攻撃対象領域管理の必要性について深く考える

著者プロフィール:黄楽、北京張書情報技術有限公司の共同設立者、清流派企業セキュリティサロンの設立者、パブリックアカウント「企業セキュリティ業務記録」のホスト、「企業情報セキュリティ構築の方法」の著者、CCTVネットワークセキュリティ部門の元副部長。彼はエンタープライズ セキュリティの運用と管理において長年の実務経験を持ち、セキュリティ運用、セキュリティ検出と防御、脆弱性管理、コンテンツ セキュリティ、緊急対応などの分野を研究しています。

[[377542]]

著者は 2 年前に「攻撃対象領域管理戦略の包括的分析」というタイトルの記事を書きました。新しく出版された書籍「エンタープライズ情報セキュリティ構築への道」でも、攻撃対象領域管理は技術セクションの第 1 章として取り上げられています。しかし、多くのコミュニケーションと思考を経て、議論が不十分であると感じたので、この記事を書きました。この記事では、セキュリティ ポリシー管理を特定の方法の観点から行う方法について説明するのではなく、アイデアの観点からセキュリティ ポリシー管理の必要性について説明します。

著者は、インターネット アーキテクチャを扱う国営企業で 10 年以上勤務しています。情報セキュリティの責任者として、日々あらゆる面からの課題に直面しています。攻撃への対処、脆弱性の修復、インテリジェンス分析、セキュリティ教育など、業務のさまざまな側面で戦略を考える必要があるだけでなく、技術原理や応用に関する多面的な研究を継続的に行う必要があります。基本的なクラウドおよびビッグデータ技術、セキュリティ分野における AI の実装、さらにはビジネス セキュリティにおけるブロックチェーンの応用などについて、多くの研究が行われてきました。

テクノロジーの分野で働く人は誰でも、最先端のテクノロジーを研究する際には快適ゾーンに入ることになると思いますが、快適ゾーンは往々にして危険を意味します。多くの実践において、AI などの高度なテクノロジーがセキュリティ分野の最上位の問題を解決するために使用されていることがわかります。多くの基本的な問題を解決するには、基本的な方法と戦略が必要です。

情報セキュリティの観点から、最も基本的な問題は攻撃対象領域の管理です。 AIやブロックチェーンの研究に比べると、アタックサーフェス管理はそれほど高度な仕事ではなく、週報を書くときにそれについて言及するのも恥ずかしいほどです。しかし、情報セキュリティ業務を担当したことがある友人は、完全な 4 層セキュリティ戦略システムによってセキュリティ問題の少なくとも半分は解決できることを知っています。この問題を説明するために、まず各人の自宅のセキュリティから始めて、攻撃対象領域管理の重要性を探ってみましょう。

一般的な住宅の場合、主な攻撃対象はドアと窓です。家のセキュリティを担当する者として、毎日鍵の作り方を勉強しながら窓を閉め忘れることはできません。あるいは、「壁が破られたらどうなるか」といった疑問について考えすぎてしまう。むしろ、「どんな鍵や防犯窓が最も効果的か」「外出前にはドアや窓を閉め、知らない人に対しては安易にドアを開けない」といった安全対策に重点を置くべきだ。

それに応じて、企業の情報セキュリティの担当者は、ロック（セキュリティ製品）を作るのではなく、ロック（セキュリティ戦略）を管理する必要があります。

その結果、企業にとってセキュリティ防御戦略を整理することが非常に重要になります。この疑問を念頭に、筆者は2020年10月に青柳牌企業セキュリティサロンに安伯通氏と十数名の企業セキュリティ管理者を招き、徹底的な議論を行った。出席した各社のセキュリティ管理者は総じてこの問題を懸念しており、企業のセキュリティ管理者は総じてかなり実用的であることがわかった。

当日の議論は主に以下の点に焦点が当てられました。

1. ネットワークセキュリティポリシー管理の難しさ

企業のファイアウォール ポリシー管理における難しさは、主に異種性、複雑性、不確実性の 3 つの側面に反映されます。

1) 異種性: 一方で、企業ネットワーク内のファイアウォール ブランドには異種性があり、他方では、ローカルとクラウドの両方に異種環境が存在します。さらに、各デバイスのポリシー ルールの数は一般的に 1,000 を超え、コア エッジ デバイスのポリシー ルールの数は数万に達することもあります。

2) 複雑さ: ファイアウォール ポリシー設定の有効性とリスク分析は、単一のファイアウォールに限定されず、ネットワーク オブジェクト間のアクセス関係とアクセス パスを通じた分析も必要です。複雑なネットワーク構造の場合、グローバル ネットワーク オブジェクトのアクセス パスとアクセス関係を手動で分析することは基本的に不可能です。

3) 不確実性: 複雑なネットワーク構造では、企業はビジネス システムのネットワーク露出を最小限に抑えることができず、ハッカー攻撃の侵入ポイントを減らすことができません。

上記の 3 つの問題により、エンタープライズ ファイアウォール ポリシーの洗練された管理を実装することが困難になり、2 つの結果が生じます。まず、ポリシーを頻繁に変更すると、セキュリティ リスクが発生する可能性が高まります。第二に、多くの人的資源が必要になります。企業によっては、ポリシー管理の作業負荷がセキュリティ運用・保守の作業負荷の最大 40% を占めており、これが他の上位レベルの作業のためのリソースの保証不足に直接つながっています。

2. 解決策

集中型セキュリティポリシー管理システムを導入することで、セキュリティポリシー管理が直面する問題を以下の側面から解決できます。

1) セキュリティ ポリシーのコンプライアンス チェック: オンライン収集を通じて、ファイアウォール、ルーティング スイッチ、負荷分散などのゲートウェイ デバイスのポリシー構成ファイル、ルーティング テーブル情報、ホスト iptables ポリシーが定期的にキャプチャされます。分析後、大量のポリシー ルールを迅速に最適化およびクリーンアップして、ネットワーク リスクとネットワーク アクセス制御デバイスのパフォーマンス負荷を軽減できます。

ホストのiptablesルールの集中表示

ネットワークデバイスのセキュリティポリシーを一元的に視覚化

ネットワークデバイスセキュリティポリシー最適化検査カテゴリ

2) NAT 変換関係分析: NAT が複数階層になると、ネットワーク構造は非常に複雑になります。 NAT セキュリティ ポリシーを包括的に分析すると、セキュリティ インシデントが発生した後の攻撃パスの追跡が容易になります。

NAT関係の概要

3) ホストネットワークの露出リスク分析: ネットワーク全体の露出状況を総合的に分析することで、ユーザーは露出面を管理しやすくなります。

宿主曝露リスクランキング

4) サードパーティシステムとの連携：ユーザーは連携機能を使用して、攻撃経路上のファイアウォールにセキュリティポリシーを発行し、その後の攻撃動作をブロックしてセキュリティ強化を実現できます。一方、リンク方式はファイアウォール設定の精度を向上させ、誤操作を回避できます。一方、構成時間サイクルを大幅に短縮できます。

セキュリティインシデントパスの追跡

最後に

攻撃対象領域の管理はそれほど「ハイエンド」ではありませんが、企業にとって最も費用対効果の高いセキュリティ対策です。攻撃対象領域を効果的に統合することで、企業は最小限のコストで外部のセキュリティ リスクを最小限に抑えることができます。中規模および大規模ネットワークの場合、セキュリティ ポリシー管理プラットフォームを構築または購入することで、体系的かつ自動化された攻撃対象領域の管理を実現できます。