史上最大のサイバーセキュリティ障害

1000万台近くのマシンを「ブリック」させたCrowdstrikeの欠陥は、業界にとって警鐘を鳴らしています。今では、私たちのほとんどは何が起こったのかを知っていて、物事の修正に忙しくしています。そして修正はすべてのマシンに物理的にアクセスする必要がある手動プロセスです。リモートワーカーやハイブリッドワーカーの場合、復旧には影響を受けたマシンに管理者権限を与える必要があります（その後、リスクを回避するために管理者権限を取り消すか、管理する必要があります）。

これらのマシンに依存する作業者は、企業支給のマシンが利用できるようになるまで、管理されていないデバイスや個人のデバイスで作業する必要があります。そのため、管理対象外のマシン、スマートフォン、個人用Apple macOSマシンで多くの作業が行われます。そうしないと、作業がまったく完了しません。作業をするためには、管理対象外デバイスを利用しなくてはならないのです : 考えてみてください。

非難ではなく全体像を見る

今後、管理されていないマシンの価値を検討し、それらに ゼロトラストを施す必要があります。企業支給のPCがなくても、やむを得ず仕事をこなす必要がありました。事業継続の一環として、そのための計画を立てるべきかもしれません。

しかし今のところ、SOCチームは、ITチームを動員することに加えて、問題の解決策になりすましてフィッシングを試みたり、マルウェアを配信しようとする日和見的なサイバー攻撃にも注意する必要があります。

既に、 Menlo Securityは CrowdStrikeになりすまし、マルウェアを配信する手段として修正プログラムの提供を利用しているWebサイトを特定しました。メンロクラウド内の複数の企業テナントにまたがるこのようなURLとドメインが数十件あることが特定され、阻止されました。最も一般的な攻撃は、crowdstrike0day [.] comとcrowdstrikebluescreen [.] comからのものです。

次の図は、代表的なページです。

企業は通常の運用に戻すことに重点を置いていていますが、SOCチームは警戒する必要があります。これらのURLの50％以上は、従来のセキュリティゲートウェイやクラウドサービスでは「悪い」として分類されていません。これらの攻撃に使用されているのは LURE（Legacy URL Reputation Evasion：レガシーURLレピュテーション回避）で、従来のツールでブロックされることもありません。これらURLは「未カテゴリー」と「健康と医療」に分類されていて、レガシー防御策を通しても許可されてしまうでしょう。

サイバーセキュリティレジリエンスの再考

回復したら、なぜこのようなことが起こったのかを考える必要があります。なぜ私たちの企業はセキュリティセンサーの更新に対して回復力がないのでしょうか？エンドポイント保護は、とりわけネットワークテレメトリを監視するように拡張されました。これらのセンサーは、次世代のAVおよびエンドポイント検出からネットワークイベント監視へと進化し、長年にわたってますます複雑になっています。センサーは、プロセス間通信を含む動作を動的に監視します。一言に複雑だと言っても足りないほど複雑なのです。

今は、このような機能停止を引き起こした最新のベンダーを非難する時ではありません。このような機能停止は、ほとんどの大規模なエンドポイントセキュリティツールが原因であった可能性があります。この障害は大規模でしたが、セキュリティツールやシステムによるサービスの中断は珍しくありません。

2021年には、 企業の 50% 以上 でセキュリティツールによる停止が報告されました。ジュニパーネットワークスには、コードの整合性に問題がありました。マカフィーはかつて、クラウドストライクの欠陥と同様の問題を抱えていました。ソーラーウィンズのOOF。ある大手WiFi企業が最近、大規模な停電に見舞われました。CitrixBleed、VMware Horizon の Log4Shell。そして、気の毒なイヴァンティは最近大変な思いをしています。報告されているシステム停止率は、おそらく現在の 50% をはるかに上回っています。

