資産の可視性の向上
および連邦ネットワークでの脆弱性検出

by NetBrain 2022 年 10 月 27 日

先日、govtech の読み物を読み返していたところ、サイバー セキュリティ ポリシーの遵守に向けて連邦ネットワーク インフラストラクチャで早急に実行する必要がある手順に関する CISA 発行の新しい BOD を見つけました。これは長期的に実行する必要がある手順の完全なセットではないと指摘していますが、この BOD は、サイバー侵入のリスクに対抗するためにさらに多くのことを行う必要があり、過去 25 年間 (インターネットが一般に利用可能になってから) に有機的に十分な進歩が遂げられていないという現実に基づいた声明だと思います。

ノーザンダイバー社の CISA.gov ウェブサイト:

「この拘束力のある運用指令の目的は、 政府機関の資産と関連する脆弱性に対する可視性の向上に向けて、測定可能な進歩を遂げる. この指令の要件は、包括的で最新のサイバー防御作戦には十分ではありませんが、 重要なステップです コンポーネント、エージェンシー、および FCEB エンタープライズ レベルでの現在の可視性の課題に対処します。 この指令の要件は、 XNUMXつのコアアクティビティ サイバーセキュリティプログラムを成功させるために運用上の可視性を向上させるために不可欠です: 資産の発見と脆弱性の列挙。

• アセット ディスカバリは、運用上の可視性の構成要素であり、組織がネットワーク上に存在するネットワーク アドレス指定可能な IP アセットを特定し、関連する IP アドレス (ホスト) を特定するアクティビティとして定義されます。 アセット ディスカバリは非侵入的であり、通常、特別な論理アクセス権限は必要ありません。
• 脆弱性の列挙は、それらの資産の疑わしい脆弱性を特定して報告します。 ホストの属性 (オペレーティング システム、アプリケーション、開いているポートなど) を検出し、古いソフトウェア バージョン、不足している更新、構成ミスを特定しようとします。 ホスト属性を識別し、既知の脆弱性に関する情報と照合することで、セキュリティ ポリシーへの準拠または逸脱を検証します。 資産の脆弱性に対する姿勢を理解することは、適切な権限を持っているかどうかにかかっています。これは、認証されたネットワークベースのスキャンまたはホスト エンドポイントにインストールされたクライアントによって達成できます。」

そして、BOD は連邦ネットワークと時間枠に関して必要な必須アクションを項目別に列挙します。

「3 年 2023 月 XNUMX 日までに、すべての FCEB 機関は、この指令の範囲内ですべての連邦情報システムに対して次の措置を講じる必要があります。

1. 1. 自動アセット検出を 7 日ごとに実行します。 このタスクを達成するために多くの方法と技術を使用できますが、少なくともこの検出は、機関が使用する IPv4 空間全体をカバーする必要があります。
   2. 発見されたすべてのノマディック/ローミング デバイス (ラップトップなど) を含む、発見されたすべての資産の脆弱性の列挙を 14 日ごとに開始します。

• CISA は、場合によっては、企業全体で完全な脆弱性発見を達成することが 14 日間で完了しない可能性があることを理解しています。 列挙プロセスは、企業内のすべてのシステムがこのウィンドウ内で定期的にスキャンされるように、定期的に開始する必要があります。
• 可能な限り、利用可能な技術がサポートする場合、管理対象のエンドポイント (サーバー、ワークステーション、デスクトップ、ラップトップなど) および管理対象のネットワーク デバイス (ルーター、スイッチ、ファイアウォールなど) で実行されるすべての脆弱性の列挙は、特権資格情報を使用して実行する必要があります (この指令の目的上、ネットワークベースの資格情報付きスキャンと、クライアントまたはエージェントベースの脆弱性検出方法の両方が、この要件を満たしていると見なされます)。
• 使用されるすべての脆弱性検出シグネチャは、ベンダーが最後にリリースしたシグネチャの更新から 24 時間以内の間隔で更新する必要があります。
• この機能が利用可能な場合、政府機関は、モバイル デバイス (iOS や Android など) および政府機関のオンプレミス ネットワークの外部に存在するその他のデバイスで同じタイプの脆弱性列挙を実行する必要があります。
• すべての代替の資産発見および脆弱性列挙方法 (たとえば、特殊な機器を備えたシステムや特権資格情報を利用できないシステムなど) は、CISA によって承認される必要があります。

1. 1. 脆弱性列挙の結果 (つまり、検出された脆弱性) の CDM エージェンシー ダッシュボードへの自動取り込みを、発見完了 (または、以前の完全な発見が完了していない場合は新しい発見サイクルの開始) から 72 時間以内に開始します。
   2. CISA からの要求を受け取ってから 72 時間以内に特定の資産または脆弱性のサブセットを特定し、要求から 7 日以内に利用可能な結果を​​ CISA に提供するために、オンデマンドの資産検出と脆弱性の列挙を開始する運用能力を開発および維持します。

• CISA は、機関がこの期間内に企業全体の完全な脆弱性発見を完了できない場合があることを理解しています。 入手可能な結果があれば、差し迫った脅威に対応してCISAと機関の状況認識を提供するため、この期間内に列挙プロセスを開始する必要があります。」

では、それはどこに私たちを残すのでしょうか？

連邦ネットワークであれ企業であれ、私たちはみな、自らの存在そのものを賭けているものの詳細を理解し、文書化し、それをより管理しやすく、より防御しやすく、より安全にするための努力を新たにする必要があります。私たちの実際の業務を支えていることが私たち全員が知っているデジタル インフラストラクチャは、かなり戦術的になり、管理が不十分で、文書化も不十分になっており、ストレス (サイバーまたは運用) に耐える能力に対する信頼性は低下し続けています。

連邦ネットワークインフラの可視性 NetBrain

NetBrain 現在、BOD で呼び出されているこの同じシナリオを実現し、継続的にネットワークを自動的に検出する機能を提供し、実際に必要な動作のオーバーレイと組み合わせると (私たちはそれらを呼び出します) network intents) は、連邦ネットワークが CISA の義務に準拠するために必要な接続性、パフォーマンス、およびセキュリティ制御をリアルタイムで提供していることを保証できます。