CTEM への注目：新たなカテゴリがセキュリティを支援する – Gartner

CTEM in the Spotlight: How Gartner’s New Categories Help to Manage Exposures

2024/08/27 TheHackerNews — 2024年の SecOps において、最新かつ最高のものを知りたいだろうか？ 先日に Gartner が発表した Hype Cycle for Security Operations 2024 レポートには、Continuous Threat Exposure Management (CTEM) のドメインを整理して成熟させるための、重要なステップが踏まれている。今年のレポートには、このドメイン内の３つのカテゴリ Threat Exposure Management (TEM)／Exposure Assessment Platforms (EAP)／Adversarial Exposure Validation (AEV) が取り込まれている。

これらのカテゴリ定義は、進化する露出管理テクノロジのランドスケープに対して、何らかの構造を提供することを目的としている。新しく定義された AEV カテゴリのサンプル・ベンダーとしてリストされている Pentera は、セキュリティ検証に重点を置いて、CTEM の採用を増やす上で重要な役割を果たしている。以下は、CTEM 関連の製品カテゴリと、エンタープライズ・セキュリティ・リーダーにとって、何を意味するかについての当社の見解である。

業界は成熟し始めている

2022年の時点で Gartner が考案した CTEM は、組織の攻撃対象領域における暴露に対して、継続的に評価／優先順位付／検証／修復を実施するための構造的アプローチを提示し、最も重要なリスクへの対応を可能にするためのものだ。CTEM が提示するフレームワークは、拡大し続ける攻撃対象領域を容易に管理するのに役立つ。

最近におけるテゴリの再編成により、ユーザー企業が CTEM 実装に対応する際の、最適なセキュリティ・ベンダーを特定も容易になるだろう。

Threat Exposure Management とは、CTEM プログラムのガバナンスの下で、脅威エクスポージャーを管理するために使用される、テクノロジとプロセスの全体的なセットを表す。そこには、以下で説明する２つの新しい CTEM 関連カテゴリが含まれる。

Vulnerability Assessment (脆弱性評価) と Vulnerability Prioritization Technology (脆弱性優先順位付けテクノロジ) の機能は、新たなカテゴリである Exposure Assessment Platforms (EAP) に統合された。この EAP は、脆弱性管理を合理化し、運用効率を高めることを目的としている、Gartner が、このカテゴリに対して、高いメリット評価を与えたことに疑いの余地はない。

その一方で、Adversarial Exposure Validation (AEV) は、Breach and Attack Simulation (BAS) と Automated Pentesting and Red Teaming を統合し、継続的に自動化された露出の証拠を提供することに重点を置く、新たな機能を作成する。AEV は、敵対的な観点からサイバー・レジリエンスを検証し、組織の IT 防御に現実世界の攻撃手法で挑戦する機能を提供するものであり、大きな市場成長が見込まれている。

EAP が提供するものは何だろうか？

EAP (Exposure Assessment Platforms) には、いくつかの要素がある。まず、脆弱性の優先順位付けにおいて、CVSS スコアへの依存度が低くなる。CVSS は有用ではあるが、あくまで指標に過ぎない。CVSS スコアは、特定の環境と脅威の状況のコンテキストにおいて、その脆弱性が悪用される可能性を示さない。EAP セットアップ内で提供されるデータは、脅威インテリジェンスと資産の重要度情報により、さらにコンテキスト化されている。大量のデータ・ポイントではなく、アクションをサポートする方法で洞察を提供する。

この追加されたコンテキストにより、ビジネス・リスクをもたらすという観点から、脆弱性にフラグを付けが可能なる。誰も使用せず、どこにも接続されていない、コンフィグが不十分なデバイスにパッチを適用する必要があるだろうか？ EAP が有用になるのは、単に悪用の観点を示すのではなく、ビジネスにおいて重要な資産につながる脆弱性に対処するという方向付けが、データ／オペレーションの継続性のいずれかにより推進されるからだ。

