CISA サイバーレジリエンスを強化する: 米国の重要インフラ部門組織のCISAレッドチームアセスメントからの洞察 (2024.11.21)
こんにちは、丸山満彦です。
CISAが、米国の重要インフラ部門組織に対して、CISAレッドチームが実施したアセスメントからの洞察を公表していますね...
Mitigation(緩和策)の部分に
重要インフラ組織のシステムに財弱性(内部統制の不備といってもよいと思います)があるが、それは、、、
CISAは、安全でないソフトウェアがこれらの欠陥の多くの根本原因であり、エンドユーザーに責任が及ぶべきでないことを認識し、ソフトウェア製造事業者に以下のことを実施するよう促している:
ということで、
- ソフトウェア開発ライフサイクル(SDLC)全体を通じて、製品アーキテクチャにセキュリティを組み込む。
- デフォルトのパスワードをなくす。ソフトウェアにデフォルトのパスワードをプロバイダしてはならない。デフォルトパスワードをなくすには、インストールと構成の際に、管理者が強力なパスワードを設定するよう要求する [CPG 2.B]。
- 一つのセキュリティ管理が侵害されても、システム全体が侵害されないように製品を設計する。例えば、危殆化したアカウントの影響を軽減するために、デフォルトでユーザ特権を狭く設定し、ACL を採用する。これにより、悪意のあるサイバー行為者が特権をエスカレートさせ、横展開がより困難になる。
- 特権ユーザーに対してMFA(理想的にはフィッシングに強いMFA)を義務付け、MFAをオプトインではなくデフォルトの機能にする。
- システムをデフォルトでセキュアにすることに重点を置き、ハードニング・ガイドのサイズを小さくする。このシナリオでは、レッドチームは、特権アカウントの列挙を可能にする Windows Server 2012 のデフォルト設定に気づいた。
- 重要なこと:製造事業者は、ハードニング・ガイドを解釈する時間、専門知識、および認識を持つ輸入事業者に依存するのではなく、製品に組み込まれた日常的なナッジを実装する必要がある。
といっています。。。
事業者で発生しているサイバーインシデントの多くの原因は、しょぼいベンダーのシステムのせいで、ベンダーはまともにシステムつくれや...といっているようにも聞こえます。個人の感想です(^^)
この雰囲気からすると、ベンダーが開発したシステムの脆弱性について、場合によっては厳しく対応をしていくようになるかもしれませんね...
それから、重要インフラのシステムについては、(止められないという問題があるかもしれませんが...)レッドチームアセスメントはデフォルトdえするという方がよさそうですね...
● CISA
Enhancing Cyber Resilience: Insights from CISA Red Team Assessment of a US Critical Infrastructure Sector Organization | サイバーレジリエンスを強化する: 米国の重要インフラ部門組織のCISAレッドチームアセスメントからの洞察 |
Executive Summary | エグゼクティブサマリー |
The Cybersecurity and Infrastructure Security Agency (CISA) conducted a red team assessment (RTA) at the request of a critical infrastructure organization. During RTAs, CISA’s red team simulates real-world malicious cyber operations to assess an organization’s cybersecurity detection and response capabilities. In coordination with the assessed organization, CISA is releasing this Cybersecurity Advisory to detail the red team’s activity—including their tactics, techniques, and procedures (TTPs) and associated network defense activity. Additionally, the advisory contains lessons learned and key findings from the assessment to provide recommendations to network defenders and software manufacturers for improving their organizations’ and customers’ cybersecurity posture. | サイバーセキュリティ・インフラセキュリティ庁(CISA)は、重要インフラ組織の要請を受けてレッドチーム評価(RTA)を実施した。RTAの間、CISAのレッドチームは、組織のサイバーセキュリティ検知・対応能力を評価するために、実際の悪意あるサイバー操作をシミュレートする。アセスメントを受けた組織と連携して、CISA はこのサイバーセキュリティ勧告を発表し、レッドチームの活動(戦術、技術、手順(TTP)、関連するネットワーク防御活動を含む)を詳述する。さらに、本アドバイザリーには、アセスメントから得られた教訓や重要な発見が含まれており、ネットワーク防御者やソフトウェア製造事業者に対し、組織や顧客のサイバーセキュリティ態勢を改善するための推奨事項を提示している。 |
