ゼロトラストコントロールの有効性を継続的にテストする

セキュリティ専門家、ベンダー、およびその顧客がゼロ トラストフレームワークについて語るのを聞くと、デバイス、データ、ワークロード、ネットワーク、人という 5 つの中核となる柱が重視されていることがわかります。これらはすべて、保護が必要な非常に具体的な「資産」であり、この保護を実現するためのさまざまな機能が存在します。

ゼロトラストの「ベルトとブレース」

包括的なゼロトラスト戦略では、これら 5 つの柱のそれぞれを考慮し、カバーする必要があります。しかし、自動化とオーケストレーション、可視性と分析に関するストーリーがなければ、戦略は完全ではなく、軌道に乗ることさえできないかもしれません - これらは比喩的に(そして文字通り、上の図を見れば!)、ゼロトラストの5つの柱をつなぐ「ベルトとブレース」です。悲しいことに、現実世界のゼロトラストの旅では、それらは最も無視される傾向があります。

なぜでしょうか。自動化と可視性は、ベンダーがセキュリティ製品で提供するのに最もコストがかかり、複雑な領域であり、顧客は多くの場合、適切に自動化または分析するための専門知識を欠いています。

見えないものをセグメント化することはできません

Illumio では、これら 2 つの領域 (自動化と可視性) を、後付けではなく、それ自体が中核の柱であると考えています。マイクロセグメンテーションの成果を達成するためにお客様が進むべき道を私たちが支援できることは光栄です。その道のりは「可視性と分析」から始まります。当社は、ワークロードからのテレメトリと CMDB からのメタデータを活用して詳細なアプリケーション依存関係マップを構築し、実用的なトラフィック レポートを提供します。これにより、お客様はアプリケーションの周囲にマイクロ境界を確立するためのセグメンテーション ポリシーの構築を開始できます。この場合、可視性は重要なポイントではありません。それはケーキです。

単一のベンダーがあなたを「ゼロトラスト化」することはできません

すべての企業は、一見最も単純なものであっても、同様に複雑で多様なテクノロジー スタックを持つ複雑な有機体であるという事実を認識し、当初から「自動化とオーケストレーション」は当社製品の中核部分として「必須」の要素となってきました。当社製品は、他のシステムに統合され、オープンで文書化された API を介してプログラム的にアクセスできるように設計されています。実際、製品 UI は REST API の上にあるスキンです。自動化とオーケストレーションがなければゼロ トラストは存在しないとさえ言えます。

これが機能するかどうかはどうすればわかりますか?

当社の一般的なカスタマージャーニーは、次の手順に従います。

1. テレメトリとメタデータを取得してマップを作成する
2. マップを使用してマイクロセグメンテーションポリシーを構築する
3. 適用前にポリシーをテストする
4. ポリシーを適用する

また、全体的に監視が実施されているため、定義されたポリシーに違反があったことを把握し、ユーザーは必要な修復アクションを実行できます。

では、これらすべての意味は何でしょうか?特定のゼロトラスト制御がどのように機能するかを理解できること(マイクロセグメンテーションポリシーの一致/違反など)は非常に価値がありますが、組織のゼロトラスト戦略全体のより大きな文脈における制御の有効性はどうでしょうか?

「 違反を想定」の時代において、セキュリティ インシデントが発生した場合、組織は「何を」「いつ」「誰が」「どのように」 「なぜ」という質問にどれだけ迅速に答えられるでしょうか。そして最も重要なのは、現在使用しているどのシステムが連携して動作し、これらの質問に自動的かつ正確に答えることができるかということです。

MITRE: 話が逸れますか?

ここで少し脇道に逸れて、 MITRE ATT&CK フレームワークについて少しお話しましょう。

MITRE ATT&CKフレームワークは、悪意のある攻撃者が攻撃を開始するために利用する敵対的な戦術、技術、手順(TTP)をマッピングします - たとえば、ターゲットに対する高度な持続的脅威(APT)ベースの攻撃。

この情報と、攻撃者がこれらのTTPを利用する際の行動に関する共通の知識を使用して、組織は、これらの悪意のあるアクティビティの悪影響を制限(理想的には防止)するための防御戦略を開発できます。さらに、このフレームワークは「侵害を想定する」という立場から出発するため、完全に侵害後の防御を中心としています – 「侵害されるだろうと仮定して、pwnされにくいようにすることに集中してください」。

ブルーチームの観点から見ると、ATT&CK フレームワークは、関連するソースから可能な限り多くのイベント データにアクセスすることに重点を置き、このデータを集約して相関させ、悪意のある動作を適切に識別して、必要な対応を促進するプロセスを示します。MITRE 独自のATT&CK 101 ブログ投稿は、ATT&CK に関するあらゆる情報の優れた出発点となります。

マイクロセグメンテーションの有効性の測定

マイクロセグメンテーションの有効性のテストに関する最近の作業で、レッドチームの専門家であるBishop Fox は、 MITRE ATT&CK フレームワークの関連部分を、「フラグをキャプチャする」ために活用すると思われる手法にマッピングすることから始めました。

敵対的手法を特定することで、Illumio Adaptive Security Platform がこれらの攻撃の検出と阻止にどれほど効果的であるかを判断できるようになりました。MITRE は、ATT&CK フレームワークを使用してサイバー脅威を効果的に検出する方法について優れた記事を書いています。

そのため、忠実度の高い可視性、APIを介したフルアクセス、MITRE ATT&CKなどのモデリングフレームワークを提供するセキュリティツールセットにより、組織はゼロトラスト制御を監視し、テレメトリを分析し、適切なアクションを実行するために自動的に応答できるツールを構築できます。しかし、このツールの有効性をどのように監視するのでしょうか?

継続的なテストをゼロトラストDNAの一部にする

もちろん、1つの選択肢は、独立したレッドチームのスペシャリストを雇って攻撃者の役割を果たし、組織のブルーチームは慎重に構築された分析とセキュリティ制御を活用して監視と対応を行うことです。これは非常に貴重であり、定期的にお勧めします。レッドチームのアクティビティとブルーチームの対応の両方を自動化できる方法があったらどうでしょうか?

組織は、モデリングと制御の有効性を継続的にテストし、継続的な改善のアプローチをとることができます。そして、これこそまさにAttackIQのようなベンダーが現在実現しようとしていることなのです。同社のテクノロジーを通じて、顧客は特定のセキュリティ制御の有効性を検証できるだけでなく、おそらくもっと興味深いことに、高度な攻撃者に対する自社の防御体制がどの程度整っているかを判断することもできます。

Illumio では、お客様がゼロ トラストへの投資の価値を測定し、それを確認する必要があることを理解しており、AttackIQ と提携してPreactive Security Exchangeプログラムを開始できることを嬉しく思っています。AttackIQ が提供する、高度に構成可能で自動化された繰り返し可能なテスト プラットフォームにより、ゼロ トラスト コントロールの有効性を測定することが組織にとって達成可能な目標になります。そしてご存知のとおり、何かを測定できるようになれば、それを改善し始めることができます。

Illumio がゼロ トラストの取り組みにどのように役立つかについて詳しくは、 ゼロ トラスト セキュリティページをご覧ください。