RSACからライブ配信中！テスト、検証、検証

00:02 ラグー・ナンダクマラ: セグメントへようこそ。ゼロトラスト・リーダーシップ・ポッドキャストホストのRaghu Nandakumaraです。ゼロトラスト・セグメンテーション・カンパニーのイルミオのインダストリー・ソリューション責任者です。今日はビショップ・フォックスの主任研究員で、オフェンシブ・セキュリティとペネトレーション・テストのリーダーであるロブ・レーガンが加わりました。ビショップ・フォックスでは、ロブはクライアントとテクノロジーのための実用的なソリューションに注力し、継続的なセキュリティ自動化に向けた同社の戦略を監督しています。サイバー業界で 10 年以上の経験を持つ Rob は、以前はヒューレット・パッカード社と SPI Dynamics 社でさまざまなソフトウェア・エンジニアリングの役職を歴任していました。この特別版のエピソードでは、ロブが私と一緒にRSACでライブを行い、さまざまな種類の脅威、攻撃的なセキュリティトレンド、そしてサイバー・レジリエンスを向上させるための新しい機会を継続的に見つける方法について探りました。あなたが今いる場所にたどり着くまでにどのようなキャリアパスを歩んできましたか？では、あなたの経歴を少し教えてください。

00:57 ロブ・レーガン: 私にとって、それは本当に個人的な情熱と趣味として始まりました。私は若い頃、志を同じくする人々を見つけることができて幸運でした。実は、2600: Hacker Quarterly Magazineを通してでした。当時はあまり影響力のない友人が、Webサイトの改ざん方法を教えてくれました。トラブルに巻き込まれる部分は飛ばしますが、このような方法でコンピューターを見ているコミュニティや人々の可能性さえあることに本当に目を開かせました。そこから、私はずっとソフトウェアエンジニアになろうと思っていました。私は本当にITコンサルタントになり、テクニカルサポートからネットワーク管理者、システム管理者まで、あらゆることをする道を歩んできました。そして...しかし、実際にコーディングをする機会を得たのは、ソフトウェアのテストやデバッグ、バグ修正の手伝いをしていたときでした。その後、ウェブアプリケーションの開発者になりました。それで、私は約7年間、プロとしてウェブアプリケーション開発者として働いていました。その後、セキュリティ製品の分野で初めてセキュリティ分野の職に就きました。SPI Dynamicsという会社が、Webアプリケーションの脆弱性を自動的にクロールしてスキャンするWebInspectという製品を製造していました。

02:05 ロブ・レーガン: そして、「はい。これが本当にやりたいことです。」そして、私はそのエンジンに取り組んでいて、その会社でも静的解析の仕事をすることになりました。しかし、実際に私がそこで最初に携わった仕事は、脆弱なウェブアプリケーションを作成して、当社の製品がそのアプリケーションを検出できるようにすることでした。そこで、私たちの製品がコードレベルで、またライブアプリケーションのテストレベルで、それらの問題を見つけるために、SQLインジェクションを実装するさまざまな方法は何か、など、アプリケーションを構築するための間違った方法をすべて徹底的に調査しました。しかし、私がペネトレーション・テストを初めて味わったのもこの時でした。彼らは実際に私を何人かのグループに連れて行き、そこで2週間の間、ある組織を追いかけることになりました。本当に最悪のことをしたんだそして、「待って。プロとしてできるの？毎日一日中これをやるだけでお金がもらえるんですか？」そして、本当に目を開けて、「はい」と思いました。オッケー。これは...シフトしたい。これが私のやりたいことです。これはわくわくする。」

02:52 ラグー・ナンダクマラ: それはすごい。ところで、主任研究員としてのあなたの役割では、このタイトルが気に入っています。脅威の性質をある程度見て、「脅威の状況」という決まり文句を言うと、この分野に熱心に参加してきた過去10～15年の間に、状況はどのように変化しましたか？

03:17 ロブ・レーガン: うん。それに対する私たちの理解は大きく変わり、進化したと思います。基本的には今でも一貫した真実がいくつかあると思うので...私は、この空間に潜む脅威は、どの組織を標的にしているのか気にしない日和見的な脅威ハッカーのようなものだと考えるのが好きです。彼らは、最新のCVEが何であれ、最新の問題が何であれ、インターネット全体をスキャンして、誰が脆弱であるかを調べ、誰が脆弱であるかを調べ、リソースを収集し、資産を収集し、初期アクセスベクトルを取得し、後でどこにいるのかを突き止めているのかもしれません。それに、動機付けの脅威もあると思うんだけど...特定の組織をターゲットにするという目標があるのか、それとも...そして、最終的には「自分が求めているものが手に入るまで、あきらめるつもりはない」という持続的な脅威。この10～15年の間に、このような状況は... へと進化してきたと思います。こうした日和見的脅威の多くは、「オーケー。システムの理解が深まった今、自分がどの組織に所属しているかがわかった。これは本当にランサムウェアの標的になりがちです。それを売れると思う...その初期アクセスベクトルを、ランサムウェアツールを実際に実行し、その企業を強要するプロセスを自動化したいというモチベーションの高い別のグループに売ることさえできます。」

