Home ポッドキャスト ThreatTank -エピソード3 -攻撃面の管理
Applications

ThreatTank -エピソード3 -攻撃面の管理

About The Author

Outline

サイバー脅威に先んじて、セキュリティ専門家による最新の洞察を提供。

今すぐ購読して受け取る:

ThreatTankの概要–エピソード3:攻撃面の管理

Tom Gorup:最新の脅威インテリジェンス、脅威への対応、世界中のセキュリティ情勢に関する洞察をカバーするポッドキャスト、Threat Tankへようこそ。 あなたのホストのトム・ゴラップエドジオのセキュリティサービス担当副社長 今日参加してくれたのはジェフ・パッツァーとクリス・ヘレラ ようこそ、ジェフとクリス。

Jeff Patzer:ありがとう

クリス・エレラ:私たちを招いてくれてありがとう

(トム・ゴーラップ)いい会話になるよ アタック・サーフェス・マネジメント、その価値、それは何であるか、それらすべての素晴らしいものを掘り下げていくつもりだ。 しかし、ThreatTankポッドキャストで伝統を築いている今、私は砕氷船の質問を開きたいと思う。 もしこれが初めてならゲストに質問はしない だから何を聞こうとしているのか分からない これを読んだときに笑うようになったんだ

問題はクリスとジェフもし準備ができていてもしあなたが果物だったらどんな果物になりどうやって食べられるのを避けるのか?

クリス・ヘレラ:ああ 普通の人に食べられると定義したらドリアンかもしれない 私の理解はそれらに切るときそれらがかなり汚い臭いがし、食欲をそそるように見えないことである。 でもそれは無知から話す私かもしれない実際に見たことがないので

あなたはドリアンになるでしょうなぜなら食べられないようなものは見た目も見た目も匂いも悪いし臭いも悪いし味も悪い

(クリス・エレラ)味が悪い

(トム・ゴラップ)はい

Jeff Patzer:地下鉄で走るドリアンは、ほとんどの場所で、シーズン中に実際に栽培されているドリアンは、臭いがひどいので、あまり好きではない。 でも食べ過ぎなんだクリスそれを避けられるかどうか分からない おいしいよ 「どうやってそれを避けるのか?」

(トム・ゴーラップ)ハラペーノスみたいだと思うけど誰もがとても熱いと思うでも一番熱いコショウのように食べたい人のための市場はまだある それで何を得たジェフ?

Jeff Patzer:イチジクと一緒に行こう イチジクになって食べられるのを避けようとはしない果実であることの本質は実際に消費されることだから

トム・ゴラップ:消費されたいのはこうやって果樹を広げて育てるからね

ジェフ・パッツァー: だから、あなたはあらゆる種類の動物の消化器系を通して興味深い旅に行くことができ、またイチジクは絶対においしいし、トリックはうん、あなたが実際にそれらを新鮮に得ることができる場所を得ることですほとんどの場所は、店のようにそれらを買わなければならないし、それらは新鮮で選ばれていない。 でも、新鮮な場所に住んでいると、果物のほうがいいものはない。

トム・ゴーラップ:あなたが何かを巡る興味深い旅だと言ってくれたことに私はほとんど興味をそそられている

(ジェフ・パッツァー)マジック・スクールバスのようなものだったんだ参加するには消化器系の旅を知っている? 同じだ 私は多分誰もがその参照を得ることはないと考えている。

クリス・ヘレラ:リックとモーティが似たようなエピソードを作った時のPGを少し減らしたバージョン。

(トム・ゴラップ)いいね

ジェフ・パッツァー:その通り その通りだ

Tom Gorup:イチゴかもしれないと思っていたので、これについて考えていたときに一緒に遊ぶことにしよう。 小さな掲示板のように種を作る とても硬いので噛んだら歯が抜けて誰も食べたくない しかし、あなたのポイントに私は広くそして広大に広がらないかもしれない。

