Defense-in-Depth 戦略の自動化に関する考察 – Picus Security

Perfecting the Defense-in-Depth Strategy with Automation

2024/01/26 TheHackerNews — 中世の城郭は、その綿密な設計のおかげで、何世紀にもわたって難攻不落の要塞として機能してきた。デジタルの時代になっても、この中世の知恵はサイバー・セキュリティに継承されている。攻撃に耐えるために、戦略的なレイアウトが施された城のように、Defense-in-Depth 戦略は、戦略的な冗長性と受動的／能動的なセキュリティ制御を組み合わせた、現代における多層的なアプローチである。

しかし、進化するサイバー脅威の状況は、最も強固な防衛策でさえも、攻略する可能性を持っている。つまり、Defense-in-Depth 戦略が広く採用されていても、サイバー脅威は絶えることがない。幸いなことに、各レイヤーの全てのセキュリティ制御を評価／改善する、自動化ツールである Breach and Attack Simulation (BAS) を使用することで、Defense-in-Depth 戦略を強化できる。

Defense-in-Depth： レイヤーによる誤ったセキュリティ感覚

多層防御としても知られる Defense-in-Depth 戦略は、2000年代初頭からユーザー組織で広く採用されている。それは、貴重な資産を侵害する敵対者に対して、複数の防御層を突破を強いるという前提に基づいている。単一のセキュリティ・コントロールでは、多種多様なサイバー脅威に対する完全な防御を提供できないため、世界中の組織で Defense-in-Depth は標準となっている。しかし、現状と照らし合わせると疑問が生じる。すべての組織が、この戦略を採用しているのであれば、なぜセキュリティ侵害が、これほどまでに後を絶たないのだろうか？

結局のところ、第一の理由として挙げられるのは、階層化されたソリューションが、常に意図したとおりに機能するという、思い込みによる誤った安心感である。つまり、組織は多層防御に全幅の信頼を置くべきではない。常に注意を払うべき対象として、新たな攻撃ベクター／コンフィグの流出／セキュリティ管理の複雑な性質などが挙げられる。進化するサイバー脅威を前提とすると、防御層に対する根拠のない信頼により、セキュリティ侵害が発生すると捉えるべきであろう。

Defense-in-Depth 戦略の完成

Defense-in-Depth 戦略は、サイバー脅威を検出／防止するために、それぞれのレイヤーにおける複数のセキュリティ制御の使用を促進する。多くの組織では、これらのレイヤーを４つの基本階層を中心にモデル化している。それらは、ネットワーク層／ホスト層／アプリケーション層／データ層である。強固なセキュリティ体制を維持するために、１つまたは複数のレイヤに対して、セキュリティ制御を構成することになる。一般的な組織では、ネットワーク・レイヤーでは IPS と NGFW ソリューションが使用される。また、ホスト・レイヤーでは EDR と AV ソリューションが、アプリケーション・レイヤーでは WAF ソリューションが、データ・レイヤーで DLP ソリューションが使用される。そして、複数のレイヤーにわたって SIEM ソリューションも使用される。

この一般的なアプローチは、大半の Defense-in-Depth に当てはまるが、それらのソリューションの導入だけが、キュリティ・チームの仕事というわけではない。Picus の “Blue Report 2023” によると、実際のところ、サイバー攻撃の 41％ がネットワーク・セキュリティ制御をバイパスしているという。今日の効果的なセキュリティ戦略においては、脅威の状況をしっかりと理解し、実際のサイバー脅威に対して、セキュリティ制御を定期的にテストすることが必要となっている。

オートメーションの力を活用： BAS 導入による徹底的な防御戦略

膨大な数のサイバー脅威が存在するため、それぞれの組織が、自身に対する脅威の状況を把握することは困難である。セキュリティ・チームは、毎日何百もの脅威インテリジェンス・レポートに目を通し、それぞれの脅威の攻撃対象に入るかどうかを判断する必要がある。その上、これらの脅威に対するセキュリティ制御をテストして、Defense-in-Depth のパフォーマンスを評価する必要がある。仮に、組織が各インテリジェンス・レポートを手作業で分析し、従来の評価 (侵入テスト／レッドチーム) を実施できたとしても、時間とリソースがかかり過ぎる。要するに、今日のサイバー脅威の状況は、自動化なしには把握できないということである。

セキュリティ制御のテストと自動化においては、Breach and Attack Simulation (BAS) が際立つ存在である。2017年に Gartner の Hype Cycle for Threat-Facing Technologies に登場して以来、多くの組織のセキュリティ運用において、BAS 貴重なパートを担っている。成熟した BAS ソリューションは、セキュリティ対策を評価するための自動化された、脅威インテリジェンスと脅威シミュレーションを、セキュリティ・チームに提供するものだ。