04:26 ラグー・ナンダクマラ: だから私はちょっと...悪質なアクターによるマルウェアエコノミーの全体像に少し触れたと思いますが、これについては後ほど説明します。しかし、あなたがモチベーションについて話していると、モチベーションの進化が「ああ。この方法が、本質的に何かを混乱させたり、一部の人を少し苛立たせたり、組織を苛立たせたりして、そのままにしておくような方法だとわかりました。そしてもちろん、ランサムウェアは「システムなどのデータへのアクセスを復元できるようにするために、収益化して身代金を要求するにはどうすればよいか」の代表的な例です。そして最後の種類の...特に最後の...たぶんそれは...この言葉は過去12か月で流行してきましたが、政治的な出来事などが原因で、実際には大規模な混乱に関するものだったので、間違いなくそうなりました。その結果、「サイバー・レジリエンス（Cyber Resilience）」という用語が、今や顧客が本当に求めるものになりつつあり、もちろんベンダーが「オーケー」と言っているのを目にしたり聞いたりしています。サイバー・レジリエンスの向上を支援します。」また、攻撃の主な動機が、迷惑なものから金銭的もの、そして大規模な妨害へと変化しているのを目の当たりにしたことはありますか？

05:32 ロブ・レーガン: 正しい。そして、本当に組織固有のものになると思います...事業継続計画またはレジリエンシー計画のいずれかから、「アベイラビリティに注目したいのか」というレジリエンシー計画のいずれかに重点を置きたいことを検討できるようになったことで、企業はより成熟しつつあります。では、停電が発生した場合、それは収益にどのような影響を与えるのでしょうか。保護したいのは資産なのか、それとも私が注力したい他のことなのか、ということです。これらの組織は、経営幹部レベルであっても、座って、同僚に影響を及ぼしていると感じるさまざまなシナリオで実際にインシデント対応計画について話し合いたいと思っているのがわかります。これに対処する必要があるかどうかは、いつ対処しないかが問題であり、回復を試みる方法を実際に計画することで先手を打つことができます。経営陣のどのレベルにおいても、法務チームが果たす役割は何か、といった感じです。この中での HR チームと PR チームとはどのようなものでしょうか?プレッシャーやミスを犯す中、私たちが慌てて実際に復旧することを防ぐために、このような事態が発生した場合にどのように回復するかについて、事前に計画と対応が書かれていますか。

06:31 ラグー・ナンダクマラ: 承知しました。そして、戻って見てみると、組織や脅威の状況などが全体と結びついています...攻撃の主な動機は大規模な混乱であると話したようなものです。これに関連して、特に最近は国の重要インフラに焦点が当てられ、そのOTの延長として注目されています...大規模な OT/IoT ネットワーク、そして IT と OT/IoT が出会うような場所。それが脅威研究者として、また攻撃的なセキュリティベンダーとしてのあなたの業務を実際にどのように形作っているのでしょうか？

07:10 ロブ・レーガン: 幸運なことに、世界の大手企業のいくつかと仕事ができました...私たちのパートナーで公開されているのはJohn Deereです。そのため、組織の規模や、OTが実際にトラクターの一部と見なされている状況を見ると、衛星ネットワークを経由して生産、テレマティクス、データセンターなどに接続され、世界の食品サプライチェーンを実際に可視化できるようになり、それらのOTデバイスが中断された場合、業務に影響が出る可能性があります。国全体を養い、経済全体に影響を与えます。私たちができることは、彼らがインシデント対応能力を実践できるようにしたいと考えているさまざまな脅威アクターの初期状態を総合的に把握できるようにすることです。つまり、デバイスのヘッドアップディスプレイユニットを危険にさらすのはどのようなものかということかもしれません。クラウド環境に侵害されたワークロードがあるとしたら、どのような状態になるのでしょうか。もし... だったらどうなるでしょう。最初の状態は、企業環境のラップトップですか、それとも従業員のラップトップですか？そして、この種の攻撃が発生していることを可視化し、さらには検出するのに役立つ、どのような制御を期待しているのかというシナリオで、実際に計画を立てることができます。予防の観点から見ると、どのような統制が取られているのでしょうか。