クリス・エレラ:興味深い答えには一つ問題があるそれは一口食べた後にあなたを食べたくないと彼らが判断すること

トム・ゴラップ:臭いからね 彼らはあなたを食べたくないと思う

(クリス・エレラ)私は悪く見える

(トム・ゴラップ)素晴らしい それは良かった 大丈夫だ 始めよう。 うまくいけば砕氷船は私達が議論することのためであるように他の皆のための楽しみである。 しかし、話題に上がらなければならない。そして、これもまた、アタック・サーフェス・マネジメントである。 クリス、アタック・サーフェス・マネジメントとは何か、ASMと略されるのか、教えてくれないかな。

Chris Herrera :私が望むことと、かなり正確な定義を与えるつもりだ。 でもいつものように他の警備員や専門家や専門家の前で話している時はいつもそうであるか何か間違ったことを言うか軽率に言うか怖がるべきだ

私が間違っていたら訂正してください。しかし、ASM、Attack Surface Managementは一言で言えば、デジタル資産の識別、優先順位付け、監視、分析のさまざまな側面を組み込んでいる。 デジタル資産とはウェブサーバー、IPアドレス、APIエンドポイント、アプリケーションなど、インターネットやその線に沿った何かを介して公開されるかもしれないある種の環境内でデジタル的に存在するもの。 するとasmが作用してくる

アタック・サーフェス・マネジメントは、この個々の言葉を考えてもいい。 その一部は、あなたが攻撃対象領域を管理していることである。 従って、見られるか、またはpingされるか、または調査されるか、またはあなたの攻撃表面と見なされるインターネットからの何でも利用できるもの。 ASMを使用すると、利用可能なもの、そこにあるものを特定できる。 知らなかったものを見つけるかもしれない そしてさらに一歩進んで、理想的にはどのような種類のアプリケーション、どのサーバ、どのバージョンがそこで動作しているかを教えてくれる。 さらに、CVSS(Common Vulnerability Scoring System)やゼロデイ脆弱性などのさまざまな脆弱性にそれらを結び付け、デジタル資産内の攻撃対象領域をより正確に把握できるようにする追加ステップもある。 それ以上のことがある もちろん、今日はそれについて議論していくが、アタック・サーフェス・マネジメントが何であるかの出発点になることを願っている。

(トム・ゴーラップ)そう 一番基本的な言い方ではインターネットを探すツールのように まあ、あなたの資産に直面しているインターネットは、ある種のツールでそれらを集約する。

クリス・エレラ:その通り

Tom Gorup:最も基本的な説明。

クリス・エレラ:ええ これをどう可視化するかのメタファーを考えようとしていた 私が思いつく一番いいのは、私が想像している技術的なもので、スタートレックやスターウォーズのようなもので、船のモニターを画面に表示して、そこにはすべての異なるコンポーネントがあり、宇宙空間にある船のすべての要素を監視していて、レーザーや武器などの線に沿ったもので撃墜される可能性がある。 そこに何があるかだけでなくその状況も教えてくれる

彼らがどうやっているか教えてくれる それはまたある付加的な情報を与えるかもしれない。 つまり、他の資産についてももっと知りたければ、プローブを送ってスキャンを送って、他の誰かについての情報を得ても、他の人には役に立たないかもしれない。 しかし、私にとっては、『スタートレック』や『スター・ウォーズ』のせいで、少なくともASMを現実世界の例と結びつけていることを思い浮かべる良い方法だった。 でもあなたはその線に沿って何かを知っている。

(トム・ゴラップ)その定義に欠けていることは?

Jeff Patzer:ええ、私は開発者のバックグラウンドやエンジニアリングのバックグラウンドのような出身であるかもしれない。 私はまたあなたが持っているものの内部の働きのような構成要素と同じくらいそれについて考える。 だから、私の攻撃対象領域がどのようなものかを考えているとき、あなたがそれを構築したものは、実際には攻撃の脆弱性でもある。 だからもしあなたがライブラリの観点やそのようなものをあなたが公開するために使っているコードに追加することを考えているなら、それはインターネットがあなたにどのように到達できるかだけではなく、一旦何かが情報を持っていれば、あなたのシステム内でもできることを知っているだろう?

