2013年の米国は、政府閉鎖、債務上限、予算交渉と政治的駆け引きが続いているにもかかわらず、ここ数週間、大規模で高額な政府計画が着々と展開され始めています。
米国一般調達局と国土安全保障省は、1億5,000万ドルの初期資金配分を受けた後、本物に影響されることなく、継続的診断と緩和(Continuous Diagnostics and Mitigation:CDM)プロジェクトとして知られるものの展開を開始しました。このプロジェクトの目的は、最新技術と標準化されたポリシーを使用して、連邦政府の最も重要なネットワーク・リソースを継続的に監視することです。
企業は、政府が行っていることから多くの教訓を得ることができます。この記事では、Jean氏がこの継続的なセキュリティ監視の概念をさらに掘り下げ、組織がこのような導入からどのような利益を得ることができるかを探ります。
CDMとCSMの意味
CDMプログラムは、連邦政府の民間機関数十社が、DHSが設計したアーキテクチャに適合する継続的なセキュリティ監視を展開するための製品を購入するための調達協定です。この協定には60億ドルの上限がありますが、各機関は協定に基づく製品を購入するために自己資金を調達する必要があります。
CSMとは、簡単に言えば、組織内の最も重要なネットワーク・リソースを継続的にチェックすることです。この用語に「継続的」とあるのは、特定の資産を 24 時間 365 日監視し、異常が発生した場合は早期警告メカニズムによってシステム管理者に通知することを意味します。CSMは、実際にはかなり以前から存在していましたが、用語が具体的になったのはごく最近のことです。
長年にわたり、企業のネットワーク・セキュリティ戦略は、何らかのロギング・メカニズムを備えたさまざまな侵入防止/検知システムを導入することによって、ネットワークを監視し、保護することでした。しかし、セキュリティの専門家と企業ネットワークが進化し続けるにつれ、企業はより包括的なソリューションを構築し、展開するようになりました。現在では、連邦政府だけでなく、多くの企業が成熟した CSM ソリューションを提唱し、サポートし始めています。
CDM プロジェクトを通じて、DHS は、ネットワーク・スキャン・センサーの設置・更新、既知のシステム脆弱性の自動検索、スキャン結果の収集、結果の会議および分析、最大または最も深刻な脆弱性の緩和、進捗状況の報告という 6 段階の CSM プロセスを政府機関に展開させることに注力しています。目標は、民間機関が72時間のセンサー展開中にネットワークを完全に診断することです。
このプロジェクトが成功するかどうかはまだわかりませんが、大規模な売買契約に裏打ちされた「野心的」なプロジェクトです。SANS Institute のアラン・パラーは、このプロジェクトの可能性について、CDM は「サイバーセキュリティ・ツールの青写真を一変させるものであり、そこから重要インフラやその他の企業が学ぶ教訓は、サイバーセキュリティへの支出を最適化し、高価格で非効率なツールにこれ以上お金を浪費しないようにするのに役立つだろう」と述べています。高価格で非効率なツールにこれ以上お金をかけるのはやめましょう。
企業CSM:はじめに
では、民間企業はどのようにすれば政府に続いてこの継続的なセキュリティ監視を導入できるのでしょうか。意思決定者は、Symantec、Tenable、TripWire、FireMon などのベンダーが提供するさまざまな商用監視製品を購入することができますが、ほとんどの企業ネットワークでは、CSM の導入を開始するために必要なツールのいくつかをすでに導入しているというのが実情です。ただし、ツールについて説明する前に、CSM の計画プロセスの重要な部分であるデバイスの分類について見てみましょう。
継続的な監視システムを導入する場合、企業はどのネットワーク・コンポーネントとセグ メントを継続的な監視の優先対象とするかを決定する必要があります。センサーの配備と結果の解釈のためのリソースは限られているため、企業は CSM の配備にリスクベースのアプローチを取る必要があります。クリティカルな資産を最も多く含むネットワークが、CSM の初期導入の主なターゲットです。そこから、利用可能なリソースを使用して、リスクベースのアプローチにより、他のネッ トワークセグメントに展開を拡大することができます。
