企業の平均インベントリ時間が遅延する理由をCortex Xpanseリサーチチームが明らかに

This post is also available in: English (英語)

サイバー攻撃者は日和見的であり、攻撃する脆弱なターゲットを探索しています。企業にとって残念なことに、保護すべき脆弱性のある情報資産を防御者が見つけるよりもはるかに早く、攻撃者は情報資産を発見して攻撃してしまいます。サイバー攻撃の実行と保護という観点で、攻撃者と防御者の間で「いたちごっこ」になっているだけではありません。サイバー脅威への既知の脆弱性を持つシステムの検出においても接戦が繰り広げられています。

当社の攻撃可能領域管理ソリューションCortex® Xpanseのリサーチチームは2021年1～3月の間、攻撃を受けやすいシステムの検出に必要な時間を調査するために攻撃者の活動を監視しました。ここでは、脆弱性が発表されてから攻撃者がスキャンを開始するまでにかかった時間をMTTI (平均インベントリ時間; Mean Time To Inventory）という指標で測定しています。

この期間に確認された多くの攻撃者は、CVE (共通脆弱性識別子) の公表から15〜60分後にスキャンを開始していました。しかし、もっと早いものもありました。3月2日、Microsoftが3つ (Exchange Server 2013, 2016, 2019) のゼロデイ脆弱性を公開した際には、攻撃者は脆弱なExchange Serverシステムのスキャンを5分で開始しました。

最終的にXpanseはFortune 500を含む50社のグローバル企業に関連する5,000万件のIPアドレスを調査しました。本リサーチでは脅威アクター (攻撃者) と防御者間のせめぎ合いを調査し、脅威アクターは平均インベントリ時間による速度面で大幅に有利なことが分かりました。

従来はグローバルインターネットをスキャンするのに数週間から数か月かかりましたが、現在はIPv4空間内のすべてのパブリックIPアドレスと通信を行うのに45分もかかりません。それとは対照的に、Xpanseの調査によると企業は1日あたり平均2回（12時間に1回）、新しく深刻なセキュリティ侵害に遭っています。

企業の平均インベントリ時間が遅延傾向にある3つの理由

1. 昨今のコロナ禍 (新型コロナウイルス感染症の拡大) におけるテレワークの増加も相まってクラウドへの急速な移行が進み、攻撃可能領域が拡大しています。
2. 平均インベントリ時間の遅延傾向は、脆弱性スキャナーによる既知の情報資産の照会時に、適切なタイミングでCVEデータベースの更新が実施されているかに左右されます。
3. 企業はペネトレーションテスト (実際の攻撃シナリオによるシステムへの侵入テスト) やレッドチーム演習 (専門家が顧客企業に実際に近い攻撃を仕掛けて人や物理的な防御も含めたセキュリティ対策検証サービス) によって四半期ごとにインベントリチェック（情報資産のたな卸し）を行う程度であり、全範囲が十分にカバーされていない場合があります。レッドチーム演習を除き、これらの方策はすべて既知の情報資産の調査に重点が置かれ、未知の資産はチェックされていません。

Xpanseが調査で確認したセキュリティ侵害のうち、79％がクラウド上で起きていたことが判明しました。クラウドは本質的にインターネットに接続されているため、通常のIT工程以外でも公開されたクラウドサービスの新規作成や起動というのは驚くほど簡単です。これらサービスのデフォルトのセキュリティ設定は不十分であることが多く、忘れられることもあります。

拡大するクラウドの攻撃可能領域が、管理体制の変更（合併や買収など）、サプライチェーン、IoTなどが考慮されない従来からあるさまざまな要素と組み合わさった場合、情報資産の漏えいが避けられない可能性があります。しかし、そのことは企業がリスクを受け入れるべきだという意味ではありません。絶えず変化するインフラ状況を人の手で追跡することはほぼ不可能な作業であり、未知の情報資産の検出とそれらが安全であることを確認するには、自動化されたアプローチが必要です。 

平均インベントリ時間と攻撃可能領域の管理

主要なクラウドサービスプロバイダーや動的に割り当てられるISP (インターネットサービスプロバイダ) のアドレス空間を含む、パブリックインターネット上のすべての情報資産、システム、サービスの記録システムが企業には必要です。インベントリは間違いやすい設定を持つ資産を含めた全体を管理する必要があり、インターネットに直結され自組織内にデータが転送されるシステムおよびサービス群と完全かつ正しい形で確実に一致していなければなりません。必要なセキュリティアクションが必要な担当者に通知されるか、場合によっては自動化されなければなりません。

これらはすべて、Cortex Xpanseのような攻撃可能領域管理システムを使用すると簡単に実現できます。攻撃可能領域管理システムでは、企業はほぼ定常的なスキャンを行いながら運用できるようになります。これによりセキュリティチームは攻撃者の目から見た自社の攻撃可能領域全体を可視化でき、新しい脆弱性を24時間体制で探し続けている攻撃者より早く問題点を特定し、解消することができます。

攻撃者は24時間年中無休で活動しているため、セキュリティを守る側も同様に活動しなければなりません。Cortex Xpanseはインターネット上をスキャンし脆弱性の収集および特定を自動化した攻撃可能領域管理（ASM）プラットフォームです。グローバルにインターネットを常に監視し、ユーザー組織の攻撃可能領域を構成する、公開されている脆弱性のある情報資産を割り出し、リスクを評価して優先順位を付け、軽減策を提供します。XpanseのデータはCISO (最高情報セキュリティ責任者) に社外から見た企業の俯瞰図を提供し、攻撃者が脆弱なポイントを綿密に探査しているときに見ている光景を表すものです。

調査の詳細については、下記のCortex Xpanse Attach Surface Threat Report 2021年版（英語）をご覧ください 。なお、日本では、Xpanseが6月1日から提供開始されています。