ブログ

サイバー脅威の監視と管理を改善するための CDM 関連のヒント

ライアン・ジョンソン サムネイル
ライアン・ジョンソン
2020年10月15日公開

2018 年 11 月、議会はサイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) を設立する法案を可決しました。 国土安全保障省の一部門であるCISAは、増大するサイバー攻撃の脅威に対する連邦政府の対応策を提示した。この脅威は、 2015年に人事管理局(OPM)の大規模な情報漏洩により、連邦職員2,200万人の個人データが漏洩した後、一躍注目を集めた。

連邦政府のサイバーセキュリティ向上の重要な要素は可視性であり、これは CISA の継続的診断および軽減 (CDM) プログラムを通じて対処されています。 昨年、議会はCDMの予算を5,350万ドル増額し、このプログラムのために総額2億1,350万ドルを確保した。

このプログラムの目標には、政府機関の脅威対象領域の縮小、サイバー態勢の可視性の向上、対応能力の向上、報告の合理化などが含まれます。 これらの資金が実際に技術投資に投入されるにつれて、政府機関は、単一のベンダーだけでは CDM パズル全体を解決できないという事実を認識する必要があります。

それを念頭に置いて、可視性を実現するのに役立ついくつかのテクノロジーに焦点を当て、それらがどのように相互に関連しているのかを考えてみましょう。

SSL 可視性

まず、一見明白なことから始めましょう。連邦政府機関は、ネットワークに出入りするトラフィックを可視化し、それが悪意のあるものではないことを確認する必要があります。 多くのセキュリティ デバイスはトラフィックを監視して脅威を検出できますが、インターネット データの 90% が暗号化されているため、トラフィックが暗号化されている場合は検出できません。

これはちょっとしたジレンマを表しています。 暗号化はデータのプライバシーを保護できる一方で、マルウェアを偽装する可能性もあります。 この難問は、IP レピュテーション、ポート/プロトコル、URL 分類などのコンテキストに基づいてトラフィックをセキュリティ ツールに送信する前に復号化して再暗号化するSSL 可視性製品を通じて解決できます。

SSL 可視性ツールを使用すると、セキュリティ デバイスは集中的な復号化/再暗号化プロセスに貴重なリソースを浪費することなく、本来の目的であるトラフィックの分析に集中できます。 この重要なステップがなければ、サイバー脅威を完全に可視化することはできません。

監視の改善

政府機関がネットワーク上で送受信されるトラフィックを公開できない場合、それを正しくログに記録することはできません。ログ記録とレポートは、CDM 要件の重要な要素です。 トラフィックを適切に復号化することによってのみ、機関はそれを中央の場所に送信し、記録、監視、報告、さらに分析することができます。

たとえば、適切な復号化とログ記録により、機関は行動分析、人工知能、機械学習を使用してトラフィックの行動分析を行うことができます。 現在、連邦政府の民間機関の 88 パーセントが、まさにそのために Einstein と呼ばれるツールを使用しています。

しかし、もう一度言いますが、これらのパズルのピースはすべてぴったりと合う必要があります。 前述の復号化なしでは高度な分析は実行できません。

資産の保護

SSL 可視性により、暗号化されたストリームが解読され、セキュリティ デバイスがそれらの資産をログに記録して保護できるようになります。 しかし、保護に取り組む方法はたくさんあります。 まず、政府機関はOWASP トップ 10 の脅威と新たなゼロデイ攻撃から自らを保護する必要があります。 もう 1 つの緩和戦略は、トラフィックをログに記録して監視し、分析できるようにすることです。これにより、サイバーセキュリティのさまざまなコンポーネントの相互接続性がさらに強調されます。

同様に、多くのマルチサービスapplication保護プラットフォームは、悪意のあるボット トラフィックからも保護することができ、また保護する必要があります。 あらゆる業界がアカウント乗っ取り、脆弱性の偵察、サービス拒否などの自動化された攻撃に直面しており、連邦政府も例外ではありません。

すべてをまとめる

CISA の CDM プログラムは、政府機関が単一のベンダーでは解決できない複雑だが重要なパズルを提供します。 政府機関は増加する攻撃のリストを防御しているため、資産保護自体には複数のソリューションが必要です。 しかし、トラフィックの復号化やログ記録など、他のチェックボックスをオンにしなければ、その保護は実現できません。

結局のところ、政府機関は目に見えないものを保護することはできません。 これが CDM プログラムの原動力ですが、各機関は可視性を確保するために適切なツールを導入する必要があります。 暗号化されたトラフィックを解読し、それを中央ログに送信し、行動分析を実行し、適切な資産保護を設定することは、良い出発点となります。

ライアン・ジョンソン、F5 連邦ソリューションエンジニアリングリーダー