AEV の価値とは？

EAP は、スキャンとデータ・ソースを活用してエクスポージャー・コンテキストを提供するが、エクスポージャー可能な攻撃パスの実際の証拠がない、理論的なデータ分析に範囲は限定される。そこで、AEV (Adversarial Exposure Validation) が登場する。AEV は、敵対者の視点からエクスポージャーを確認する。AEV では、敵対的な攻撃を実行して、特定の環境で実際に悪用可能なセキュリティ ギャップと、それらが悪用された場合に攻撃者が到達する場所まで確認する。

つまり、プレイブックからプレイグラウンドへと、脅威を持ち込むものが AEV である。

AEV には、他にも利点がある。レッドチームの活動を、はるかに簡単に開始できるようにする。レッドチームにとって必要なことは、開発や入手が難しい独自のツールと才能である。自動化された AEV 製品を使用して、レッドチームにおける多数のタスクを実行することで、十分なベースラインが得られ、参入のハードルが下がる。

AEV は、大規模な攻撃対象領域の管理も容易にするのにも役立ちます。自動化されたテストを、複数の場所で定期的に実行できるようになる。そのため、セキュリティ・スタッフの負荷が軽減され、意欲的なレッドチーム・メンバーは、優先度の高い領域に集中できるようになる。

困難の始まり

ただし、すべてがバラ色というわけではない。Threat Exposure Management イニシアチブから、最大限の可能性を引き出す企業には、いくつかの取り除くべき棘がある。

EAP に関しては、コンプライアンスや CVSS スコアを超えて考えることが重要となる。まず、評価をチェック・ボックスのアクティビティと見なす考え方を、変える必要がある。この限定されたコンテキストでは、それぞれの脆弱性は独立した脅威としてリスト化され、脆弱性があることを知ることで止まってしまいがちである。それらの脆弱性を、その悪用可能性と潜在的な影響に応じて、優先順位を付けるという道筋を見失ってしまう。

AEV 側では、すべての基盤をカバーする、適切なテクノロジー・ソリューションを見つけることが課題の１つとなる。多くのベンダーが攻撃シミュレーションや自動侵入テストを提供しているが、それらは別個の機能と見なされるのが通常である。セキュリティ・ コントロールの真の有効性と、セキュリティ欠陥の真の悪用可能性の、両方を検証したいセキュリティ・チームにおいては、複数の製品が個別に実装される場合がある。

積極的に行動しよう

２年前に導入されて以来、CTEM フレームワークは進化を続けており、リスク・エクスポージャーの削減というプロアクティブな考え方が、ますます重要視されてきた。ハイプ・サイクルで提示される新しい分類は、この分野の製品の成熟度が高まっていることを反映しており、CTEM の運用化をサポートしている。

AEV カテゴリに関しては、ほとんどのツールにおいて一般的な機能として取り込まれていないため、BAS と侵入テスト機能をシームレスに統合するソリューションの使用が推奨される。攻撃者の手法を正確に再現し、運用上の要求を緩和するエージェントレス・テクノロジーを探してほしい。この独自の組み合わせにより、セキュリティ・チームはセキュリティ体制を、現実世界との関連性を維持しながら継続的に検証できる。

企業が最新の脅威に対して継続的に検証された、堅牢で動的なセキュリティ体制を維持する CTEM 戦略の重要な要素として、Pentera が使用されている状況を参照してほしい。

Continuous Threat Exposure Management (CTEM) の詳細については、Pentera が主催する XPOSURE Summit 2024 に参加して、Gartner® 2024 Hype Cycle for Security Operations レポートを入手してほしい。

この記事に書かれていることは、お隣のキュレーション・チームにとって、とても重要なことなので、訳し終えた段階で、すぐに教えてあげました。文中の「脆弱性の優先順位付けにおいて、CVSS スコアへの依存度が低くなる。CVSS は有用ではあるが、あくまで指標に過ぎない」という部分には納得しているようです。このブログを始めて３年以上が経っていますが、そこに書かれていることを、全部ひっくるめて評価すると、「CVSS 値だけを見ても意味がない」という結論に至ります。いろいろと、考えるべきことが、たくさんあります。よろしければ、Gartner で検索も、ご利用ください。