA が楽しみです。
IoT OT Security News 
You must be logged in to post a comment.