カジノサイト
責任の所在を問うゲーム: 赤チームの調査結果が縦割りに分かれると緊張が高まる
多くの組織がサイバーセキュリティのテストや演習を定期的に実施しているが、サイバー侵入と物理的侵入を組み合わせてセキュリティ プログラムの一部だけでなく全体をテストするハードペネトレーション テスト計画を定期的に制定している組織はほとんどないと、セキュリティ設計、コンサルティング、マネージド サービス会社 ZBeta の情報セキュリティ ディレクターである Chris Tallerico 氏は述べています。
「どこでもセキュリティは強化されていますが、計画やレッドチームの演習に関しては、私の経験では、物理的なセキュリティよりもサイバーの方が少なくとも 20 対 1 優れています」とタレリコ氏は言います。 「物理的なセキュリティ担当者があまりレッドチームを組んでいるのをまったく見かけませんし、サイバーセキュリティではよくある机上演習にも参加していないのは確かです。」
レッドチームの演習は多くの場合、サイバーターゲットを狙い、セキュリティ上の脆弱性の深刻さを実証するために可能な限り最も貴重な情報にアクセスしようとします。しかし、物理的なセキュリティのリスクと目的とのバランスがますます高まっていると、ZBeta のシニア コンサルティング エンジニアである PSP のブレット ゼルニオ氏は述べています。
「収束は終わった」とゼルニオは言う。 「すべてが収束しました。そして、物理的セキュリティかサイバーセキュリティのどちらかが欠けていると、それが失敗になると私は信じています。立場を強化し、施設を保護するには、均等なバランスが必要です。」
タレリコ氏はこう付け加えています。「サイバーセキュリティの最初のステップは、物理的なセキュリティです。私はあなたに世界最高のサイバーセキュリティ機器を 1,000 万ドルで販売できますが、ドアのロックを解除したままにしておくと、私がお手伝いできることはほとんどありません。」
タレリコのレッドチームの仕事では、サイバーセキュリティとはまったく関係のない戦術を使用して、重要なサイバーセキュリティ施設に定期的にアクセスしていました。これには、フロントデスクの警備員に屋上の検査を行うために現場にいると告げる前にヘルメットと安全ベストを着用することや、身体検査や安全装置を利用することが含まれます。論理アクセス制御システムの設計上の脆弱性。
「私の同僚は、サイバー施設の物理的なセキュリティを真剣に考えていないと言います。」と彼は言います。 「これは大きな問題であり、重要な産業制御に目を向け始めると、問題はさらに大きくなります。発電所、変電所、風力発電所、水処理施設は、サイバー資産の物理的セキュリティに関して最も保護されていない施設の 1 つであり、多くの場合、ドアは大きく開いています。」
Zelnio 氏はさらに付け加えます。「レッドチームがやって来て、人々が無視している基本的なセキュリティ衛生項目の食料品リストを持っており、それらの基本的なものを悪用しようとしています。それが、技術者がアクセス コントロール パネルで使用する共通キーであれ、不十分なパスワード管理であれ、ソーシャル エンジニアリングの弱点であれ、」
「鍵は素晴らしいですが、本当のアキレス腱は人間です」とタレリコ氏は言います。
しかし、レッドチーム演習の後、この態度は変わる可能性があります…しかし一夜にして変わるものではありません。タレリコ氏は、通常、顕著な考えの変化が起こる可能性は 50/50 であると言います。一部の組織では、サイバーセキュリティと物理セキュリティの専門家が演習後に協力する代わりにお互いを非難し、姿勢や指差しに発展する可能性があります。 IT 部門はセキュリティ チームを非難し、セキュリティ チームは請負業者、警備員、アクセス制御システムの現場技術者に責任を転嫁するだろうと彼は付け加えた。
レッドチームがやって来て、人々が無視している基本的な安全衛生項目の食料品リストを持っており、それらの基本的なものを悪用しようとしています。
「時折、この問題を非常に真剣に受け止め、[レッドチームの調査結果]を修正するための計画を立ててくれるクライアントを見つけることがあります。」とタレリコ氏は言います。 「しかし、残念なことに、私は以前にレッドチームを組んだのと同じサイトに戻り、同じ妥協策を使ってアクセスを複数回行ったことをお伝えできます。」
ただし、一部の脆弱性はすぐに注目される可能性が高くなります。
あるクライアントは、安全でエアギャップのある隔離されたネットワークを誇るサイバーセキュリティの姿勢を特に誇りに思っていました。しかし、Zelnio 氏と彼のチームは、同社のサイバーセキュリティ ベンダーがメンテナンスを容易にするためにシステムにショートカットを組み込んでいることを発見しました。これらのショートカットにより、攻撃者はシステムに繰り返し侵入することも可能になりました。この発見はクライアントに衝撃を与え、ほぼ即座に行動を起こさせた、と彼は付け加えた。
サイバーセキュリティ請負業者がバックドアを開いたままにすることはほとんどありませんが、アクセス制御空調設備、ビル管理システム請負業者は、現場技術者が重要なインフラにアクセスできるようにするために行っている、とタレリコ氏は言います。
デバイスのパッチ管理—ビデオ監視カメラを含む—これも、レッド チームや攻撃者が悪用できる、もう 1 つの主要な一般的な脆弱性であると彼は指摘します。
IT 側では、ほとんどの組織が非常に厳格なパッチ管理計画に従っていますが、その規律はまだ物理的なセキュリティ デバイス管理にまで及んでいません。
タレリコ氏は、レッド チームに所属していたとき、「ネットワーク上に設置していた物理セキュリティ システムの 99 パーセントにパッチが適用されていないままであり、既知のエクスプロイトに対して無防備なままになっていた」と述べています。
クレア・メイヤーはの編集長ですセキュリティ管理。 LinkedIn で彼女とつながるか、メールで直接連絡してください。[email protected].