08:43 ロブ・レーガン: そして、関連するすべてのコンポーネントが何であるかを実際に視覚化できるように支援します。たとえこれが開発されていなくても、私たちは組織がこれらのコンポーネントのアーキテクチャと設計を綿密に計画し、レッドチームの観点から総合的に見て、「意図する信頼境界はどこにあるのか」という質問に答えられるように支援しています。インシデント対応のきっかけにしたいと思う分野はどこか？そして、攻撃者の視点から見たものを攻撃グラフで実際に視覚化できるように支援します。このような環境で攻撃を実行するたびにピボットするために使用しているMITRE ATT&CKフレームワークのTTPは何ですか？また、改善の余地はどこにあるのでしょうか？このアクセスでこのシステムにたどり着いたように、このグラフで視覚化できるように支援しています。別のシステムにピボットしましたが、ここで統制に遭遇したり、期待していた統制に遭遇しなかったりして、これが改善のチャンスになるかもしれません。あるいは、統制に遭遇した場合は、ここで別の道をたどらなければならず、部分的な検出が行われている場所、部分的な防止策がある場所を実際に理解できるように支援していますが、可視性が欠如していたか、改善できる可能性のある構成ミスがあった可能性があります。

09:35 ロブ・レーガン: そして、多くのチームが攻撃者の視点をエミュレートして見たいと切望していると思います。さらに、ジャーナリング機能を持つ独自のマルウェア・インプラント・フレームワークを作るという詳細まで掘り下げています。システム上で作業しているときはいつでも、この正確なコマンドを実行した日付とタイムスタンプを記録して、ブルーチームが... Splunkやその他のログでそのアクティビティを見たことを相互に関連付けることができるか、それとも正当な用途がないものかを調査できるようにしています。そのため、インシデントレスポンスで発生する新しいイベントとしてトリガーできるようにしたいと考えています。

10:09 ラグー・ナンダクマラ: あなたが今言ったことから報われるように、非常に基本的な質問で尋ねたいと思います。IT（IT、OT、IoT）の脅威について話すとき、多くの場合、焦点が当てられているのは IT と OT の境界です。このような相互接続が発生し、リスクの単純な表現として考えられるのは、IT の侵害が OT ネットワークの侵害につながり、製造が停止したり、医療機関が患者サービスを提供できなくなったりする場合などです。しかし、実際の脅威やリスクはそれよりもはるかに複雑で、本質的にはITとのやり取りなしにOTネットワーク自体が侵害されたことさえあると確信しています。これは現実的な脅威です。では、実際の脅威が何であるかをよりよく表しているものは何だと思いますか？

11:00 ロブ・レーガン: うん。実際に掘り下げたがる組織が見えてきています...場合によっては、それらのデバイス上でファームウェアをテストし、その組織が構築する役割はなかったかもしれないが、今ではそれらのコンポーネントを使用する際の責任とセキュリティを共有しているサードパーティコンポーネントが何であるかを実際に理解しようとしています。以前はテストや分析を行っていなかったことがよくありますが、特にサプライチェーンのリスクに重点を置いていると、特にそれが私たちの最大の弱点であり、以前はテストや脆弱性の発見を試みていなかったことが明らかになっています。しかし、それがそのデバイスを危険にさらす最大の弱点かもしれません。そして脅威は...そのため、攻撃者はこれらのデバイスで一般的に使用されているコンポーネントを研究しています。もしかしたら、何年もの間世に出回っているはずの固有の問題があって、実際には修正できないチップセットかもしれません。つまり、もし私がそれを悪用した場合、インターネット上で探したり見たりできるすべてのデバイスに影響が及ぶということになります。そして、組織は、他の緩和策を講じるべきか、それとも何十年も続くものであれば、そのための計画を立てるべきか、という質問に対する答えを知る必要があります。

12:02 ラグー・ナンダクマラ: そして実際にあなたは何かに触れました...オフラインだったのは知ってる攻撃的なセキュリティチームやベンダーが、まったく新しい、あるいは非常に古いテクノロジーを本質的に取り入れて、それらを深く掘り下げる機会があるということについて話し合っていました。そして、OT分野は、これほど多様なテクノロジーが存在する好例だと思います。各メーカーはそれぞれ独自のことを行っています。ですから、それらを深く掘り下げなければならないことは、本当にやりがいのある仕事であると同時に、魅力的な役割でもあるに違いありません。