あなたのStar Trekの類推を拡張するためには、エンジンの状態を監視することは、あなたの分野が知っているものを知っていることを知っていることと同じくらい重要であるあなたのレーザー保護分野は、右をしているか。 そこで私はこう考えました。もし外部ライブラリを使っているなら、もし何らかのソフトウェアを使っているなら、何らかのオープンソースライブラリを使ってより大きなソフトウェアのようなものを作ることが保証される。 それらの中に何があるのか、またそれらが持つかもしれない脆弱性の可能性を知ることはまた、人々が相互作用するであろう外面の断片と同じくらい重要である。

Tom Gorup:次の質問は、なぜ監視することが価値があるのかと同じくらい重要だと言った理由だ。 ASMを実行する価値は何か?

クリス・エレラ:私が最初に考えたのはセキュリティチームの多くは特に企業や個人のことを話していれば簡単だということ まあ必ずしも簡単じゃない 自分が持っていると知っているものや、よく知っているものを確保するのは簡単だ。 しかしジェフの言う通り、あなたはたくさんの個々の部品からこれらのツール、これらの環境を構築している。 それぞれの駒が攻撃面、あなたの全体の面にも貢献している。 今はそれ以上の言葉が思いつかない。 これが終わるまでに考えてみる

個々の駒は弱点になりうるし軍隊の中で一番遅い行軍の一員にもなる これらがすべてAttack Surface Managementツールで列挙されていることを確認することに加えて、インベントリ技術はこれらを優先順位付けして、これらが故障した場合やシステム全体がダウンした場合、またはソフトウェアの最新の脆弱性に関して最も脆弱なものであるか、最新のゼロデイ脆弱性に開かれているかを判断することもできる。

そして、それらを優先することもできます。これらはパッチを当てるのが一番簡単なもので、ぶら下がっている果物を手に入れたい場合や、足を濡らしたい場合など。 必ずしもディスパッチするのではなく、全体的なセキュリティ体制を強化するという点で。

(ジェフ・パッツァー)はい これに付け加えておきたいのは何か監視システムなしでは全てを把握することは不可能になってきているということだ システムはより複雑になりつつあること ASMに例えるなら昔我々は何をして城を建てる時侵略軍を防いだ? 壁を通り抜ける唯一の方法は2つのドアだろ? ポートはインターネットのドアのようなもので 城が単純なように簡単にできるようにしないといけないんだよね? 壁とか堀とか出入りできる場所とか しかし複雑さを増すにつれて監視できるようになるには将軍たちに話すランナーのようなもの以上のものが必要になる これがドアの状態なんだろ?

ソフトウェアを使ってチームメンバーの手に制御を統合できるようになっている だから誰でもこの時点でドアを建てることができる。 誰でも能力を拡張できる。 もし人々に頼ってその複雑さを管理してもらうなら時間が経つにつれて崩れていくだろう だから私にとって価値は複雑さを増すことを可能にしつつも少し手を握り続けることです人々に物事を可能にしたり起こっていることを監視したりして彼らが暴露していることを追跡しているように そうでないと物事が複雑になってくると人間がその種のシステムを追跡する方法はない そうすべきじゃない

トム・ゴラップ:ええ100% あなた方の何人かは、城の類推は周囲であると言った。 城の防御は死んでいるようなもので、境界線はないだろうか。 私たちは、さまざまなマルチクラウドハイブリッド環境、一部のデータセンター、一部のデータセンター、一部のデータセンター、一部のAWS、一部のGCP、デジタルオーシャンにいる。 我々はそこにあることをすべて知っているのか?

私がセキュリティ体制について考えていることを見るとき、可視性、暴露、脅威の3つの柱にそれを置いている。 見えないものは守れない 自分の脆弱性がどこにあるかを理解する必要があり、自分がどのように攻撃されているかを理解する必要がある。 アタック・サーフェス・マネジメントは、最初の2つ、特に可視性と私が知らなかったものの多くを私たちに与えてくれると聞いている。 Open Ports、アプリで使用しているAPI技術だけでなく、攻撃される可能性のある環境内に存在する脆弱性を強調するもの。 だから、それは非常に強力のように思える。 でもどんなチームがこのようなツールを使うのか? AMSを実行する必要があるセキュリティチームにのみ表示されるか?