BASソリューションと Defense-in-Depth 戦略が統合されている場合には、脅威アクターによる侵害が始まる前に、潜在的なセキュリティ・ギャップをプロアクティブに特定／緩和できる。BAS は、ネットワーク／ホスト／アプリケーション／データの各レイヤーにまたがる、複数のセキュリティ・コントロールと連携するため、企業はセキュリティ体制を総合的に評価できるようになる。

LLM を活用したサイバー脅威インテリジェンス

Defense-in-Depth 戦略に自動化を導入する場合の、最初のステップは CTI (cyber threat intelligence) プロセスの自動化である。ChatGPT／Bard／LLaMA などのディープ・ラーニング・モデルを使用することで、何百もの脅威インテリジェンス・レポートの運用を自動化できる。最新の BAS ツールは、独自の LLM を利用した CTI の提供や、外部の CTI プロバイダーとの統合により、組織内の脅威の状況を追跡／分析できる。

ネットワーク・レイヤでの攻撃シミュレーション

基本的な防御ラインであるネットワーク層は、侵入を試みる敵対者により、しばしばテストされる。この層のセキュリティは、悪意のトラフィックを識別してブロックする能力により評価される。BAS ソリューションは、”実際” に観測された悪意の侵入の試みをシミュレートし、現実のサイバー攻撃に対するネットワーク層のセキュリティ体制を検証する。

ホスト層のセキュリティ態勢を評価する

サーバ／ワークステーション／デスクトップ／ラップトップなどで構成されるエンドポイント・デバイスは、ホスト層のデバイスの大部分を占めている。これらのデバイスは、脆弱性の悪用／マルウェアの侵入／横移動攻撃などの標的にされ易い。BAS ツールにより、各デバイスのセキュリティ体制が評価され、ホスト層のセキュリティ対策の有効性をテストできる。

アプリケーション層 における暴露評価

Web サイトや Eメール・サービスなどのパブリックに面したアプリケーションは、組織のインフラの中で最も重要でありながら、最も露出度の高いパートでもある。WAF バイパスによるサイバー攻撃や、従業員を欺くフィッシング・メールなどの例は枚挙にいとまがない。高度な BAS プラットフォームは、敵対者の行動を模倣して、アプリケーション・セキュリティ制御が、意図したとおりに機能していることを確認できる。

ランサムウェアと流出からデータを守る

ランサムウェアやデータ流出に関する攻撃の増加が、組織にける専有データや顧客データの保護が必要なことを強く訴えている。データ・レイヤーにおける DLP やアクセス制御などのセキュリティ制御により、機密情報の保護が強化される。BAS ソリューションは、これらの保護メカニズムを厳密にテストするための、敵対的な技術を複製できる。

BAS による Defense-in-Depth 戦略の継続的検証

脅威の状況が進化するにつれて、組織のセキュリティ戦略も進化していくことが必要となる。BAS が提供するのは、Defense-in-Depth アプローチの各レイヤーを、組織が評価するための継続的かつプロアクティブなアプローチである。現実のサイバー脅威に対する耐性が実証されているため、あらゆるサイバー攻撃に耐えるセキュリティ制御を、セキュリティ・チームは信頼できるようになる。

2013年に Picus Security は、Breach and Attack Simulation (BAS) 技術を開発して以来、組織におけるサイバー耐障害性の向上を支援してきた。Picus Security Validation Platform を利用すれば、最も巧妙なサイバー攻撃に対しても、既存のセキュリティ対策を強化することで対応できる。”picussecurity.com” でデモが提供されている。また、ホワイトペーパー “How Breach and Attack Simulation Fits Into a Multi-layered Defense Strategy” なども参照してほしい。

進化するサイバー脅威に対する理解を深めるために、MITRE ATT&CK の Top-10 テクニックを探求し、防御戦略を徹底的に磨き上げてほしい。そして、Picus Red Report をダウンロードしてほしい。

注：この記事は、Picus Security の Security Research Lead である Huseyin Can により書かれている。

Defense-in-Depth ですが、Wikipedia によると、そもそもは軍事用語であり、縦深防御と訳すようです。もちろん、この記事で解説されているように、非軍事部門である IT でも利用され、その際には多層防御と訳されるようです。ちらちらと見かける用語ざしたが、このように整理してくれる記事があると助かります。なお、この記事にデータを提供している、Picus の “Blue Report 2023” は、なかなか良くできたレポートです。よろしければ、ダウンロードしてみてください。