12:31 ロブ・レーガン: です。楽しくなります。私たちは頻繁に機会を得ます...電力会社と仕事をした例を挙げましょう。そして彼らは、米国の全地域にある変電所のリスクを懸念していました。そして、それらの変電所にある装置は90年代のものです。彼らが使用していたプロトコルは、ゼロトラストとは逆に、セキュリティを念頭に置かずに設計されていました。彼らは完全に信頼しています。彼らはこれに関わるものは何でも信頼しています。認証も承認もなく、アイデンティティという概念すらありません。そして、ラボ環境でこれらの仕組みを研究し、何十年も更新されていないプロトコルを研究し、ショートして完全に故障してシャットダウンするまで実際に電源をオン/オフするスイッチを切り替えるコマンドを送信する方法を実際に示すことができました。これがネットワークに影響を与えることができれば、電力網の完全な壊滅的な障害になります。

13:31 ロブ・レーガン: しかし、私たちは、お客様が実際にそのことを理解し、リスクを実証し、リスクに対する緩和策を計画できるように支援しています。そうすれば、お客様がチームから注目され、経営幹部の賛同を得られるようになります。この件について何かする必要があることはわかっています。そして、その証拠があり、それが可能であるという証拠があると、「これに対して他の緩和策を講じる必要があります。このデバイスをネットワーク上の他のデバイスからリモートで通信できないようにする必要があります」という予算とリソースに影響を与えることができます。つまり、セグメント化して、話していることをホワイトリストに登録したほうがいいでしょう。

13:58 ラグー・ナンダクマラ: ゼロトラストという言葉をおっしゃっていただきましたので、それについては後ほど説明します。結局のところ、これはゼロトラストのポッドキャストです。しかし、私が伝えたかったのは、OT/IoT のセキュリティ分野全体を離れて他のことに移る直前に、セキュリティベンダーが OT と IoT をより安全にするために行っていることは明らかに大きな進展があったということです。そして、その中のある側面に焦点を当てているベンダーは数多くあります。OT と IoT の安全性を高めるためには、何よりも重要なニーズは何だと思いますか?

14:30 ロブ・レーガン: セキュリティが組み込まれていないデバイスや、セキュリティがまったく組み込まれていないデバイスの一部に、実際にセキュリティを簡単に適用できるようにすることで、使いやすさに役立つと思います。解決すべき問題があれば、それを適用しやすくなります。それが容易でなければ、簡単にはならないだろう。

14:48 ラグー・ナンダクマラ: うん。絶対に。オッケー。よし。少しギアを変えましょう。ゼロトラストという言葉についておっしゃいましたね。私はしてないよ。オッケー。では、セキュリティ実務家にとって、ゼロトラストとはどのような意味があるのでしょうか？

15:00 ロブ・レーガン: うん。私の考えでは、このアクションを認証して承認する能力です。環境やシステム内で行われているすべてのアクションが、誰がどのように行い、許可されているかを自信を持って把握できるかという点です。

15:16 ラグー・ナンダクマラ: オッケー。さて、オフェンシブ・セキュリティやビショップ・フォックスがやっていることについてですが、ゼロトラストについて率直に言って、どのような会話をしているんですか？それはエンゲージメントで出てきて、それがどのように起こるかについて少し話しかけてくれますか？議論のポイントは何か、そして一般的にどのような結果になるのか？

15:36 ロブ・レーガン: うん。顧客がその地域に投資したように感じていると言うと、会話の中で浮かび上がってきます。そして正直なところ、私たちはまだほとんど常にハイブリッド環境のように見えています。誰かが「ゼロトラスト環境を実装しました」と言っても、通常、それらの原則に従わないハイブリッド環境がいくつかあります。そして、お客様がチームの限界に挑戦したい場合や、そのようなフレームワークの実装に費やした統制や投資に基づいて、自社の環境における盲点を確認して理解したい場合によく出てきます。「アプリケーションのホワイトリストを実装しました」と言うCISOがいるかもしれません。私の環境でそれを回避するにはどうしますか?」そこで、私たちは「オーケー」と言えるようなシナリオを構築しています。もし、あなたが社員のシステムやノートパソコンに私たちを組み込むとしたら、私たちはマルウェアがインストールされていることによる侵害だと想定することになります。」環境の別の部分にアクセスする権限を持つアプリケーションへの DLL インジェクションなど、実際の攻撃者が行うことを実際に調べてエミュレートしています。