Chris Herrera :歴史的には、セキュリティチームはASMツールを調達し、それらを立ち上げて実行し、一貫して使用し、結果を解釈し、組織内の異なるチームに結果をもたらす責任がある、というのが正しいと思う。 もしかしたら彼らが知らなかった資産や知らなかったホスト名を発見したかもしれない

しかし、それが前進する必要があるという意味かどうかは、私には必ずしもわからない。 テクノロジーが複雑さを増していく様子は興味深いが、私たちにとって何ができるかという点でも、チーム間の境界線を曖昧にしている。 だから歴史的には、dev SecOpsとかDevOpsとかそういう用語とか、そういう用語とか、アプリケーションを作っている人たちを指す方法とか。 具体的な例として、それは過去5〜10年で時間の経過とともに変化してきた。 これは安全が皆の生活に浸透していることの表れかもしれない

もはや単なるセキュリティチームではなく 私の経験では明らかに私は何をしているかさえ分からないがセキュリティは毎日私がすることではない しかし、名目上はセキュリティとは関係ない他のチームのメンバーと交流しているが、彼らは単に自分の仕事をするために必要なだけで多くを知っている。

Jeff Patzer:ええ、そうね、クリスの言い方が気に入ったわ。 私は、皆さんがこの時点で電子メールを開いていても、セキュリティの問題に対処しているかどうかにかかわらず、誰もが何らかの形でセキュリティとやり取りしているという意味で、皆さんがとても気に入っている。 「フィッシングされてるのか?」 チェックしてるのか? 技術的には、誰かがあなたを攻撃する可能性のある表面のタイプである。

だから、チームが何を使っているのかを問うとき、歴史的にはあなたはそれを好きだし、開発者はそれを非常に具体的な理由で使っているように感じる。 しかし全体的には成長している そして私が言ったように、この時点で、あなたが何かを登録しているパートナーがいるためのフォームを作りたいとしよう。 その情報を自動化して組織内外の誰にでも送ることができる

前にも言ったように、チームメンバーは、歴史的にはウェブベースの特定のことを行うウェブサーバーを構築するようなものではなく、組織のためのデータ収集の一部であることを始めることができる。 みんなを前に進めばこうなるんだネット上で何か他の方法で何をしていようと暴露されるんだ あなたは何らかの形で相互作用している、ええ。

クリス・エレラ:先ほどの質問ではこれらのツールを担当する典型的なチームや担当すると思われるチームについて 安全保障が過去にも今もそのような責任を持っていたことは理にかなっていると思う。 しかし、ASMは単にセキュリティ情報を提供するだけでなく、インベントリツールの前に述べたように、それを使用することもできることを考えると、それがセキュリティ以外のチームにとって非常に有用である理由がわかる。 セキュリティの仕事では、私はしばしば異なるチームや異なる顧客と仕事をし、ログやその他の分析を行う。

私は彼らに、ねえ、ここにいくつかの攻撃を見ているいくつかのドメインがあり、それは私が彼らからの応答がああすごいであるケースに遭遇したとき、私は私にとって常に興味深い、私たちは12ヶ月前にそのドメインをオフにすると思ったが、それはまだオンになっていることが判明した。 インターネットにはまだとても開放されている まだ攻撃が多い だから、在庫の面は非セキュリティの人々によって非常に多くの定期的に使用することができ、実際は、多分、それが使用することがいかに容易であるかによって、多分すべきである。

Tom Gorup:ああ、大好きだよ。Jeff、攻撃対象となる領域について話すのは、それをドメインに縛り付けるオープンポートにとどまるよりもはるかに大きい。 サブドメインの乗っ取りがある あなたは第三者に接続されたドメインを離れ、3年後にそれはハイジャックされ、そして今あなたのドメインを正しくブラックリストに載せるマルウェアを提供している。 それは皆の問題だ それは全体としてビジネス上の問題だ。 だが、さらに踏み込んで見てみると、入ってくるメールは無傷の要素だ。