企業向けCSMツール:既存設備の活用
継続的なセキュリティ監視に使用できる既存のツールを検討する場合、これらのツールは、 専用の CSM システムの長期的な代替手段として使用することはできず、一時的な代替手段としてのみ 使用できることに注意してください。組織が、IDS/IPS、脆弱性管理製品、ネットワーク列挙ソリューション、および何らかのネッ トワーク・ロギング・メカニズムを既に導入している場合は、単純な CSM システムを導入することができ ます。
IDSに関して人気のあるオープンソースツールは、Sourcefire(現在はCiscoが所有しています)のSnortです。この人気のある製品は、非常に柔軟なルール管理システムを提供しており、コミュニティから更新したり、独自のカスタムスクリプト化されたルールで補足したりして、ネットワーク上の状況を監視することができます。
ネットワーク列挙
CSMで見落とされがちなもう一つの部分は、ネットワークの列挙です。これは、現在企業ネットワークでますます一般的になっている、自分のデバイスを職場に持ち込む戦略にとって特に重要です。簡単に言えば、存在を知らないものを継続的に監視するのは難しいということです。世の中には様々なネットワーク・エニュメレーション・ツールがありますが、使いやすいオープン・ソース・ツールとして人気が高いのはNmapです。 Nmapには様々なグラフィカル・ユーザー・インターフェイスが市販されていますが、Nmapの核心はSnortのようなコマンドライン・ツールであり、高度にスクリプト化可能です。たとえば、システム管理者が内部ネットワークのIP範囲が10.0.0.0/16であることを知っている場合、そのネットワーク範囲内の各デバイスを見つけるには、次のコマンドを入力します:
nmap 10.0.0.0/16 >> mytextfile.txt
このコマンドは、Nmapツールに指定されたサブネット内の各デバイスの位置を特定するように指示し、ノード情報をテキストファイルに出力します。
日誌:それがなければCSMは機能しなかったでしょう
継続的なセキュリティ・モニタリングの最後の、そしておそらく最も重要な側面は、ロギングです。ログは、システムやネットワーク上の活動の重要な監査証跡を提供し、セキュリティ専門家がセキュリティ・インシデントにつながった可能性のあるイベントを再構築できるようにします。ログ分析ツールは、問題を検出し、見つかりそうもない問題を特定することができます。たとえば、ネットワーク・トラフィックを発生させることなく、機密マシンに直接ログインして発生する内部者攻撃では、ログ分析が唯一のセキュリティ情報源となる場合があります。
ネットワーク列挙ツールのように、ロギングツールは様々ですが、今日、企業で非常に人気のあるロギングメカニズムは、Linuxサービス-syslogであると言ってもいいでしょう。syslogは非常にスクリプト化可能で、非常にきめ細かいデータ収集レベルを持っているため、多くの組織は、自分たちの特定のニーズを満たすためにロギング機能を簡単に適応させることができることに気づきます。たとえば、システム管理者がすべてのSnortアラートをsyslogサーバに送信したい場合、 etc/snort/snort.confを参照し、設定ファイルの最後に次のコマンドを追加します:
上記のコマンドは、このsyslogサーバーのIPアドレスが10.0.0.1であり、UDPポート514でリッスンしていると仮定しています。このコマンドは、システム管理者が、異常なインバウンドおよび/またはアウトバウンド接続、ローカルネットワークへの新しいデバイスの挿入、または管理者が警戒する価値があるとみなすその他のネットワークイベントをログに記録するようにアラートを設定する場合に特に有用であり、非常にスケーラブルです。
はんけつをくだす
継続的セキュリティ・モニタリングは、連邦政府および民間セクターで支持を集めています。国土安全保障省のCDMイニシアチブは、連邦政府ユーザーに共通のフレームワークを提供し、さまざまな業界の企業に適した展開方法を概説しています。このフレームワークがCDM調達協定とともに利用可能になることで、連邦政府内での展開が促進されるはずです。また、連邦政府のイニシアチブは、おそらく民間業界を動かし、公共および民間のネットワークにわたるセキュリティ・インフラの展開に新たな危機感をもたらすでしょう。