16:32 ロブ・レーガン: そして、私たちはそのアプリケーションの役割とアイデンティティを引き継ぎ、現在はホワイトリストに載っていますが、目的を果たしたり、さらなる悪質な行為を支援したりするマルウェアをそのアプリケーションに注入しました。そして、そこから、リスクを検出または軽減するための他の制御が行われます。しかし、お客様には、インシデント対応能力に役立つトリガーやその他のイベントが他にないか、実践して確認できるように、これらのシナリオを実際に説明してほしいと願っています。

16:57 ラグー・ナンダクマラ: では、その推奨内容はどのようなものなのでしょうか？だって、どうやって...攻撃者のように感じられるから君にはあらゆる種類のものをテストする能力があるまた、顧客としては、「それ以外はリスクを受け入れるよ」と言って集中できることは限られています。では、これが重要だとお客さんに伝えるにはどうすればよいのでしょうか。

17:20 ロブ・レーガン: その多くは、彼らが成熟度レベルでどこにいるかに非常に特有のものになります。また、すでにアプリケーションをホワイトリストに登録している顧客は、ほとんどの顧客よりも成熟度が高いと言えます。これにより、他にどのようなコントロールがあるのか、攻撃者を捕まえる機会はどこにあるのかを理解しやすくなります。攻撃者がそれを達成するために費やさなければならなかった時間、労力、リソースはすでに増えているからです。ホワイトリストに載っているアプリケーションを見つけなければならない場合は、そのアプリケーションに注入する方法を見つけて、そのアプリケーションと、そのアプリケーションを実行しているユーザーの身元を推測してください。イベントをトリガーして脅威を封じ込め、根絶できるのは、攻撃者が環境内で他にどのようなことを実行できたか、または攻撃者が実行したステップやコマンドです。そのため、攻撃者が練習を続け、新しい機会を見出すのを助けるためだけに、こうしたシナリオを継続的に実行することがよくあります。そして、その1つのコントロールだけに頼っているわけではありません。全体的に見えているのです。他に何が手に入るかというと、妥協の指標となり、そのイベントの引き金になり得るのです。

18:19 ロブ・レーガン: そして、私たちは実際に、多くの場合、お客様がそれをさらに推し進めて、リスクの指標と脆弱性の指標をよりよく理解できるように支援しています。そうすれば、次のことが可能になります...たとえば、自社の環境にとって重要な OT デバイスのテストから始める場合もあれば、攻撃者がより大きな攻撃チェーンの一部として悪用されないように対処して修正できる脆弱性や弱点があるかどうかを理解するために、使用しているアプリケーションのいくつかをテストする場合もあります。

18:46 ラグー・ナンダクマラ: というのも、あなたの言っていることからすると、セキュリティ組織全体の顧客への教育は非常に重要だと思うからです。なぜなら、サイバー専門家になるために現在必要とされるスキルセットは、「脅威の本質を理解していますか？」ということに重点が置かれている5年前とは大きく異なっているように感じられるからです。そして、攻撃者がどのように進歩していくか理解していますか?」先日、同僚の一人から「ハッカーのように考えてレジリエンスを高めること」というような話があったと思います。では、顧客ベースのスキルセットが向上していることをどのように見ていますか？

19:27 ロブ・レーガン: うん。プロアクティブなテストと継続的なテストを積極的に採用する人がたくさんいます。テストでは、シナリオやテストの目標を常に再評価し、達成しようとしている結果に合わせて調整したり強化したりしています。そういった人をたくさん見かけるようになってきています...現在、セキュリティエンジニアはブルーチームに所属しており、レッドチームの演習やテストに参加して、脅威モデルを構築したり組み込んだりしながら、これらのテクニックを適用する方法を学ぶ方法を実際に理解したいと考えています。そして、それをより定期的に行っている人たちは、より急速に成熟していることがわかります。そして、実装した内容にそのテストを考慮に入れていないと、未知のままの影響を感受できる期間と長期のギャップが生じる可能性があります。

20:14 ラグー・ナンダクマラ: 理解しました。さて、少し話を移しますが、過去、たとえば12か月間に発生している、多額の投資を必要とする主要分野は何だと思いますか。

20:26 ロブ・レーガン: うん。攻撃対象領域を理解するために私たちのところに来る人はまだたくさんいます。分かるよ...そして、これから起こるのは、外部の攻撃対象領域だけでなく、認証されたアプリケーションの攻撃対象領域になるということです。これは、内部ネットワークとプライベートネットワークのアタックサーフェスになるでしょう。クラウド環境、VPC アタックサーフェス、相互に関連するすべてのシステム (サプライチェーンや環境内のベンダーを含む)。まだ...特に企業では、買収後すぐに後退したように感じられるので、これは私が注目している点です。