アタックサーフェス管理のツールはあるが、アタックサーフェス自体はビジネスのあらゆる側面を含む幅広い会話であり、セキュリティチームが監視しているものに限定することはできない。 IT、エンジニアリング、マーケティングが必要。 ビジネスを効果的に保護するには、これらのチームすべてが互いに会話する必要がある。

ジェフ・パッツァー(ジェフ・パッツァー)ちょっと質問が クリス、あなたは言っている、ねえ、私は私がログを見直しているように、ログを見ている。 多くの人は丸太線を見ていないだろう? あなたがそれを見せて、彼らは「今は行列だ、私はそんなことはしない。 攻撃対象領域をよりよく知っている人に伝えるために使用できるデータビジュアライゼーションの種類について、あなたの考えは何か。彼らはエンジニアリングのバックグラウンドを持っていないかもしれない。 彼らはITの背景から来たわけではなく、毎日立ち上がって対数線を見て、下の行列を説明するようなものを与えることができる。 どうすれば効果的にそれができるのか?

クリス・エレラ:いい質問だね 最初に考えたのは、私はデータの可視化があまり得意ではなかったが、それを見ると分かるし、良いデータの可視化ができていることも分かる。 頭の中では、Webアプリケーションの観点からすべてを持っているときにどのように見えるかを視覚的に見られるようになりたいという一時的な考えを見ている。 インターネットで利用できるドメインを確認したい。 それに応じてグループ化して欲しい それから、そこに行って、彼らが実行しているソフトウェアのバージョンを見ることができるようにしたい。 理想的な世界では、オンとオフをクリックして、それらの異なるエンドポイントに適用できる脆弱性を確認できる。 しかし、ほとんどの場合、私は視覚的なビューが正確に何が起こっているのかを高レベルで見て、そこからドリルインできるようにしたい。

(トム・ゴーラップ)そう それをダブルタップして、ノードグラフは非常に強力で、1つの角度のようないくつかの異なる側面で、攻撃者の進行を示すことができるインシデント対応プロセスのようなものであることを見る。 log4jはその良い例だ。 log4jインシデント対応の観点から見ると、MDRの観点では、ゼロデイ攻撃であるため、妥協後の活動である。署名はないだろうか。 log4jが出てきたとき誰もlog4jの悪用の署名を持っていなかったなぜなら誰もそれを知らなかったからだ しかし、我々が見つけたのは、アウトバウンドの指揮統制トラフィックだった。

単一のコマンド&コントロールサーバーに到達する無数の資産を拾い始めることができれば、侵害された資産をより迅速に拾うことを意味するが、それからそれらは何に接続したか? そこで、ノードの可視化のように、ログを通して自分ではできないような接続を作るのに役立つと思う。 バットマン・ソナーみたいだな これらのビューを角や場所に配置して、ノードグラフでは見られなかったような接続を見ることができる。 一日中ノードグラフを見てる

クリス・エレラ:できない人は?

Jeff Patzer:ええ、DataVizの強烈なファンがどんな人か見たいと思ったら、Chris Edward Tufteがその人だ。 彼は、これについての独創的な作品のように、それがどのように見えるべきかということを得た。 彼はとても強硬だが、良い物を持っている。

トム・ゴーラップ:大好き。 私はそれを点検する。 私はこのツールをアタックサーフェスマネジメントと呼んでいるが、突然、インターネットに開かれているすべての資産、ポート番号、API、アプリケーションサービスなどのインベントリを手に入れた。 彼らがどうやって傷つきやすくなるかどうやって攻撃されるか知ってる グラフが全くない状態で表示されている では何がうまくいかないのか? この時点で企業はどのような課題を抱えているのか。