Within this assessment, the red team (also referred to as ‘the team’) gained initial access through a web shell left from a third party’s previous security assessment. The red team proceeded to move through the demilitarized zone (DMZ) and into the network to fully compromise the organization’s domain and several sensitive business system (SBS) targets. The assessed organization discovered evidence of the red team’s initial activity but failed to act promptly regarding the malicious network traffic through its DMZ or challenge much of the red team’s presence in the organization’s Windows environment. | このアセスメントの中で、レッドチーム(「チーム」とも呼ぶ)は、サードパーティが以前に行ったセキュリティアセスメントから残されたウェブシェルを通じて最初のアクセスを得た。レッドチームは、非武装地帯(DMZ)を通過してネットワークに侵入し、組織のドメインと複数の機密業務システム(SBS)を完全に侵害した。アセスメントを受けた組織は、レッドチームの最初の活動の証拠を発見したが、DMZを通過する悪意のあるネットワーク・トラフィックに関して迅速に行動することができず、組織のWindows環境におけるレッドチームの存在に異議を唱えることもできなかった。 |
The red team was able to compromise the domain and SBSs of the organization as it lacked sufficient controls to detect and respond to their activities. The red team’s findings illuminate lessons learned for network defenders and software manufacturers about how to respond to and reduce risk. | レッドチームは、彼らの活動を検知し対応するための十分な管理体制を欠いていたため、組織のドメインとSBSを侵害することができた。レッドチームの調査結果は、ネットワーク防御者とソフトウェア製造事業者にとって、リスクへの対応とリスク軽減のための教訓となった。 |
・Lesson Learned: The assessed organization had insufficient technical controls to prevent and detect malicious activity. The organization relied too heavily on host-based endpoint detection and response (EDR) solutions and did not implement sufficient network layer protections. | ・教訓:アセスメントを受けた組織は、悪意のある活動を防止・検知するための技術的コントロールが不十分であった。この組織は、ホストベースのエンドポイント検知・対応(EDR)ソリューションに過度に依存し、十分なネットワーク層の防御を実装していなかった。 |
・Lesson Learned: The organization’s staff require continuous training, support, and resources to implement secure software configurations and detect malicious activity. Staff need to continuously enhance their technical competency, gain additional institutional knowledge of their systems, and ensure they are provided sufficient resources by management to have the conditions to succeed in protecting their networks. | ・教訓:この組織のスタッフは、安全なソフトウェア設定を実装し、悪意のある活動を検知するために、継続的なトレーニング、サポート、およびリソースを必要としている。職員は継続的に技術的能力を向上させ、機構に関する知識を深め、経営陣からネットワーク保護に成功するための十分なリソースを提供されるようにする必要がある。 |
・Lesson Learned: The organization’s leadership minimized the business risk of known attack vectors for the organization. Leadership deprioritized the treatment of a vulnerability their own cybersecurity team identified, and in their risk-based decision-making, miscalculated the potential impact and likelihood of its exploitation. | ・教訓:この組織のリーダーシップは、組織にとって既知の攻撃ベクトルによるビジネスリスクを最小化した。リーダーシップは、自分たちのサイバーセキュリティチームが特定した脆弱性の扱いの優先順位を下げ、リスクベースの意思決定において、その脆弱性が悪用された場合の潜在的な影響と可能性を誤って計算した。 |
To reduce risk of similar malicious cyber activity, CISA encourages critical infrastructure organizations to apply the recommendations in the Mitigations section of this advisory to ensure security processes and procedures are up to date, effective, and enable timely detection and mitigation of malicious activity. | 同様の悪意あるサイバー活動のリスクを低減するため、CISA は重要インフラ組織に対し、セキュリティ・プロセスと手順が最新かつ効果的で、悪意ある活動のタイムリーな検知と緩和を可能にするよう、本アドバイザリの緩和セクションの推奨事項を適用することを推奨する。 |
