【レポート】サイバーリスクを事前に特定しインシデントを避けるために必要なこととは？ #SecurityDaysSpring2023

2023.3.16 に行われた Security Days Osaka に行ってきました！

この記事はそのイベントでのセッション サイバーリスクを事前に特定しインシデントを避けるために必要なこととは？ のレポートブログとなります。

セッション概要

何年も多くの予算と工数をかけてセキュリティ対策をしてきたにも関わらず、依然としてインシデントは発生し、対策や対応が後手に回るといった状況は決して少なくありません。 泥縄式に対策する前に、そもそも自社や自社を取り巻くサイバーリスクを具体的に可視化することがまずは大事ではないでしょうか？ いくら高度なセキュリティソリューションを導入していても、例えば公知の脆弱性が放置されていたとしたら、攻撃者に対して大きなアドバンテージを与えることとなります。 本セッションでは、自社や自社を取り巻く環境におけるサイバーリスクを赤裸々に可視化し、セキュリティ対策の足元を見直し、固め直すためのサイバーセキュリティリスク評価支援のためのソリューションをご紹介させていただきます。

スピーカー

（株）パロンゴ
CEO & Co-Founder
近藤 学

レポート内容

• パロンゴ とは
  • 海外製品のリセール
  • Managed SOC の提供など
• 企業のセキュリティリスク状況をOSINT等をベースに可視化
  • 感染を示唆する情報はないか
  • 放置されている脆弱性はないか
  • 空いているポートはないか
• ちゃんとできているかを客観的・継続的・網羅的に確認する必要がある

• 自社の「通知簿」（セキュリティに対するシステムの状況）をきちんと把握する
• 他社の「通知簿」も見たくなる

BITSIGHT

• サイバーセキュリティリスク評価支援サービス
• 自社のシステムがどうなっているいるか可視化することができる
• OSINTをベースに評価
• 例えば、
  • Telnetが空いている、TFTPが空いているなどが企業ではよくある
  • RDP 3389もパブリックで見えている→ユーザーはしらないサーバだったりする
  • Cisco ASA の2年もパッチがあたっていないものが見える

SafeBreach

• セキュリティにもリハーサルが重要

• どうやってやるか？

  • BAS: Breach and Attack Simulation（擬似的に攻撃をしかけるためのツール）
  • ガートナーのハイプ・サイクルでも2022年に初めてBASという分野が入ってきた
• 実際のマルウェア、実際の攻撃手法を使って、セキュリティ対策がどう反応するのかを可視化する

• 防御施策がどれくらい効果的なのか、弱いところはどこかといった点を可視化し、現状のリスク分析から将来的なプランニングに役立てる
• シミュレータを環境にインストールし、マルウェアを動作させたり、攻撃となるパターンを動作させていく

• 攻撃シナリオやプレイブックはUS-CERTが発表するフラッシュアラートにも対応していく

• シミュレータで攻撃した結果、どこに防御の穴があったのかをMITREのマトリクスにマッピングしてヒートマップとして表現してくれる

• SIEMとの統合も可能で、BASでテストした結果をSIEM側で確認していくことが可能

• 大企業の採用事例では、NetflixやServiNowなど

• 金融系やヘルスケアの分野で多く採用される傾向
• 利用ユーザーの中にはEDR製品の選定にBASを使う事例もある

最後に

このセッションでは、２つのセキュリティ製品にフォーカスを当ててセキュリティ強化の提案をされていました。本セッションではデモを使って進められていた部分も多く当ブログだけでは紹介しきることはできなかったのですが、今後の市場でシェア延ばしていくかもしれない BAS という分野でのセキュリティ製品について具体的に知ることができました。
かなりテッキーなソリューションではありますが、BAS についても注目していきたいですね。