クリス・エレラ:何も その時点で終わりだ

(トム・ゴーラップ)そう そうだな ハングアップ。

クリス・エレラ: いや、以前話していたいくつかのトピックと非常によく似ていると思う。多くのチームが一緒に働いている。チームごとに異なるタイプの仕事をしていて、明らかに異なる分野の地元の専門家がたくさんいるにもかかわらず。 だが、今日議論しているASMからの出力のタイプと、前にも話したように、出力のタイプは、多くの異なるチームにとって非常に有用である。 この種のことは、どんなチームでも情報を共有し、協力し合う必要があることに遡ると思う。

これはそれを大幅に効率的にすることができるだけでなく、舞台裏でフードの下で何が起こっているかの皆の知識を高め、あなたのセキュリティ体制が悪くならないことを確認するための道を描くことによって、皆のための水を上げることができるツールであり、理想的には大幅に良くなる。

Jeff Patzer:そうだね、一つ考えているのは、このために起こる必要のある個々の作品をどうやって分割するかということだね。 難しいのはあなたがこう言う時「安全のために行動しないといけないんだ」とか「姿勢を変えるのは簡単なことだ」とか WordPressのバージョンをアップグレードするなど、そのいくつかは難しいかもしれない。 それは簡単かもしれないしそうじゃないかもしれない でもコードパッケージをアップグレードするように、特にメジャーバージョンのようなものの間では、それらのことを見て、これをやってみると、すでに生産されているものを壊してしまうだろうか? 開発者の観点からすると、それは十分に簡単に聞こえるように、はい、このマイナーバージョンのものを更新して、それほど悪くないメジャーバージョンのものを。 それを効果的にすることは本当に難しい場合もある。 だからわからない

私にとっては警備体制のようなものだ 入ってくる仕事はリファクタリング作業とか、古いコードのように面倒を見なくてはいけないとか。 それはある意味で雑用のようであるか、またはそれが建物のような創造的な面でない。 過去に戻って自分がしたことを見て支え直したり修理したりするのが好きなんだ だから、どんなツールを持っていても、個別の作業を分割して、所有者にフェデレーションして、それを担当できる人を割り当てることができるようにするのを助けるべきだと思う。 結局のところ複雑なシステムを持っているなら色々なことが起こることになる そして、それを管理して監査し、それについてあなたのプロジェクトのように追跡できることは、仕事をする実際のプロセスのように、あなたがそれをしなければならないことを知ることと同じくらい重要になると私は信じる。

(トム・ゴラップ)ええ まず頭に浮かぶのは測定可能な結果である。 お客さんからよく聞く話だよ。 お客様からよく聞かれる質問が2つある。測定可能な方法で安全性を高めるにはどうすればよいか。 どうやって測定できるのそれは私を良くし私を強くした 次に取り組むべき最も重要なことは何か? 効果的な優先順位付け。

分かった、だから、あなたが知っているように、私はあなたが持っていると思うので、私はその仕事の多くがあまりにもあいまいである場合があるように考える。 この問題を実際に解決するには? コード変更か? 構成の変更か? 私には解けないかもしれない このリスクを受け入れなければならないかもしれない。 そのプロセスはどのようなものか? そう、それはよい助言である。

Jeff Patzer:あなたが今私に考えさせた良いことはノイズだと思うノイズ対信号比のようなもの つまり、それは、ツールがあなたに何が最も重要なのかを理解するのを助けていると伝えていることを確認するようなものだ。 そして、もしそれがあまりにも多くのものに過剰にインデックスを付けているなら、それは大したことではない。 それはむしろ警告のようなものだ。 例えば、ちょっと、これはあなたが気にすべき事かもしれない、例えば、ノイズ対信号比を区別するのを助けるとか。 それはちょうど重要である何に焦点を合わせるべきか知っていることは、あなたがから始める必要があるものであるので、右であるか。

クリス・エレラ:その通り すべての低い優先順位である1000の通知を得れば、それは実際よりずっと悪い点にあると考えることを引き起こすかもしれない。

トム・ゴラップ:ここがストライクゾーンだねクリス? 顧客との積極的な優先順位付け。 どんなシナリオでも思い浮かべるのは彼らがこれに取り組むべきだったとか悪い推薦をしたとか それを聞きたい