今週のウェビナーでガートナーのアナリストは、この最新の問題を「ブラックスワン」イベントと呼んで議論しました。彼らは、ITチームがこのような更新プログラムを展開する前にテストすることを提案しました。このアプローチは大規模に実現可能ではありません。このような更新は 1 日に複数回行われることがあり、その配布を遅らせると、攻撃者が勢いを増すリスクが高まるため、IT チームに負担がかかることになります。ガートナーのアナリストも、次のような明らかな理由から、複数のエンドポイントセキュリティ製品の使用を推奨しませんでした。

1. センサーが2つあれば、このようなことが起こるリスクは2倍になります。
2. 非常にコストがかかります。

そのパネルディスカッションの間、 ジョン・アマート は現在のセキュリティに代わるものを検討する際には、検討中のベンダーに対して以下の重要な質問をするべきだと提案しました。彼は、Crowdstrikeの代替提案をしてくるいかなるベンダーにも同様に、次のことを尋ねるべきだと言うのです。

「なぜあなたの製品がこの問題の影響を受けないと言えるのでしょうか？」

それは重要な質問です。より一般的には、現在の企業セキュリティアーキテクチャの文脈で尋ねる必要があります。

最新のセキュリティアーキテクチャの採用

Crowdstrikeの停止により、根本的な欠陥が明らかになりました。それは、複雑なエンドポイントソフトウェアのインストールに過度に依存しているということです。何十年もの間、私たちはアンチウイルス（AV）、エンドポイント保護プラットフォーム（EPP）、エンドポイント検知／対応（EDR）、拡張検知／対応（XDR）を重ねてきました。しかし、このアプローチは、それ自体の複雑さの重みで崩壊しがちな、壊れやすいカードハウスを作り出してしまいました。

今日のニーズと脅威に対処するには、抜本的な転換が必要です。

• エンドポイントのインストールを効率化: エンドポイントソフトウェアを複雑にすることは避けてください。新しい機能やエージェントを更新するたびに、機能停止や脆弱性のリスクが高まります。
• 事業運営の見直し: インターネットは現代のビジネスの生命線です。私たちのセキュリティ戦略は、この現実を妨げるのではなく、反映する必要があります。‍
• ゼロトラストを採用: 管理対象システムと管理対象外システムの両方で機能するゼロトラストアクセスモデルであり、エンドポイントソフトウェアのインストールを複雑にすることなく、このような欠陥が発生しても耐えることができます。

しかし、よりレジリエントなセキュリティソリューションとはどのようなものでしょうか。ジョン・アマート氏の問いは、「製品がこの問題の影響を受けないためには、いったい何が必要なのか」という問いかけです。探すべきものは次のとおりです。

• カーネルに依存しない操作: オペレーティングシステムカーネルの外部で動作させることで、マシンが「ブリック」されるリスクがなくなります。さらに良いことに、追加のエンドポイントソフトウェアをインストールしなくても、ローカルのオペレーティングシステムとは独立して運用する。
• エフェメラルセッション: 欠陥のあるソフトウェアや悪意のあるソフトウェアが保存されないように、ユーザーセッションごとにインスタンス化、調整、廃棄してください。
• 強固な脅威対策: フィッシングやマルウェアの配信から確実に防御します。
• シームレスなアクセス: ユーザーは、セキュリティを犠牲にすることなく、必要なリソースにアクセスできる必要があります。つまり、デバイスやネットワークに関係なく、アプリケーションやデータへの安全なアクセスを提供できるということです。

もちろん、このような製品はすべてのユースケースに当てはまるわけではありません。CTスキャンマシンと航空会社の予約システムには、ソフトウェアをインストールする必要があります。もちろん、電子投票機は管理とセキュリティを確保する必要があります。彼らはすべてエンドポイントセキュリティソフトウェアを必要としています。ただし、エンドユーザーデバイスの大部分では、セキュリティと回復力を優先する軽微なアプローチが実現可能であり、必要です。

適切な質問をする

エンドユーザーのマシンにはエンドポイント保護が必要です。また、マルウェア、フィッシング、ソフトウェアの欠陥からユーザーを保護できる必要があります。Crowdstrikeの障害から回復するにあたり、セキュリティアーキテクチャを再検討し、いくつかの難しい質問をするのは理にかなっています。

