未知の資産とクラウドのダイナミズムで、すべての組織にアタックサーフェスのリスクが生じています。
セキュリティ チームは、これらの露出を理解することで、アタックサーフェスを縮小して組織を予防的に保護することができます。以下の調査結果は、Cortex Xpanseを使用して12ヶ月以上かけて収集した広範囲にわたる露出および脅威のデータから集めたもので、インターネット経由でアクセス可能なこれらの暴露に関する見識を得ることができます。
未知の露出を積極的に見つけて修正
Xpanseはアクティブなアタックサーフェス管理プラットフォームであり、インターネットに公開されているシステムでの露出を発見・自動修正できるよう組織をサポートします。組織はXpanseを使用することで、認識していたよりも30~40%多く環境内にある資産を日常的に発見できます。
上部コーナーの境界線上部コーナーの境界線
赤色の線
設定ミスのあるデータベース
セキュリティが脆弱でデータ侵害を受けやすいデータベース。例: オープンしたMongoDBインスタンス、保護されていないMySQLサーバなど。
赤色の線
安全でないファイル共有システム
適切なセキュリティが不足し、侵害のリスクのあるファイル転送システム。例: 暗号化されていないFTP、保護されていないTelnetなど。
赤色の線
設定ミスのあるITおよびセキュリティ インフラストラクチャ
誤って設定されたネットワークにより、不正アクセスを招く。例: ファイアウォール管理者のページ、不適切な設定のVPNなど。
赤色の線
フェイク
フェイク
赤色の線
露出したリモート アクセス サービス
保護されていないリモート アクセス ポイント、不法侵入を受けやすい。例: オープンしたRDPポート、脆弱なSSH認証など。
赤色の線
フェイク
フェイク
赤色の線
ビル管理システム
インフラストラクチャ管理システム、サイバー攻撃に対して潜在的に脆弱。例: 脆弱なHVACシステムなど。
0 自動解決済みの問題。5 入力待ちの問題。
最新のIT環境のダイナミックな性質を評価するために、ある組織で6ヶ月間にわたって使用されている、多くのクラウド プロバイダで実行中の新規および既存のサービスの構成を調査しました。
クラウドのアタックサーフェスの絶え間ない変化
クラウドのダイナミズムでセキュリティ制御が損なわれる
外部からアクセス可能なクラウド サービスの平均20%以上が毎月変化しています。継続的な可視性がなければ、偶発的な設定ミスと組織内でのシャドーITの絶え間のない拡散を見失いやすくなります。
見識
20%
重大なクラウドベースのITインフラストラクチャが毎月変化する割合
45%
毎月の変化によって生じる新しいリスクの割合
アタックサーフェスは絶えず変化するため、組織は積極的に監視する必要があります。継続的な可視性がなければ、未知の定型的な露出が発生し、攻撃者による悪用を許すことになります。”
Matt Kraning (Cortex Xpanse、CTO)
Unit 42®は、30件の共通脆弱性識別子(CVE)に基づく脅威インテリジェンスを分析して、攻撃者がどのくらい速く脆弱性の悪用を開始できるのかを明らかにしました。
機械的なスピードで動く攻撃者
CVEの発表後数時間以内に、攻撃者はエクスプロイトを開始
特筆すべき点として、CVEによる脆弱性開示から数時間以内に30件のうち3件の脆弱性が悪用されました。また、開示から12週間以内に30件のうち19件の脆弱性が悪用されていますが、これは不完全で一貫性のないパッチ プログラムに関連するリスクを反映しています。
見識
3/30
開示から1週間以内に
標的となった
CVE関連の露出の割合
19/30
12週間以内に標的となった
CVE関連の露出の割合
留意すべき重要な点は、CVEは公開された場から消える可能性があるものの、潜在的な脅威アクターに関連したまま残ることです。したがって、組織は露出を継続的に発見・修正してアタックサーフェスを縮小する必要があります。”
Greg Heon (Cortex Xpanse、製品担当シニア ディレクター)
