現在の攻撃対象領域の状況
- 攻撃対象領域: サイバー攻撃を受ける可能性があるデバイス・ソフトウェアのこと
- テレワークの普及・クラウド化によってIT環境が拡大したことで攻撃対象領域が広がり、
管理はより複雑 →結果として、IT資産やシステムの管理漏れ・設定ミスが発生。サイバー攻撃による侵入の起点となりうる「弱点」が 意図しない状態で公開されたままに・・・
ASM(Attack Surface Management)とは?
ASMの定義
組織の外部(インターネットから)アクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを 継続的に検出・評価する一連のプロセス
ASMのプロセス
1.攻撃面の発見:
企業が保有・管理する外部
(インターネット)からアクセス可能なIT資産を発見
2.攻撃面の情報収集:
発見したIT資産情報を収集
3.攻撃面のリスク評価:
収集した情報と脆弱性情報と突合し、攻撃面のリスクを評価
ASMのメリット
1.情報システムを管理している部⾨が把握していない IT 資産を発見できること
2.情報システムを管理している部⾨の想定と異なり、公開状態となっている IT 資産を
発見できること
Kaspersky が提供するASMサービス
ライセンス体系
・Kaspersky Digital Footprint Intelligence (DFI)
カスペルスキーのエキスパートが攻撃対象領域およびダークウェブを調査・分析し、悪用される可能性のある脆弱性や設定ミス・非推奨プロトコルの使用などの弱点や、攻撃計画・情報漏洩の証拠・フィッシングサイトの出現などを脅威アラートとレポートで報告するサービス
サービスの仕組み
①ポータル上で監視対象のアセット情報を登録
②カスペルスキーのエキスパートによりl攻撃対象領域、ダークウェブを調査・分析
③分析結果を脅威アラート・レポートにより報告
お客様のIT資産において攻撃対象領域に存在する不備を通知します!
更に!外部の脅威から危険にさらされていないか?を分析・調査結果より確認が可能!
DFIサービスの特長
ディープウェブ/リアルダークウェブ上の不審な動向を監視
誰でもアクセス可能な一般公開されたWebページ (=サーフェスウェブ) やお客様ご自身で調査することが難しい検索エンジンで 検索出来ないWebページ (=ディープウェブ)、 犯罪目的や違法な商品やサービスを購入できる闇市場となっている違法コンテンツの Webページ(=リアルダークウェブ)上で実際にやりとりされているお客様を狙う攻撃者の情報の不正な取引(攻撃経路になりうる情報の 売買)やお客様に対する攻撃計画に関するやり取りを監視・特定し、存在するセキュリティリスクの把握に繋がる情報を提供
<監視対象の不正な取引と、提供される情報の一例>
■ディープウェブ
・ハッカーに対するバグハント(脆弱性検出)依頼/・お客様に関連するゼロデイ脆弱性、データ漏洩
■リアルダークウェブ
・お客様に対する攻撃計画/・侵害された従業員のアカウント/クレジットカード情報/内部情報の売買
報告された脅威アラートに対するアクション
経産省が発表しているASM導入ガイドで求められている要件をDFIは満たしており、更に各項目で発見された情報に対して実施すべきアクションについても、付加情報を提供します。
監視対象として登録可能なアセット
・脅威インテリジェンスサービスを提供するポータルサイト「Kaspersky Threat Intelligence Portal」から 監視対象のアセットを登録、監視対象数が多い場合、Excelファイル等での登録も可能
<登録可能なアセット>
- -IPアドレス / IPアドレス範囲 / CIDR
- -ドメイン名またはサブドメイン名
- -従業員氏名
- -メールアドレスまたはマスク
- -任意のキーワード
- -IIN(カード発行金融機関識別番号) / BIN(銀行識別番号)
- -正規のソーシャルアカウントへのリンク
- -正規のモバイルアプリへのリンク
- -製品およびデバイス名
専門家(カスペルスキーのエキスパート)による調査、分析
- OSINT(Shodan, scans.ioなど)を利用した受動的な偵察
⇒攻撃対象領域を把握し、そこに存在する脆弱性、設定ミスなどを提供 - CVSSのスコアに基づくリスク評価に加え、1つずつの評価は低くても、 それらを組み合わせた攻撃が発生していれば、エキスパートチームは その情報も持っているため、単純な評価だけでは判断されない