攻めの警備の重要性
サイバー防御者は、サイバー犯罪者やその他のサイバー脅威アクターと常にいたちごっこをしています。 攻撃者が新しいツールや手法を開発すると、防御側はそれらに対する防御を実装します。 次に、攻撃者はこれらの防御を回避しようとします。
組織がサイバーセキュリティに防御的な観点からのみアプローチする場合、組織が開発したツールと防御は、組織が攻撃を受けたときにのみ真にテストされます。 さらに、新しい防御策の開発は、組織の防御の穴を塞ぐために実際に何が必要かについての洞察が限られている状態で、孤立した状態で行われます。
攻撃的なサイバーセキュリティは、防御をテストし、対処する必要があるセキュリティギャップを特定する手段を組織に提供します。 攻撃的なサイバーセキュリティテストは、実際の攻撃をシミュレートすることで、組織に最大のリスクをもたらす脆弱性を特定し、企業が最大の投資収益率を提供するセキュリティ投資と労力を集中できるようにします。
攻めのサイバーセキュリティと守備のサイバーセキュリティ
防御的なサイバーセキュリティには、組織が攻撃から身を守るために行う取り組みが含まれます。 セキュリティソリューションの導入、セキュリティポリシーの制定、 フィッシング攻撃を認識するための従業員のトレーニングなど、あらゆる取り組みが防御の傘下に入ります。 防御的なサイバーセキュリティには、サイバー攻撃の発生を未然に防ぐ試みと、進行中の攻撃を特定、ブロック、軽減しようとする事後的な試みの両方が含まれます。
要するに、攻撃的なサイバーセキュリティは、防御的なサイバーセキュリティが保護しようとしているものです。 サイバー犯罪者は、データを盗んだり、損害を与えたりするために、組織の防御をテストし、回避し、突破します。 倫理的なハッカーは、組織の防御をテストし、回避し、突破して穴を見つけ、実際の攻撃者が悪用する前に修正できるようにします。
成熟したサイバーセキュリティプログラムには、攻撃と防御の両方のサイバーセキュリティ活動が組み込まれています。 この組み合わせは、サイバー脅威から組織を守ると同時に、攻撃的なサイバーセキュリティ技術を使用してこれらの防御を洗練および改善します。
攻撃的なサイバーセキュリティサービスの種類
脆弱性スキャンは、組織のアプリケーションの脆弱性を特定するために使用される自動化されたプロセスです。脆弱性スキャナーは、ターゲット・システムで実行されているアプリケーションを識別し、それらに脆弱性が含まれているかどうかを判断しようとします。 これは、特定のソフトウェアバージョンの既知の脆弱性を探し、一般的な SQLインジェクション 文字列などの悪意のある入力をアプリケーションに送信することで実現できます。
脆弱性スキャンは、サイバー脅威アクターが攻撃に備えて悪用される可能性のある脆弱性を特定するために一般的に使用されます。 定期的に脆弱性スキャンを実行することで、組織はこれらの脆弱性が悪用される前に特定して閉じることができます。
Penetration Testing
ペネトレーション テストは、攻撃的なセキュリティテストの一種で、人間が組織のサイバー防御をテストするものです。 これらの評価は、組織の防御における脆弱性をできるだけ多く特定するように設計されています。
ペネトレーションテストは、人間の知性と知識に基づいているため、自動スキャナーでは見逃される脆弱性を特定できます。 定期的な侵入テストは、人間の攻撃者によって悪用される可能性が最も高い脆弱性を組織が閉じるのに役立ちます。
赤/青/紫のチーミング
レッドチーム演習は、完全に自動化されていないため、人間が実行するという点でペネトレーションテストに似ています。 大きな違いは、レッドチームエンゲージメントは特定の脅威に対する組織の防御をテストするのに対し、ペネトレーションテストはできるだけ多くの脆弱性を特定するように設計されていることです。
青と紫のチーム演習は、演習へのさまざまな関係者の関与とコラボレーションのレベルを指します。 たとえば、パープルチームの演習では、攻撃側の赤チームと防御側の青チームの間で、より多くのコラボレーションと知識の共有が行われます。
