Swish: Steph Curry がエンタープライズ セキュリティについて教えてくれること

この記事はもともと Forbes.com.

最高のセキュリティ専門家は、ハッカーのように考えることができる人です。防衛に対する彼らの視点は、簡単に悪用される可能性のある弱点をシステムから探す方法についての基本的な理解に基づいています。セキュリティで保護されていないあいまいなエントリーポイントはありますか?必要なのは、デフォルトのパスワードが外部に接続されている見落とされた1つのデバイスだけで、メインエントリの保護に専念するすべてのリソースにもかかわらず、攻撃者が侵入します。

そのため、現代のセキュリティチームは、もはや正面玄関(別名ネットワーク境界)に固執せず、代わりにより高度な技術を適用して、犯罪者が与える可能性のある損害を制限しています。また、攻撃者が最も抵抗の少ない道をたどる傾向があることを知っているため、保護される資産の価値も考慮に入れます。つまり、安全性の低い企業であろうと、1 つの組織内の安全性の低いサーバーであろうと、簡単に実現できる成果に移行することになります。

これらすべての変数を比較検討するには、すべての重要なアプリケーションとデータ、それらが存在する場所、およびそれらに接続するすべての経路に関する知識が必要です。価値の高いターゲットがどこにあるのか、そしてそこに通じる経路がわかれば、防御の取り組みをどこに優先順位を付けるかについて賢明な決定を下すことができます。今、あなたはハッカーのように考えています。

では、この環境でセキュリティを強化するにはどうすればよいでしょうか?1 つの手法は、利用可能な攻撃経路を減らすことです。貴重品(アプリケーションとデータ)を保管する最も安全な場所は、武装した警備員とレーザーに囲まれた地下の強化されたバンカーです(バンカーを建設する場合は、レーザーが必要です)。侵入方法は 1 つであり、攻撃者への侵入コストは高く、攻撃者は別の場所に行く可能性が高いことを意味します。そうすることで資産を安全に保つことができるかもしれませんが、手頃な価格でも実用的な選択肢でもありません。

これについて考える 1 つの方法は、現実世界での例えを使用することです。あなたが物理的なセキュリティビジネスに携わっていて、ステフィン・カリーが地元の会場でスピーチをするとき、あなたの仕事を守ることが仕事だとします。多くの人が出入りする必要があるため、会場を簡単にコントロールすることはできませんし、ステフをバンカーに隠すことはできません。これは、エンタープライズデータセンターやクラウドの保護を担当する最高情報責任者(CIO)や最高情報セキュリティ責任者(CISO)が直面している問題に似ています。

私たちにできることは、会場への可能なすべてのアクセスポイントを評価し、必要のないアクセスポイントをロックダウンすることです。おそらく、2つのサイドドアと1つのバックドアは必要ないので、それらを完全にバリケードで囲むことができます。残りの裏口はステフと彼のチームにのみ開かれている可能性があり、アクセスするにはバッジが必要です。現在、唯一の公共の入り口は会場の正面玄関で、そこには5つの金属探知機が設置されています。

したがって、すべての経路を分析し、どの経路をブロックできるか、どこでアクセスを制限するかを決定することで、攻撃対象領域を大幅に減らしました。セキュリティの世界では、同じ手法をデータとアプリケーションに適用し、考えられるすべての経路を特定し、不可欠な経路を除くすべてを遮断します。マイクロセグメンテーションは、最小権限の原則を適用してデータセンターとクラウドでこれを実現し、組織が世界で最も機密性の高いアプリケーションやデータを保護するために使用しています。

しかし、金属探知機のうち 2 台が故障し、イベントの行列がブロックを囲み始めていることがわかったら、どうなるでしょうか?列をスムーズに進めるために警備を弱めますか、それとも何よりもステフの警備を優先しますか?これらの質問には、このシリーズの第 2 部で回答します。