脅威検出にゼロトラストセグメンテーションが必要な理由
この記事は最初に公開されましたchannelfutures.com。
過去10年間で、サイバーセキュリティは限りなく複雑になりました。その結果、多くの組織が自社の保護を支援するためにマネージド・セキュリティ・サービス・プロバイダー (MSSP) に頼るようになりました。これまでは、ほぼすべて脅威の検出と対応に焦点が当てられていましたが、その決定は意図しない否定的な結果をもたらしました。
商業、非営利団体、公共部門など、ほとんどの組織にとって、サイバーセキュリティはコアコンピテンシーではありません。それが理由です。多くはその一部または全部をMSSPにアウトソーシングしています。そして、そのアウトソーシングにはセキュリティ業務だけでなく、購買や戦略計画を含むサイバーセキュリティ部門全体が含まれることが多いです。
MSSPのクライアントが、広範囲に及ぶランサムウェア攻撃など、注目を集めるセキュリティ侵害を受けた場合、その後の会話は楽しいものではありません。企業がセキュリティ機能をMSSPに外部委託する理由は、このような結果と、それに伴う宣伝、コスト、ブランドへの損害を回避するためです。
AI: 万能薬、それとも支援が必要なツール?
多くのベンダーは、その願いの答えはAIベースの脅威検出であると組織に確信させています。彼らは、AI に十分な金額を費やせば、こうした極めて卑劣な攻撃者を捕まえられると信じるようになっています。彼らは AI ベースの検出のうさぎ穴に落ちてしまいましたが、期待していた結果は実現していません。それらはまだ起こっていません。
AIベースの脅威検出が業界にとって大きな前進であることには同意しますが、仕事を成し遂げるにはある程度の支援が必要です。と入力してくださいゼロトラストセグメンテーション。
脅威ハンティングを行う前にネットワークを事前にセグメント化しておけば、AI支援の有無にかかわらず、検出タスクがはるかに簡単かつ迅速になります。脅威を探す必要があるアタックサーフェスの規模を縮小できます。プリエンプティブ・セグメンテーションにより、攻撃者が内部ネットワークを横方向に移動できてしまうような経路の多くが排除されます。
私が使うメタファーは、1つの大きくて複雑な干し草の山から針を探すのではなく、たくさんのマイクロ干し草の山を作るということです。そうすれば、ツールがこれらのマイクロ干し草の山の中を並行して調べることができるので、その針をずっと早く見つけることができるでしょう。
船がセグメンテーションについて教えてくれること
数年前、米海軍の士官候補生として初めて現役で任務に就いたとき、私はUSSマックロイに乗り込みました。マックロイの主な任務は、米国の海岸線沖で敵の潜水艦を捜索、探知、抑止することでした。私は電気工学専攻として大学1年目を終えたばかりで、アメリカ海軍の将校になるための訓練を受けていました。海軍の高度な敵潜水艦探知技術について学び、マックロイの精鋭脅威検知チームのメンバーに会うのが待ちきれませんでした。
それで、初日にレンチとドライバーを手渡され、仲間の乗組員とペアになって、マックロイの30個ほどのスチール製の「ハッチ」(別名ドア)がすべて船の形であることを確認する任務を割り当てられたときの驚きを想像してみてください。もしそうでなかったら、何か修理をする。船員が悪意のある敵を追い詰めるのを手伝ってくれて本当にありがとう!
伝道を進めていく中で,「ハッチを叩き落とせ」という言葉を思い浮かべました。19年にその言葉が使われました。第四に 大嵐やその他の浸水リスクが発生したとき、船長が乗組員に船のすべてのドアを閉め、それらのドアを木製の棒または「バテン」でバリケードするように命じた世紀。今日、このフレーズは、大きなリスクが発生したときに即時かつ断固たる行動を取ることの知恵のメタファーとなっています。
マックロイのハッチが彼らを守ってくれなければ、マックロイのエリートテクノロジーと脅威ハンティングの専門家は全員任務に失敗する危険性があると理解するようになりました。McCloyに組み込まれたセグメンテーションアーキテクチャと適切に機能するハッチのおかげで、船体の破損が廊下から廊下へ、また部屋から部屋へと水が横に広がり、船が沈むことはありませんでした。
ハッチをバテンダウンするのと同等のサイバー攻撃
1990年の映画「ハント・フォー・レッド・オクトーバー」では、レッド・オクトーバーは最先端の探知回避技術を搭載したロシアの潜水艦でした。今日のサイバー版では、とらえどころのない潜水艦を探しているのではなく、探しているのは潜水艦です。電子ネットワークにおけるますますステルスで巧妙化するサイバー攻撃者。
サイバー脅威ハンターは、侵入が横方向に移動するのを防ぐために、電子「ハッチ」を使ってネットワークをセグメント化する必要があります。ネットワークに侵入があった場合、マルウェアやランサムウェアの拡散は避けたいものです。そのため、ネットワークを障壁として機能する個別の区画に分割する必要があります。
セグメンテーションは、マネージド・ディテクション・アンド・レスポンス(MDR)に加えて、次のようなセキュリティ・ツールです。MSSP はサービスとして提供できる、サービスとしてのゼロトラストセグメンテーション。
次回のブログでは、セグメンテーション(より具体的にはホストベースのセグメンテーション)が堅牢なマネージド検出と対応を完全に補完する理由について詳しく説明します。これは MSSP クライアントだけでなく、MSSP にとっても良いことです。