ゼロトラストコントロールの有効性を継続的にテストする

セキュリティ担当者、ベンダー、およびその顧客が ゼロトラスト フレームワークについて話しているのを聞くと、デバイス、データ、ワークロード、ネットワーク、人という5つのコアピラーに多くの愛情が注がれていることがわかります。

ゼロトラストの「ベルトとブレース」

包括的なゼロトラスト戦略では、これら 5 つの柱のそれぞれを考慮し、カバーする必要があります。しかし、自動化とオーケストレーション、可視性と分析に関するストーリーがなければ、戦略は完全ではなく、軌道に乗ることさえできないかもしれません - これらは比喩的に(そして文字通り、上の図を見れば!)、ゼロトラストの5つの柱をつなぐ「ベルトとブレース」です。悲しいことに、現実世界のゼロトラストの旅では、それらは最も無視される傾向があります。

なぜでしょうか。自動化と可視性は、ベンダーがセキュリティ製品で提供するのに最もコストがかかり、複雑な領域であり、顧客は多くの場合、適切に自動化または分析するための専門知識を欠いています。

見えないものをセグメント化することはできません

イルミオでは、これら2つの分野(自動化と可視性)を、後付けではなく、それ自体が中核的な柱であると考えています。お客様がマイクロセグメンテーションの成果を達成しようとする際に、私たちが取り組む旅は、「可視性と分析」から始まります。ワークロードからのテレメトリとCMDBからのメタデータを活用して、詳細な アプリケーション依存関係マップを構築し、お客様がアプリケーションの周囲にマイクロ境界を確立するためのセグメンテーションポリシーの構築を開始できる実用的なトラフィックレポートを提供します。この場合、可視性はアイシングではありません。ケーキです。

単一のベンダーがあなたを「ゼロトラスト化」することはできません

すべての企業は、一見最も単純な企業であっても、同様に複雑で多様なテクノロジースタックを持つ複雑な有機体であるという事実を理解することで、「自動化とオーケストレーション」は当初から当社の製品の中核部分である「必須」でした。当社の製品は、他のシステムに 統合 され、オープンで文書化されたAPIを介してプログラムでアクセスできるように設計されています。実際、製品UIはREST APIの上にあるスキンです。自動化とオーケストレーションなくしてゼロトラストは存在しないとまで主張します。

これが機能するかどうかはどうすればわかりますか?

当社の一般的なカスタマージャーニーは、次の手順に従います。

1. テレメトリとメタデータを取得してマップを作成する
2. マップを使用してマイクロセグメンテーションポリシーを構築する
3. 適用前にポリシーをテストする
4. ポリシーを適用する

また、全体的に監視が実施されているため、定義されたポリシーに違反があったことを把握し、ユーザーは必要な修復アクションを実行できます。

では、これらすべての意味は何でしょうか?特定のゼロトラスト制御がどのように機能するかを理解できること(マイクロセグメンテーションポリシーの一致/違反など)は非常に価値がありますが、組織のゼロトラスト戦略全体のより大きな文脈における制御の有効性はどうでしょうか?

「侵害を想定する」この時代において、セキュリティインシデントが発生した場合、組織はいつ、誰が、どのように、なぜという質問にどれだけ早く答えることができるでしょうか?そして最も重要なことは、現在の武器庫の中で、これらの質問の答えを自動的かつ正確に導き出すために連携して動作できるシステムはどれですか?

MITRE: 話が逸れますか?

少し脇に置いて、 MITRE ATT&CKフレームワーク について少し話しましょう。

MITRE ATT&CKフレームワークは、悪意のある攻撃者が攻撃を開始するために利用する敵対的な戦術、技術、手順(TTP)をマッピングします - たとえば、ターゲットに対する高度な持続的脅威(APT)ベースの攻撃。この情報と、攻撃者がこれらのTTPを利用する際の行動に関する共通の知識を使用して、組織は、これらの悪意のあるアクティビティの悪影響を制限(理想的には防止)するための防御戦略を開発できます。さらに、このフレームワークは「侵害を想定する」という立場から出発するため、完全に侵害後の防御を中心としています – 「侵害されるだろうと仮定して、pwnされにくいようにすることに集中してください」。ブルーチームの観点から見ると、ATT&CKフレームワークは、関連するソースからできるだけ多くのイベントデータにアクセスできることに重点を置き、このデータを集約して相関させ、悪意のある行動を適切に特定し、必要な対応を推進するプロセスに情報を提供します。MITRE 独自の ATT&CK 101 ブログ投稿 は、ATT&CK に関するすべての出発点として最適です。

マイクロセグメンテーションの有効性の測定

マイクロ セグメンテーションの有効性のテストに関する最近の作業中に、レッドチームのスペシャリストである Bishop Fox は、MITRE ATT&CKフレームワークの関連部分を、「旗をキャプチャする」試みで活用しようとする手法にマッピングすることから始めました。

この敵対的手法の特定により、イルミオ アダプティブセキュリティプラットフォーム がこれらの攻撃の検出と打ち負かしにどれほど効果的であるかを判断することができました。MITREには、ATT&CKフレームワークを使用してサイバー脅威を効果的に見つける方法について素晴らしい 記事 があります。

そのため、忠実度の高い可視性、APIを介したフルアクセス、MITRE ATT&CKなどのモデリングフレームワークを提供するセキュリティツールセットにより、組織はゼロトラスト制御を監視し、テレメトリを分析し、適切なアクションを実行するために自動的に応答できるツールを構築できます。しかし、このツールの有効性をどのように監視するのでしょうか?

継続的なテストをゼロトラストDNAの一部にする

もちろん、1つの選択肢は、独立したレッドチームのスペシャリストを雇って攻撃者の役割を果たし、組織のブルーチームは慎重に構築された分析とセキュリティ制御を活用して監視と対応を行うことです。これは非常に貴重であり、定期的にお勧めします。レッドチームのアクティビティとブルーチームの対応の両方を自動化できる方法があったらどうでしょうか?組織は、モデリングとコントロールの有効性を継続的にテストし、継続的な改善のアプローチを取ることができます。そして、これはまさに AttackIQ のようなベンダーが現在可能にしていることです。顧客は、そのテクノロジーを通じて、特定のセキュリティ制御の有効性を検証できるだけでなく、おそらくより興味深いことに、高度な敵対者に対する防御をどのように調整するかを判断できます。

イルミオでは、お客様がゼロトラスト投資の価値を測定し、確認できる必要があることを理解しているため、AttackIQと提携してプレ アクティブセキュリティエクスチェンジ プログラムの立ち上げを行うことを嬉しく思います。AttackIQが提供する高度に構成可能で自動化された反復可能なテストプラットフォームにより、ゼロトラストコントロールの有効性を測定することは、組織にとって達成可能な目標になります。そして、私たちが知っているように、何かを測定できるようになったら、それを改善し始めることができます。

ゼロ トラストセキュリティ ページをチェックして、イルミオがゼロトラストへの取り組みにどのように役立つかについて詳しく学びましょう。