This document illustrates the outsized burden and costs of compensating for insecure software and hardware borne by critical infrastructure owners and operators. The expectation that owners and operators should maintain the requisite sophisticated cyber defense skills creates undue risk. Technology manufacturers must assume responsibility for product security. Recognizing that insecure software contributes to these identified issues, CISA urges software manufacturers to embrace Secure by Design principles and implement the recommendations in the Mitigations section of this advisory, including those listed below: | この文書は、重要インフラの所有者と運用者が負担する、安全でないソフトウェアとハードウェアを補償するための過大な負担とコストを示している。所有者や運用者が必要な高度なサイバー防御スキルを維持すべきとの期待は、過度のリスクを生み出す。技術製造事業者は、製品セキュリティに対する責任を負わなければならない。安全でないソフトウェアがこれらの特定された問題の一因であることを認識し、CISA はソフトウェア製造事業者に対し、セキュア・バイ・デザインの原則を受け入れ、以下に列挙するものを含め、この勧告の緩和セクションにある勧告を実施するよう促す: |
・Embed security into product architecture throughout the entire software development lifecycle (SDLC). | ・ソフトウェア開発ライフサイクル(SDLC)全体を通じて、製品アーキテクチャにセキュリティを組み込む。 |
・Eliminate default passwords. | ・デフォルトのパスワードをなくす。 |
・Mandate MFA, ideally phishing-resistant MFA, for privileged users and make MFA a default, rather than opt-in, feature. | ・特権ユーザには MFA(理想的にはフィッシングに強い MFA)を義務付け、MFA をオプトインではなくデフォルトの機能にする。 |
・[PDF]
目次...
Executive Summary | エグゼクティブサマリー |
Introduction | 序文 |
Technical Details | 技術的詳細 |
Phase I: Red Team Cyber Threat Activity | 第一段階 レッドチームのサイバー脅威活動 |
Overview | 概要 |
Initial Access | 初期アクセス |
Linux Infrastructure Compromise | Linux インフラの侵害 |
Local Privilege Escalation and Credential Access | ローカル特権の昇格とクレデンシャル・アクセス |
Linux Command and Control | Linux コマンドと制御 |
Lateral Movement and Persistence | 横展開と永続性 |
Windows Domain Controller Compromise | Windows ドメイン コントローラの侵害 |
Windows Command and Control | Windows コマンドと制御 |
Post-Exploitation Activity: Gaining Access to SBSs | 悪用後の活動: SBS にアクセスする |
Admin Workstations | 管理ワークステーション |
Additional Host and Other Subnets | 追加のホストおよびその他のサブネット |
Corporate Workstations of Critical Infrastructure Administrators and Operators | 重要インフラの管理者とオペレーターの企業ワークステーション |
Command and Control | コマンド・アンド・コントロール |
Defense Evasion and Victim Network Defense Activities | 防御回避と被害者ネットワーク防御活動 |
Phase II: Red Team Measurable Events Activity | フェーズ II: レッドチームの測定可能イベント活動 |
Lessons Learned and Key Findings | 教訓と主な発見 |
Lesson Learned: Insufficient Technical Controls | 教訓 不十分な技術的コントロール |
Lesson Learned: Continuous Training, Support, and Resources | 教訓 継続的なトレーニング、サポート、リソース |
Lesson Learned: Business Risk | 教訓 ビジネスリスク |
Additional Findings | 追加発見事項 |
Noted Strengths | 指摘された強み |
Mitigations | 緩和策 |
Network Defenders | ネットワーク・ディフェンダー |
Software Manufacturers | ソフトウェア製造事業者 |
Validate Security Controls | セキュリティ・コントロールの妥当性確認 |
Resources | リソース |
Appendix: MITRE ATT&CK Tactics and Techniques | 附属書 MITRE ATT&CK の戦術とテクニック |
« JIPDEC ISO/IEC/JTC 1/SC 27/WG 1における国際規格の策定/改訂状況 (2024.12.04) | Main | 米国 CISA 継続的診断と緩和(CDM)プログラムアーキテクチャ CDMデータモデル文書 Ver. 5 (公開版) (2024.12.04) »
Comments