ゼロトラストセグメンテーションによるサプライチェーン攻撃の阻止
バイデン政権のセクション4 行政命令サプライチェーンに焦点を当てた国のサイバーセキュリティの改善についてです。私は驚かなかった。
サプライチェーンは複雑なため、特に確保が困難です。
対比として自動車製造を考えてみましょう。この業界では、エンジニアが自動車フレーム、エンジン部品、部品、サブコンポーネントなど、それぞれの車両に特化した部品を設計します。各要素には、耐久性と安全性を保証する仕様が定められています。
逆に、セキュリティ購入者の概念実証 (POC) と調達プロセスを考えてみてください。多くの場合、コンプライアンスには、いくつもの製品で対処できるソリューションや望ましい最終状態が必要になります。サプライヤーが構築する仕様が決まっていることはほとんどありません。ファイアウォールベンダーがお客様のために最後に製品をカスタムメイドしたのはいつですか?
もちろん、構成を調整することはできますが、特定の目的に合わせてカスタムビルドされるわけではなく、それ以外の何もありません。その代わり、サプライヤーは市場で最も大きなシェアを獲得するために、可能な限り幅広い適用範囲を持つ製品を作成します。さらに、すべてのベンダーは、変化の速い市場に遅れずについていくために、製品を迅速に構築、リリース、提供しようと競い合っています。
これに加えて(自動車業界と同様に)、ベンダーは利益を上げなければならないというプレッシャーにさらされています。そのためには、 何かあげなきゃ。SolarWindsの場合、利益を追求した結果、セキュリティ面で妥協することになりました。このようなことが二度と起こらないようにするわけにはいきません。
セキュリティ担当者は他の製品を「見る」ために他のソリューションに頼っていますが、残念ながらこれにも課題があります。繰り返しになりますが、SolarWindsのエンドポイント検出ソリューションには 常に SolarWindsソフトウェアをマルウェアとしてフラグ付けしたため、SolarWindsはナレッジベースの記事でソフトウェアの監視機能を無効にすることを推奨しました。
では、私たちは何をすべきでしょうか?
大統領令が出る前に、AttackIQのジョナサン・レイバーと私は Lawfareのブログ これにより、バイデンの大統領令から期待していたことが概説されました。私たちが調査しなかった項目の 1 つがサプライチェーンです。ここでいくつか考えてみたいと思います。
- どのエンドポイント監視ツールにも、誤検出を引き起こさずに第三者を監視するための堅牢なプログラムが必要です。これはエンドポイントベンダーにとっては高額ですが、そのメリットは計り知れません。残念ながら、これらのプログラムにかかる費用と、顧客の価格に対する感受性が相まって、これを実現することは困難です。
- 大統領令は、ソフトウェア開発には透明性が欠けていることを認めていますが、問題は、サプライヤーのサプライチェーンが危険にさらされないようにするために、いかにベールを剥がすかということです。そのためには、一からやり直すのではなく、国際的な同業国のひとつであるフランスを検討することをおすすめします。
- フランス政府は政府機関を設立し、 アンシ(政府のインフラだけでなく)重要なインフラストラクチャを特定し、そのインフラストラクチャを保護するための基準を設定し、そのインフラストラクチャを保護するソフトウェアを提供するベンダーを監査します。
- このアプローチの利点は、ソフトウェアベンダーが規制当局を競合企業と見なさず、ANNSIがソフトウェアを「盗む」こともないということです。その代わり、サプライヤーを監査することでフランスのインフラの安全を確保しています。
- ANNSIに関する最後のメモ。前述のように、ANNSIはその原則を政府のインフラだけでなく、「重要な」インフラにも適用しています。イルミオでは、フランスの製薬、製造、銀行、その他フランス国民にとって「重要」と見なされるインフラに、この機関が関与しているのを見てきました。
- それも役に立ったでしょう コロニアルパイプラインランサムウェア攻撃 (これは明らかに重要なインフラストラクチャでもあります)。
多くの点で、資本主義とアメリカの猛烈な独立は、上記の2つのことを可能にしないかもしれません。多くのアメリカ人は、政府が自分たちの事業運営方法を指示することに賛成しないだろう。では、他に何ができるでしょうか?
答えは簡単で、多くの民間組織が既にそれを実践しています。それがゼロトラストです。
ゼロトラストフレームワークを採用することで、サプライチェーン攻撃が発生した場合でも、そのイベントは確実に区分化されます。
バイデン政権の大統領令はこの主張に同意した。セクション4 (i) には、重要インフラには最低限の特権が必要であり、 ネットワークセグメンテーション -言い換えれば、彼らはゼロトラストの原則を適用しなければなりません。
ゼロトラストフレームワークを適用しても、組織のサプライチェーンを監査する必要がなくなるわけではありません。しかし、サプライチェーンが既知のサプライチェーンのハッキングについて完全に監査されたとしても、ゼロトラストは未知のサプライチェーン攻撃から保護します。
ベンダーがサードパーティ製ソフトウェアをどのように持ち込んでいるかを監査して、マルウェアとして誤ってフラグが付けられていないことを確認したり、ソフトウェアのコーディング方法を調べたり、複雑なパスワードを使用したりすることで、組織はサプライチェーンの保護に役立ちます。とはいえ、今日の悪役 (国家が組織犯罪に後援または後援している) は、解決策を見つけるでしょう。問題は、爆発が起きたときに爆発半径をどう制限するかだ。
その答えは ゼロトラストの適用 —そして先週の大統領令は、政府が方向に向かっていることを示しています!
ホワイトハウスの大統領令の要件をより早く満たしたいとお考えですか?その方法を学びましょう ここに またはご参加ください ワークショップ ここでは、連邦政府機関向けのゼロトラストアーキテクチャを設計する方法を学びます。