21:04 ラグー・ナンダクマラ: うん。

21:04 ロブ・レーガン: セキュリティチームは、コア環境でこれまで何のために取り組んできたのかを把握しようとしていますが、現在この会社を買収し、保護する責任があるものを理解しようとしています。こうした変化は起きていて、日常的に起きているので、何が起きているのかをより正確に定義するための投資が今後も続くと思います。それらを可視化し、脆弱性の指標がないか積極的にテストし、それらのうちどれが最初に重要かを判断できるようにする。そして、修復の優先順位について助けを求める人がたくさんいます。「修正できることがたくさんあるので、最初に何を修正するかを決めるのを手伝ってください。」それでも、そのための最善の方法は、徹底的にテストして、悪用した場合の影響を実際に実証することだと考えています。それができないなら、それを証明できなければ...ここには問題があると思います。これは脆弱かもしれませんが、実際にはどのようなものなのでしょうか？これを悪用することは可能か、それとも緩和要因のどちらかを悪用することは可能か？悪用された場合、実際の影響はどうなるのか？そこからどのようなデータが得られると思いますか?その質問に答えてもらうことで、修正の優先順位を決めるのに役立ちます。

22:11 ラグー・ナンダクマラ: 問題は、どうやってそれを注入するか、それが悪用される確率はどれくらいかということです。なぜなら、攻撃側の警備員として、明らかに... 本質的に、あなたは行って何かをするように求められてきたからです。では、可能性をどのように割り当てればよいのでしょうか。というのも、私がXを選ぶのか、それとも2つのうちの1つだけを選べばよいのかで、ほぼ重要な要素になるからです。

22:33 ロブ・レーガン: うん。実際、レポートにおける重要度評価は、クリティカルを割り当てる対象についてもう少し選択的になったと思います。これは、おそらく他の多くのベンダーが行っていることとは逆のことです。彼らは「いいえ」のように運転しています。すべてが重要だ。すべてが赤い。」お客様からは、この点を詳しく調べて、それだけの注意に値するのであれば、さらに詳しく調べてほしいと強く望んでいます。そして、私たちはそれを大いに踏まえてこうしています。「これは、日和見主義的な攻撃者が、必要も初期アクセス要素もない、あるいは従業員の役割を引き受ける方法もない、認証されていない状態で悪用できるものなのか？それとも、私たちが発見した複雑な複数段階の連鎖に対して、より動機があり、すでに認証情報があり、この脆弱性を見つけることができた、意図的で意図的で意図的な内部脅威のようなものでしょうか。しかし、この1つの問題を解決すれば、それを防ぐ機会があるかもしれません。」そこで、最も効果的な対策や修正方法は何か、あるいは実施できる緩和策があるかどうかに実際に焦点を当てています。修正よりも優先度の高い推奨を行う方法には、この点を考慮に入れています。

23:42 ラグー・ナンダクマラ: わかった。それは私が理解すべき本当に良い点です。そして、この12か月間、セキュリティ関連の報道で報道された内容に一貫したテーマがあったとしたら。テーマの 1 つは ROI です。予算に制約があるとき、組織はどのようにして最善を尽くすのでしょうか。そして今、これまで以上に、セキュリティ投資のROIを正当化するよう求められています。数週間前、あるゲストと話していたのですが、そのゲストの意見は、セキュリティチームはすべきではないというものでした...ROIは、セキュリティ投資に求めるべきものであってはなりません。その価値は、どのようなリスクを軽減できるかという点にあります。価値について考えるとき、それはセキュリティ上のメリットだけなのか、それともソリューションの TCO 全体の問題なのか、どう思いますか?

24:32 ロブ・レーガン: 総所有コストについておっしゃっていただけてうれしいです。多くの場合、セキュリティ投資は特定の製品やソリューションを購入することから行われていると思いますが、総所有コストがいくらになるかは明確ではありません。そして、実装フェーズを深く掘り下げて使用してみるまで、これがチームにどれだけの作業を生み出し、どれだけの労力をかけているのかは明らかになりません。そして、それが最終的に見落とされることにつながるかもしれません。こんなケースを見たことがある...あるアプリケーションのテストを手伝うためにあるインシデントが起きて、彼らがこの PHP アプリケーションを通じて Web シェルがどのようにアップロードされたかの根本原因を突き止めようとしたときに、私たちがやって来ました。そして、実際に...その前の13か月間、使用している静的分析ツールに、この脆弱性があるという赤色のクリティカルな発見がありましたが、ある開発者が「悪用可能だとは思わない」と言って、それをクローズアウトしてトリアージしていました。しかし、それは...もしかしたら、その開発者にはその問題の悪用方法を理解する専門知識がなかったのかもしれません。そして、その決定を下すのは彼らではなかったのかもしれません。

