フラットネットワークのリスクを軽減する方法 — 攻撃者の楽園
この記事は最初に公開されましたフォーブス・ドットコム。
フラットネットワークは、一般的に設計が簡単で、安価に構築でき、運用と保守が容易であるため、広く普及しています。しかし、判明したのは悪意のある攻撃者はフラットネットワークも好みます。これは、フラットネットワーク上の 1 台のホストがセキュリティ侵害を受けると、ネットワークの他のホストの整合性が「カードハウス」のようになってしまうからです。企業が侵入すると、フラットネットワークは、招かれざるゲストや歓迎されないゲストに、価値の高い資産のスキャン、特定、ターゲット設定のための自由なネットワークアクセスを提供します。残念なことに、多くの組織はこれらのリスクを軽減できておらず、完全に認識できていません。
フラットネットワークのセキュリティリスク
組織は、主にネットワーク境界防御のセキュリティ保護に重点を置く傾向があります。しかし、境界セキュリティへの投資でできることは限られています。によるとベライゾンのデータ漏えい 2018 レポート、昨年確認された違反は2,216件でした。レポートによると、これらの侵害の 73% は外部の関係者によるものでした。ハッキングとマルウェアは依然として蔓延しています。
これらの統計は、これまで以上に強く、より強い「壁」で境界を保護するために最善を尽くしているにもかかわらず、これらの対策では、粘り強く、ネットワークに侵入するための十分な能力とリソースを備えた悪意のある攻撃者を排除できないことを強調しています。新しい考え方が必要です。そうしなければいけません。」違反を想定、」という前提のもと、ネットワークの防御が危険にさらされるという前提で先頭に立つ必要があります。さらに、ネットワークがフラットな場合、悪意のある攻撃者は、侵害された単一のシステムまたはデバイス、つまりビーチヘッドを、ネットワーク上を横方向に移動して最も貴重な資産にたどり着くための出発点として利用する可能性があります。
フラットネットワークでは、すべてのデバイスとアプリケーションが相互に通信できるようにするのがデフォルトのポリシーであり、セキュリティがどの接続とデータフローが正当であるかを判断するのが難しくなります。たとえば、オフィスで支給されるラップトップは会社のプリントサーバーに接続して「通信」できるため、文書をすばやく簡単に印刷できます。このような接続はフラットです。デスク上の IP 電話が同じフラットネットワーク上にある場合でも、その IP 電話がそれらのプリントサーバと通信するのは理にかなっていますか。セキュリティシステムは、このようなトラフィックや接続が異常で、侵害の兆候である可能性があるかどうかを検出するのに苦労します。
また、フラットネットワークでは、攻撃者がネットワークを静かに通過しようとするときに隠れたままでいるのが簡単になります。ドウェル時間と呼ばれるこの期間は、平均すると次のようになります。101 日間グローバルに。そして、ハッカーがずっと長い間発見されなかった注目度の高い攻撃を見つけるのに、それほど遠くまでさかのぼる必要はありません。数年まで。
脅威は内部からもやってくる可能性があります
また、フラットネットワークは悪意のある (なりそうな内部関係者) の潜在的な遊び場にもなります。内部関係者が最初に試みることは、より多くの認証情報を収集するか、既存の昇格された権限を使用して、自分の役割の範囲外のシステムにアクセスすることです。二要素認証 (2FA) または二要素認証 (MFA) は、ユーザーの手に渡った盗まれた認証情報への確実な対応策です。
ただし、データトラフィックが発生する主な理由は、モバイルデバイスとマシンツーマシン(M2M)デバイスの2つです。上昇中あなたのネットワークと他のすべてのネットワークの内部。より多くのビジネスシステムが相互に通信する必要があり、この種のトラフィックには認証が必要ですが、これは二要素認証や多要素認証だけでは解決できません。この問題はさまざまなコネクテッドデバイスで発生し、顧客データリポジトリや支払いシステムなどの重要な資産を危険にさらしています。
フラットネットワークのリスクを軽減する方法
前述したように、「侵害を想定する」という考え方から始める必要があります。遅かれ早かれ、最善の境界防御さえも破られるでしょう。この考え方により、攻撃者のように考えることができ、CISOは次のような適切な質問をすることができます。
- 攻撃者がネットワークに足を踏み入れた後、攻撃者がナビゲートしようとする価値の高い資産にはどのようなものがあるでしょうか。
- フラットネットワーク内での攻撃者の自由な移動と存続を防ぐには、どのような対策を講じていますか?
答えが「何もない」、あるいは「一握りのファイアウォールとVLANしかない」という回答であれば、CISOはそのリスクを軽減するための対策を講じる必要があることを理解しています。
- 最も重要な資産を特定: 当たり前のように思えるかもしれませんが、高価値資産の分類は、誰に尋ねるかによって異なる場合があります。そのため、主要な利害関係者 (CISO、法務チーム、財務チームなど) を集めて、会社のインフラストラクチャ内の資産やアプリケーションのリスクを把握することが重要です。そのための良い方法は、以下の点を活用することです。NIST サイバーセキュリティフレームワーク(CSF)。
- 最適な保護または制御方法を決定する:クラウンジュエルアプリケーションを保護するには、IDとアクセス管理(IAM)、脆弱性管理、セグメンテーションなど、さまざまなレイヤーがあります。セグメンテーションは、NIST CSF に当てはまる制御の 1 つです。セグメンテーションは、許可されたデバイスからのみアプリケーションにアクセスできるようにし、それらのデバイスは重要なアプリケーションの特定のビジネスプロセスにのみアクセスできるようにするものです。
- 潜在的な解決策の特定: 一連のソリューションを決定するには、まず主要な利害関係者(セキュリティエンジニアリング、ネットワークエンジニアリング、アプリケーションチームなど)を特定して、市場で入手可能なソリューションを検討します。さまざまなベンダーのさまざまなセグメンテーションアプローチを検討し、次の点に留意することを強くお勧めします。セグメンテーションは新興市場です。
ネットネットでは、フラットネットワークの人気が高まっていますが、残念ながら悪意のある攻撃者の欲望も高まっています。これは危険な組み合わせになってしまいます。フラットネットワークのリスクを認識することが第一歩です。「侵害を想定する」という考え方に変えることで、そのリスクを軽減するプロセスが始まります。最後になりましたが、ゼロトラスト戦略(すでに侵害されているがまだ知らないという前提に基づく戦略)を実施することで、フラットネットワークを持つ組織が攻撃者の遊び場にならないようにすることができます。