• ファイアウォールとエンドポイントソフトウェアのインストールですべてを解決する、というやり方を長く続けているのではありませんか？エンドポイントソフトウェアの自動操縦のみを許可しているのでしょうか？
• 「セキュア サービス エッジ」は本当に仕事を成し遂げているのでしょうか？VMware HorizonまたはCitrixBleedのLog4Shellはまだ心配ですか？
• そのゼロトラスト構想はどうなっているのでしょうか？ユーザーとエンドポイントを脅威から保護する別の方法はありますか?
• ネットワークを厳密に分離しても、VPN 接続を使わずに情報やツールへのアクセスを提供できますか？

また、ユーザーの働き方を見直す時期でもあります。ユーザーの 50% は完全にブラウザ内で作業でき、80% のユーザーは自分の仕事の 80% をブラウザ内で行うことができます。パソコンのメインオペレーティングシステムはマイクロソフトウィンドウズですが、Google ChromeとMicrosoft Edgeは、私たちの仕事の多くをこなす場所として台頭しています。以来 エンタープライズブラウザー が、ほとんどの作業者が使用する主要なツールとして登場しました。そろそろブラウザについて考える時期かもしれません。

ブラウザファーストのセキュリティ

エンドポイントとネットワークの保護は依然として重要ですが、私たちの仕事におけるブラウザーの役割の増大を無視することはできません。CrowdStrikeの停止により、1つのソフトウェアの不具合が生産性を損なう可能性があることが浮き彫りになり、企業ブラウザセキュリティを当社のより広範なリスク管理戦略に統合する必要性が浮き彫りになりました。

単にエンドポイントセキュリティソフトウェアを増やすだけでは答えにはなりません。代わりに、すでに持っているツール、つまりブラウザを活用しましょう。Google Chrome、Microsoft Edge、または Apple Safari を使用していますが、すでに適切なツールが手元にあります。問題は、どうすればそれを優位性に利用できるかということです。

エンドポイント保護製品を急いで交換する代わりに、次の点を検討してください。

• このシステム停止の影響を軽減するには、他にどのようなアプローチをとればよかったでしょうか。
• どのようなアプローチによって、より簡単に、より安価に復旧できたのでしょうか。
• エンドポイントソフトウェアのインストールを複雑にすることなく、既存のブラウザがどのように役立つのでしょうか。

CrowdStrikeがこの問題に対処する可能性は高いですが、積極的な対策を検討するのが賢明です。

効果的な企業セキュリティには、エンドポイントとネットワークを保護および管理する必要があります。クラウドストライクとマイクロソフトは実績のあるEPPオプションです。さまざまなネットワークセキュリティプロバイダーが残っています。しかし、企業ブラウザを保護しているのは誰でしょうか。私たちのほとんどが仕事の大半を費やしているブラウザも、管理と保護が必要です。

ブラウザ分野では、実際には選択肢は一つです：Menlo Security およびセキュアクラウドブラウジング。Menlo Securityは、管理対象マシンと非管理対象マシンの両方で、ビジネスに支障のない方法でブラウザコンテキストをセキュリティアーキテクチャに追加します。レガシーアプローチが失敗し、時にはそれ自体がリスクをもたらすことさえありますが、Menloはユーザーと企業が必要とする安全性とアクセスを提供します。Menlo Securityを使用すると、妥協することなく、またマシンをブリックするリスクを増やすことなく、世界中の人々が安全に接続し、通信し、コラボレーションできるようになります。

ブラウザをセキュリティアーキテクチャに追加することについて他の人が何を言っているかを見てください： コールファイアのガイド または GigaOM による分析。

エンタープライズブラウザソリューションをより詳しく、ブラウザセキュリティによって「ブラックスワン」やサイバー攻撃に対するビジネスの回復力がどのように高まるかについては、Omdiaのレポートをご覧ください 。