25:28 ロブ・レーガン: しかし、チームにはその質問に答えるのに十分なセキュリティや専門知識、時間がなかったのかもしれません。そのため、ある製品に投資し、脆弱性があるという報告を受けた後、誤ってそれを無視したにもかかわらず、依然として侵害が発生していました。しかし、これらの質問に実際に答えるのに役立つ専門知識を持つことによって、総所有コストがいくらになるのか理解できていなかったのだと思います。そこで、問題の解決策を探しているのかもしれません。時にはサービスと製品の組み合わせや、取り組んでいる問題の実際の完全な結果を得るのに役立つマネージドサービスなど、チームに自分の役割を果たす人材を配置する必要はないのです。

26:05 ラグー・ナンダクマラ: それは本当に興味深い視点です。なぜなら...実際、このような見解を聞くのは初めてです。というのも、解決しようとしている問題を本当に理解していなければ、「これが私の理想的な TCO です」と割り当てたり、言ったりできるということだからです。あなたはそれがどうあるべきかを事実上推測しているわけですよね？それは不完全な情報を使って行われているからです。そして、あなたが言ったのは、おそらくツールセットをサービスやそれを補完するサードパーティーのサービスで補完する必要があるという理解です。この中で、また投資の TCO を向上させるために、攻撃的なセキュリティ製品はどのような役割を果たすと思いますか? それがあなたのような人々であろうと、今やどこにでもあるこれらの自動テストスイートであろうと、どのような役割を果たしているのでしょうか?

26:58 ロブ・レーガン: 私たちはまだ、仕事を完全にこなすための自動化がない段階にあると思います。それはほとんどのことに当てはまります。セキュリティだけでなく、現在取り組んでいます。これは、今後何年にもわたって、私たちが限界に挑戦し続けることになるでしょう。自動テストに役立つ製品を購入するかどうかにかかわらず、その自動化を活用する専門知識を持ち込んで計画を立てること、そして購入する製品が自動化テストに役立つかどうかにかかわらず、そのアウトプットはまだあり、誰かが決定を下さなければならないと思います。そして、それが社内の誰かなのか、それとも第三者と提携して信頼する人物なのかを決める機会があると思います。

27:31 ロブ・レーガン: スケーリングの助けを必要としている人がたくさんいるのを見てきました。特に、チームのメンバーがさまざまな役割を担っているために特定のツールのアウトプットに集中する時間がない場合や、チームにもういない人がいると感じている場合はなおさらです。そして、それは計画のようなものです...そのレジリエンシーとセキュリティ組織モデルのための計画だと思います。購入した 3 つのツールを実行する担当者が1人いて、その人が辞めたとしたら、どうなるでしょうか?それがシェルフウェアになるのか、それとも誰が彼らのバックアップになって使い続けるのか、計画はあるのか？そこで、お客様に「助けが必要だ」と言ってもらうことがよくあります。ほら、ツールだけでなく、実際に結果を出すのを手伝ってくれるテスターや専門知識を持った人が必要です。」

28:11 ラグー・ナンダクマラ: オッケー。繰り返しになりますが、視聴者とリスナーにとって、ROIの取得方法やTCOの計算方法などを真に理解できるようにするには、まず、既存の投資または新規投資から最大限の価値を引き出すためのスキルセットがあるかどうかを判断する必要があります。そうでなければ、そのメリットを実感することはできません。何かから価値を得られなかった理由を正当化できるという課題があります。あと数分しか残っていないことはわかっている。水晶玉の時間だよね？未来の水晶玉を見てるんでしょ？何にワクワクしているの？何が怖いの？サイバー環境からだと？

28:50 ロブ・レーガン: 個人的には本当にワクワクしていて、大規模な言語モデル空間に深く入り込んでいます。この件に関しては、どちらも大げさな宣伝がされていると思いますが、楽観的な見方やリスクに対する懸念も多くあります。個人的には、これを使って構築してきたプロトタイプのいくつかでは、以前は非常に困難だった特定のことを簡単に達成できるだろうという点では、実際には非常に楽観的です。僕は、この段階になると思うんだけど...実は、少し前にこれに関する本を読みました。興味のある人がいたら、「ミッシング・ミドル」という本をおすすめします。そして、人間と機械がどこで一緒になるのか、機械は何が得意で、人間は何が得意なのかについて書かれています。そして基本的に、いかに協力してより多くのことを行えるようになるかについてのフレームワークを概説しています。しかし、まだ当面の間、私たちはこの段階に入ると思います。私たちはそれを理解している最中で、私たちは...そして、その実装で何がうまくいかないのか、でも実は...これは多くの扉を開くことになるという点で、私はもっと楽観的だと思います。

