カジノサイト
ギャップを埋める: 検出および対応戦略にアイデンティティを統合する
セキュリティ境界はなくなった。その代わりにアイデンティティが存在します。クラウドの導入とハイブリッド作業が標準となっているため、攻撃者は侵入しているのではなく、ログインしているのです。
シスコでは、この傾向を注意深く監視してきました。当社の脅威インテリジェンス組織 Cisco Talosそのアイデンティティは、昨年のすべての侵害の 60% 以上の要因でした。それにもかかわらず、ネットワークとエンドポイントの時代に合わせて構築されたほとんどのセキュリティ スタックは、危険なほど ID の脅威に対して盲目です。
アイデンティティを IT 機能として扱うのをやめ、それを最新のセキュリティ アーキテクチャの中核として認識する時期が来ています。この重大なセキュリティのギャップを埋めるために、リーダーは可視性、適応型防御、アイデンティティを活用した対応という 3 つの柱に基づいて構築された新しいフレームワークを必要としています。
複雑さと自信の危機
アイデンティティに関する現在の問題をより深く理解するには、シスコ650 人の情報技術とセキュリティのリーダー。全体的なメッセージは明確でした。セキュリティ業界はアイデンティティの危機に直面しているということです。現在の ID ツールで攻撃を阻止できると信じているリーダーは 3 分の 1 (33%) だけです。
リーダーの 94% は、アイデンティティ インフラストラクチャの複雑さが全体的なセキュリティを低下させると考えています。これは単なる感情ではありません。それは現実です。さらに、リーダーの 75% は ID の脆弱性について完全な洞察が不足していることを認めており、チームは 1 つの ID 問題を解決するために平均して 5 つの異なるツールを使用しています。この細分化されたアプローチは、人工知能 (AI) を利用して高度なフィッシング キャンペーンを開始する攻撃者にとって完璧な隠れ場所になります。高度な脅威が増加する中、新しく簡素化されたアプローチは単なる選択肢ではなく、必須です。
アイデンティティ第一のセキュリティ プログラム
回復力を構築するには、設計上アイデンティティを優先したセキュリティ プログラムを構築する必要があります。それは 3 つの核となるアクションから始まります。
1. ID セキュリティ体制管理 (ISPM) で完全な可視性を実現
アイデンティティの複雑さは解消されていませんが、目に見えないものを守ることはできません。 ISPM は、アイデンティティ コンテキストを一元管理し、そのコンテキストを使用して、アイデンティティ リスクが悪用される前に継続的に発見して修正する実践です。これは、通常休止状態にあるユーザー アカウントの 24 パーセントを見つけて無効にし、アクティブなアカウントの最大 40 パーセントに強力な多要素認証 (MFA) が不足している場合にギャップを埋めることを意味します。また、これは、請負業者とサードパーティのアクセスの広大で、多くの場合管理されていない境界を保護することも意味します。 ISPM は、すべての ID データ ソースにわたって体系的に防御を強化するための可視性を提供します。
2.プロアクティブで適応的な防御を構築
あまりにも長い間、セキュリティは ID システムに組み込まれてきました。リーダーの 74% は、アイデンティティ セキュリティがインフラストラクチャ計画において後回しになることが多いと認めています。セキュリティ第一のアプローチは、このモデルを反転させます。これは、ID およびアクセス管理 (IAM) システムにデフォルトでセキュリティ機能が備わっており、それらのセキュリティ制御が最新の脅威に対処するために更新されていることを意味します。
回復力を構築するには、設計上アイデンティティを優先したセキュリティ プログラムを構築する必要があります。
MFA は重要なセキュリティ対策でしたが、その有効性は低下しています。初期の形式の MFA、特に SMS や電話で送信されるワンタイム コードを使用するものは、攻撃者がデバイスのスプーフィングに頼ることができるため、バイパスされやすくなっています。
最新のフィッシングを真に防御するには、組織はより強力でフィッシング耐性のある認証を目指し、認証の時点から登録からヘルプ デスクに至る ID ライフサイクル全体に防御を拡大する必要があります。
さらに、より賢明なアクセス決定を行うために、セキュリティ管理をデバイスの状態やユーザーの行動などのコンテキスト情報で強化する必要があります。これは、今日最も一般的な侵害ベクトル、つまり MFA が弱い、または MFA が欠落していることを阻止するために非常に重要です。
3. Identity Threat Detection & Response (ITDR) で対応を強化
ゼロトラストの哲学では、侵害は避けられないと想定しています。攻撃が発生した場合、ITDR で爆発範囲を制限することがすべてです。従来の検出および対応ツールはネットワークとエンドポイントを認識します。 ITDR はアイデンティティを理解しています。
ITDR は、アナリストに IP アドレスを与える代わりに、誰が関与しているか、その役割は何か、その行動が異常かどうかなどの重要なコンテキストを提供します。この ID コンテキストにより、忠実度の低いアラートが対処可能な脅威に変換され、セキュリティ チームが調査時間を短縮し、迅速かつ正確に対応できるようになります。現在、リーダーの 87% が ITDR が重要な能力であると考えていることは驚くべきことではありません。
理論から現実へ
認証情報を盗んだ攻撃者を想像してみてください。従来の環境では、攻撃者はログインに成功します。 SOC チームは漠然としたアラートを受け取り、点と点を結びつけるために何時間も費やしました。
ID 優先モデルでは、認識されないデバイスが使用されているため、システムはログインに高リスクのフラグを立てます。適応ポリシーにより、フィッシング耐性のある MFA プロンプトが即座にトリガーされ、近接性 (ログイン時にユーザーの携帯電話がコンピュータの近くにあること) を証明するか、指紋を使用して生体認証を実行します。攻撃者はブロックされます。 SOC アナリストは、誰がターゲットになったか、そしてなぜ試みが中止されたのかを正確に示す、豊富な状況に応じたアラートを受け取ります。脅威は数時間ではなく数分で抑制されます。それがアイデンティティ中心の防御の力です。
今後の道筋
あまりにも長い間、組織はアイデンティティ セキュリティ戦略を強力な認証に基づいてきました。 MFA だけではもはや十分ではありません。現代の脅威を取り巻く状況では、防御の考え方に根本的な変化が求められています。包括的な可視性、プロアクティブな防御、アイデンティティを強化した対応を中心としたプログラムを構築することで、組織は真の境界を保護できます。今こそアイデンティティをセキュリティの基礎として扱うべき時です。
Matt Caulfield は、Cisco の ID および Duo 担当副社長です。コールフィールド氏は、アイデンティティ脅威の検出と対応 (ITDR) の先駆者であるアイデンティティ セキュリティ スタートアップ企業オールトの買収に成功した後、シスコに入社し、創設者兼 CEO を務めました。コールフィールド氏は以前、シスコの主任エンジニアとしてボストン イノベーション チームを率いていました。エンジニアから起業家に転向した彼の経験は、アイデンティティ、セキュリティ、ネットワーキングに及びます。
