アタックサーフェスの概念
組織の攻撃対象領域とは、権限のないユーザーが組織にデータを取り込んだり、組織からデータを取り出そうとしたりする可能性のあるすべてのポイントを指します。 例えば:
- 物理デバイス: サーバー、ワークステーション、およびその他のハードウェア。
- デジタル資産: ソフトウェア、ビジネス アプリケーション、およびオンライン サービス。
- ヒューマンファクター: セキュリティ侵害につながる可能性のある従業員の行動と行動。
攻撃対象領域を特定することは、セキュリティ対策を成功させ、ランサムウェアやその他のサイバー脅威から保護するための最初のステップです。
デジタル攻撃対象領域
デジタル出力資産は、攻撃対象領域の重要な部分です。 Webサイト、サーバー、データベース、エンドポイント、クラウドサービス、およびその他の多くのデジタルリソースは、設定ミス、パッチが適用されていない脆弱性、または安全でないインターフェイスを特定することでハッキングされる可能性があります。
企業は、正当なアプリケーション、データベース、サーバー、およびその他のデジタル出力が準拠し、安全であることを確認するために、定期的なチェックを実行する必要があります。
物理的な攻撃対象領域
物理攻撃面は、攻撃される可能性のある物理オブジェクトに関連しています。 これには、次のような物理ハードウェアが含まれます。
- ネットワークデバイス
- オンプレミス サーバー
- ワークステーションなどのエンドポイント
攻撃対象領域のこの部分からのリスクは、データセンターへのアクセス制御や強化されたハードウェアなどの物理的なセキュリティ制御によって劇的に軽減できます。
ソーシャルエンジニアリングの攻撃対象領域
ソーシャルエンジニアリング攻撃 は、人間の無意識の弱点を利用して、不正アクセスを取得します。 フィッシング、プリテキスティング、またはベイトは、ユーザーから情報を引き出したり、知らないユーザーにセキュリティを侵害するアクションを実行させたりするために使用される可能性があります。 従業員は訓練を受け、認識させる必要があります。
攻撃面の縮小 (ASR) ルール
攻撃面の縮小ルールは、次のような一般的な攻撃ベクトルを防ぐオプションと構成のセットです。
- 悪意のある実行可能ファイル: 悪意のあるスクリプトやプログラムの実行をブロックします。
- 不正アクセス: 信頼できないプロセスによる機密性の高いリソースへのアクセスを防止します。
- 脆弱性の悪用: ソフトウェアおよびアプリケーションの既知の脆弱性を軽減します。
主な ASR ルールは次のとおりです。
- 電子メールおよびWebメールクライアントからの実行可能コンテンツをブロックします。 潜在的に有害な実行可能ファイルの実行を防ぎます。
- 高度な保護機能を使用する: 行動分析やその他の監視ツールを組み込んで、サイバー脅威を検出してブロックします。
- 監査モードでルールを適用する: 組織は ASR ルールを適用せずにテストできるため、完全なデプロイメントの前に潜在的な影響を特定できます。
デプロイメント for Attack Surface Reduction
ASRの効果的なデプロイメントには、いくつかの重要なステップが含まれます。
#1.査定
考えられるすべての攻撃対象領域を探します。
次に、現在の状況の分析を行います。 改善と統合には時間がかかります。
#2.ASRルールの実装
ASR ルールを適用して脆弱性を軽減します。 これには、インストゥルメントの微調整や、エンドポイント セキュリティ プラットフォームやその他のセキュリティ管理ツールの設定の構成などがあります。
#3.監査モードでのテスト
ASRルールは、監査モードから徐々にポリシングされるため、ルールを適用する前に評価することができます。たとえば、ルールが運用にどのように影響するかを観察することでビジネスリスクを軽減します。 ロールアウトしたら、誤検知の数を減らし、運用への影響を最小限に抑えます。
4. フルデプロイメント
ASR ルールが調整されたら、スイッチを強制的に切り替えます。 有効性を監視し、必要に応じて繰り返します。
攻撃対象領域を減らすためのベストプラクティス
攻撃対象領域を縮小するには、戦略的なアクションとベストプラクティスを組み合わせる必要があります。
- 定期的な更新とパッチ適用: すべてのシステムとアプリケーションにパッチを適用します。
- ネットワーク セグメンテーション: ネットワークをセグメントに分割して、潜在的な攻撃の拡散を制限します。
- アクセス制御: 多要素認証を含む厳格なアクセス制御手段を実装します。
- 従業員トレーニング: セキュリティのベストプラクティスと潜在的な脅威について従業員を教育します。
- 継続的な監視: ネットワークを定期的に監視して、疑わしいアクティビティや潜在的な脆弱性がないか確認します。
継続的なセキュリティ監視と攻撃対象領域管理
継続的なセキュリティ監視 は、攻撃対象領域の縮小を維持するために不可欠です。 これには以下が含まれます。
- リアルタイムの脅威検出: 当社の強力なセキュリティ兵器は、サイトをリアルタイムで保護し、インターネット上のあらゆる脅威に対して即座に行動を起こすのに役立ちます。
- 定期的なセキュリティ監査: 定期的なセキュリティ監査を実施して、新しい 脆弱性 を特定し、セキュリティポリシーとのコンプライアンスを確認します。
- 自動化されたセキュリティツール: 自動化ツールを使用して、攻撃対象領域の監視と管理の労力を削減します。
IGSによる攻撃対象領域管理
チェック・ポイントのInfinity Global Services(IGS)は、組織が状況を調査し、脆弱性を特定して軽減するのに役立つ強力な攻撃対象領域管理ソリューションを提供します。 IGSが提供する External Attack Surface Assessment を使用して、アタックサーフェスの管理への道のりを始めましょう 無料の デモにサインアップしてください。
フィードバック