29:48 ロブ・レーガン: アタックサーフェスの問題の一部として、資産の所有権を実際に特定する方法で使用してきました。そして、そのインプットが...多くの場合、それらの質問は全く知られていないか、まったく異なる可能性があります。その質問に答えるための従来のアプリケーションや、その質問に答えるための API のようにインターネット上に公開されているものはすべて、入力内容がわからないため、非常に困難です。しかし、入力を解析して読み取り、その証拠を収集し、ワークフローやプロセスの次の段階でそれに関する質問に答えるのに役立つものがあることは、私にとって本当にエキサイティングです。そこでは大きな進歩が見えてきました。

30:20 ラグー・ナンダクマラ: あなたがその本について言ったことに戻ると思いますよね？真ん中の会議は、私たちが本当に注力すべき点だと思います。なぜなら、人工知能についての議論が始まると早すぎて、LLMでは、またその話に戻ってしまうと思いますよね？どの時点でAIが人間の知能よりも優れていて、機械が引き継ぐようなものが、ヤダ、ええ、ターミネーター2のシナリオのような通常のシナリオです。でも、絶対に、究極的には収束することだと思いますよね？それこそが人間にとって最適なことであり、私たちが才能ある努力を注ぐべきことであり、機械と機械人工知能が最適なことですよね？というのも、究極的には産業革命の要点は人間に取って代わることではなかったからですが...

31:06 ロブ・レーガン: 最適化するため。

31:07 ラグー・ナンダクマラ: 最適化するため。そして、これがまさにこの目的です。

31:09 ロブ・レーガン: 正しい。そして、それをツールとして、また応用するテクニックとして捉える必要があると思います。そして、ループに人間がいない状態で急いでこれを本番環境に実装しようとしたり、オペレーターとまったく話さなかったりする人は、多くのトラブルを招いていると思います。でもそれは... みたいな感じだと思うんですこのテクノロジーをアプリケーション特有の使い方を見るのはわくわくします。

31:31 ラグー・ナンダクマラ: LLMだけやってみて。インプットポイズニングについてどの程度心配してる？

31:36 ロブ・レーガン: ああ。それはとても現実的な問題だと思う。だからこそ、悪用事例のようなテストをせずに、本番アプリケーションや実際のユースケースでこれを使用するようになった人は、多くのトラブルを招き、インシデントが発生し、問題が発生し、即時注入も非常に簡単に行えると言っているのです。つまり、昨日、LinkedInのプロフィールにすでに書き込んでいるCISOと話していました。CISOは、そこで解析しているマーケティングボットがあれば、彼のページに、何か他のことをするように促すプロンプトがあるということです。そして、たぶんその光が見えてくると思う...誰かのマーケティングキャンペーンがうまくいかなかったとしても、それほど大きな影響はありません。でも、他にどのように使われているかを見るのは面白いと思います。

32:13 ラグー・ナンダクマラ: 数か月前にChatGPTとゼロトラストについて話し合ったのですが、まだ少しだけ知識があることに感謝していましたが、それほど遠くないと確信しています。最後に考えたことはありますか、ロブ？

32:24 ロブ・レーガン: 呼んでくれて本当にありがとうRaghuさん、いつも素晴らしい会話ができたと思います。ええ、この空間がどのように進化していくかを見るのを楽しみにしています。

32:30 ラグー・ナンダクマラ: 素晴らしい。ロブ、本日はご参加いただきありがとうございます。この分野であなたと話し、あなたの知識を深めるのはいつも楽しいことです。見ている人、聞いている人、攻撃的なセキュリティに興味がある人、そしてこの分野の専門家と交流することに興味がある人は、ぜひチェックしてみてください。 www.bishopfox.com。Robさん、本当にありがとうございました。本日はご参加いただきありがとうございました。RSA をお楽しみください。

32:53 ラグー・ナンダクマラ: 今週のセグメントのエピソードを視聴していただきありがとうございます。さらに詳しい情報とゼロトラストのリソースについては、当社のウェブサイト illumio.com をご覧ください。リンクトインやツイッターの @illumio で私たちとつながることもできます。そして、今日の会話が気に入ったら、ポッドキャストを入手できるところならどこでも他のエピソードを見つけることができます。私はあなたのホスト、ラグー・ナンダクマラです。すぐに戻ってきます。

‍