Unit 42はランサムウェア オペレータが積極的に悪用した15件のリモート コード実行(RCE)の脆弱性を分析しました。これらのCVEは、脅威アクター グループと、脆弱性開示から12ヶ月以内に行われたアクティブな悪用に関するインテリジェンス情報に基づいて選択されたものです。
ランサムウェアの配布
同日のランサムウェア配布
脆弱性開示から数時間以内に脅威アクターはこの重大なRCE脆弱性のうち3件を標的とし、8週間以内に6件を悪用しました。
見識
3/15
CVE開示から数時間以内に
標的となった
CVE関連の露出の割合
6/15
CVE開示から8週間以内に
脅威アクターに悪用された
CVE関連の露出の割合
防御側は、攻撃者に見つかる前にアタックサーフェスの重大な露出を発見・修正する必要があります。このとき頼りになるのは、自動修復機能以外にありません。”
Marshall Kuypers (Cortex Xpanse、テクニカル イネーブルメント担当ディレクター)
2022年版のUnit 42インシデント レスポンス レポートによると、成功したランサムウェア攻撃の20%にブルートフォース認証情報攻撃によるものでした。米国政府のCISAおよびNSAからの最近の勧告では、サイバー犯罪者が非常に脆弱な攻撃ベクトルとしてRDPを執拗に標的化していることが確認されています。
ランサムウェアの配布プロトコル
ランサムウェアを招くリモート アクセスの露出
このレポートで分析した組織の85%において、1ヶ月の間にインターネット経由でアクセス可能なオンラインのRDPインスタンスが最低でも1つありました。 600 件を超えるインシデント対応事例を対象とした 2022 Unit 42 のインシデント対応レポートでは、対象となった組織の 50% が、主要なインターネット接続システムに多要素認証(MFA)を導入していないことが明らかにされています。
見識
85%
このレポートで分析した組織のうち、1ヶ月の間にインターネット経由でアクセス可能なオンラインのRDPインスタンスが最低でも1つあった組織の割合。
RDPをブルートフォース攻撃するのは簡単です。ですので、組織は環境内でRDP露出を特定し、解消する必要があります。必要であれば、MFAを有効にし、その他の補完的な制御を利用することをRDP使用の条件にします。”
Ross Worden (Unit 42、シニア コンサルティング ディレクター)
世界中の組織がお決まりの設定ミスやアクシデントを経験しており、これが原因で、インターネットを介した組織の侵害が容易になっています。
アタックサーフェスの主な露出
定型的な露出がもたらす容易なアクセス
Webフレームワークの乗っ取りに関する露出、リモート アクセス サービスの露出、ITおよびセキュリティ インフラストラクチャの露出を合わせると、グローバルなアタックサーフェスでのすべての露出の60%以上を占めます。的確な制御とアタックサーフェスの縮小を可能にするために、組織はこれらの露出を毎日処理し、解消する必要があります。
見識
23%
すべての露出のうちWebフレームワークの乗っ取りに関する露出が占める割合。この露出を利用することで、攻撃者は脆弱なソフトウェアを実行しているWebサイトを積極的に見つけ出し、標的化できます。
20%
すべての露出のうち、ブルートフォース攻撃に対して脆弱なリモート アクセス サービスが占める割合。
ITおよびセキュリティ インフラストラクチャの露出は、組織に重大なリスクをもたらします。 攻撃者はこうしたシステムに狙いを定めて組織に侵入し、組織のセキュリティ対策を侵害・無効化します。こうした露出を解消するには、継続的な可視化と自動化が役に立ちます。”
Dominique Kilman (Unit 42、コンサルティング ディレクター)
2023年版Unit 42アタックサーフェス脅威レポート
世界中のさまざまな業界においてアタックサーフェスの露出がいかに独特で持続的なのかを解説します。最新のASMレポートをダウンロードしてください。