レッドチーム評価は、データ侵害やランサムウェアの配信など、多くの場合、特定の目的を持つ実際の攻撃を模倣することを目的としています。 定期的にペネトレーションテストを実施することで、組織は人間の攻撃者が見つけて悪用する脆弱性を特定し、これらのセキュリティギャップを埋めることができます。
ホワイトボックス/ブラックボックス/グレーボックス
ホワイトボックス、ブラックボックス、グレーボックスの演習は、異なる形式の評価ではありません。 代わりに、攻撃者に付与された知識とアクセスのレベルを記述します。 それぞれのアプローチには、それぞれ長所と短所があります。
- ホワイトボックス:ホワイトボックス評価では、評価者は企業のシステムやドキュメントへのフルアクセスを許可され、システム管理者などの強力な内部関係者による攻撃をシミュレートします。この知識とアクセスにより、潜在的な脆弱性の領域に攻撃を集中させることが容易になりますが、テスト担当者がドキュメントによって偏り、システムが実際に何をするかではなく、システムが何をするように設計されているかに焦点を当てるリスクがあります。
- ブラックボックス:ブラックボックス評価では、テスト担当者には知識やアクセス権が与えられず、外部の攻撃者をシミュレートします。この形式の評価はバイアスを減らすのに適していますが、偵察と計画攻撃を実行する必要があるため、時間とリソースが集中的になる可能性があります。
- グレーボックス: グレーボックス評価は、ホワイトボックス評価とブラックボックス 評価 の中間に位置し、テスト担当者に通常のユーザーと同じレベルの知識とアクセスを提供します。 このアプローチは、ブラックボックスとホワイトボックスのアプローチの長所と短所のバランスが取れています。
攻撃的セキュリティテストに対するこれら3つのアプローチは、上記のテストのどの形式にも適用できます。 より多くの知識とアクセスがあれば、ペネトレーションテスターやレッドチーマーは、ブラックボックス評価よりも多くの選択肢を持つことができます。 同様に、追加の知識とアクセスは、脆弱性スキャン用の自動ツールの配置と構成に影響を与える可能性があります。
ソーシャルエンジニアリングテスト
上記のテストの多くは、組織のITシステムを標的とし、デジタル防御を回避することに重点を置いています。 しかし、多くのサイバー脅威アクターは、ソフトウェアの脆弱性を特定して悪用しようとするのではなく、攻撃の人的要素を標的にします。
ソーシャルエンジニアリングテストは、組織の従業員や請負業者などがデータやシステムをどの程度保護しているかを評価することに重点を置いています。 ソーシャルエンジニアは、トリック、操作、および同様の手法を使用して、ターゲットを騙したり、強制したりして、機密データの引き渡しや安全な企業アプリケーションやスペースへのアクセスの許可など、攻撃者に利益をもたらすアクションを実行させます。
チェック・ポイントによる攻撃的なサイバーセキュリティ
攻撃的なサイバーセキュリティテストは、効果的な企業のサイバーセキュリティ戦略に不可欠な要素です。 シミュレートされた攻撃を実行する手段がなければ、組織は防御の有効性と、攻撃者に悪用される可能性が最も高い脆弱性に関する洞察を欠いています。 この情報は、セキュリティ戦略の策定や戦略的投資の計画に不可欠です。
チェック・ポイントは、自動評価と人間主導の評価の両方を含む、さまざまな攻撃的なセキュリティサービスを提供しています。 チェック・ポイントの無料 セキュリティ診断では、対処が必要な環境内の主要な脅威や脆弱性の多くを特定できます。
チェック・ポイントのプロフェッショナル・サービスは 、組織のセキュリティ・プログラムの成熟度向上を支援するために設計されたさまざまなサービスも提供しています。 これには、脆弱性の特定と、サイバー防御を強化し、組織に対するサイバー攻撃を防ぐための短期的または長期的なサポートの提供の両方が含まれます。
Feedback