クリス・エレラ:よかった いいえ、悪い推薦をしたことはない。 最初の質問は、分析を経て、顧客と仕事をすることについて話す時、私は顧客のウェブアプリケーションを保護するのを手伝っている、という背景になる。 そして、私が私のレビュー、私の推奨事項、そして彼らが彼らのセキュリティ製品に行うべきであると私が考える微調整を提示しているとき、多くの時間は、彼らのアプリケーションが最初からセキュリティを念頭に置いて書かれていなかったからである。 しかし、それだけでなく、彼らの側から変更を加えることが容易な方法で書かれていなかった。

だからこそ、私たちの観点からは、私のセキュリティチームの観点からは、カスタムセキュリティルールを作成することで、アプリケーション内で仮想パッチを適用できる。 セキュリティレビューを行うことに関しての質問と、それがどのように顧客がより良いことができるかを明らかにすることができるかについての答えだと思う。 間違った提案をすることに関しては偽陽性だと誤認したことは一度もない

(ジェフ・パッツァー)やったことない それは起こらなかった。

クリス・ヘレラ:私はキャリアの初期に、特定のIPアドレスを推薦したりブラックリストに載せたりするという点で少し熱狂的だったかもしれない。 それに慣れてくると、それはこの時点での防衛の一種の最後のラインである。 でもたぶん最悪の決断だ小さな間違いだ

トム・ゴラップ: ASMの力とは、あなたのビジネス、攻撃対象領域、ビジネスが抱えているリスクを見て、利用可能なツールを使ってそれらのリスクを軽減する方法を見つけることができることだと思う。 パッチを適用することは、今日達成できるものではないことがある。 知らない事件に取り組んでたたぶん10年前彼らの最も重要な資産の1つで犯罪捜査があったコンフィッカーに感染した

Confickerを覚えているかどうかはわからないが、マシンは今日でも危険にさらされているかもしれない。なぜなら、マシンの応答は、このマシンが私たちに1分あたりのお金を稼いでいるからだ。 それは彼らにあまりにも多くのお金を作っていたいくつかのプロセスを行っていた。 彼らの決定は、ネットワークからそれを削除し、それが動作し続けるようにそれをエアギャップすることだったが、それは感染したままだった。 実際には、ネットワークに接続しないようにサインアップしていると思うし、そうやって解決したんだ。 ビジネスの観点からは、そのマシンを壊して、それに関連する収益を危険にさらす価値はなかったからだ。 彼らはむしろ妥協された状態で処理を続けることを望んでいる。

Windows XPマシンはまだある程度生産されているだろう。 WAFは素晴らしいが、適切なツールを用意しているのと同じように、仮想パッチは素晴らしい例だと思う。 その間はどうするのか。 どうすれば解決できるのか、そしてあなたの専門知識を活用するのか、それは素晴らしい推薦であり、微妙な違いがある質問だと思う。

ASMのように、オンプレミスとクラウドの違いはあるだろうかと考えていた。 結果は変わるだろうか、ツールの価値は変わるだろうか? この2つのソリューションの違いは何か?

クリス・エレラ:すごい すぐに考えているので、多くの変更がある可能性がある。 結局のところ、彼らは目標と同じようなことをしているだけだ。目標は、在庫を特定したり、脆弱性がどこにあるかを把握したりすることだ。 しかし、オンプレミスとクラウドベースの違いは、これは、多くのセキュリティ製品や、それらが過去10年ほどで取ってきた進化に似ている。

要するに、WAFに関しては、少なくとも以前は完全にオンプレミスであった。 それは非常に高価な数十万ドルのマシンであり、1台のマシンが処理できるのと同じくらいの処理能力を知っていて、今ではそれらのほとんどはクラウドベースであり、ユーザーはそれらが検査できるトラフィックの量やそれらの線に沿ったものを心配する必要はない。 つまり、ASMクラウドベースとオンプレミスでは、技術的能力とコンピューティング能力に関して同じような類似点が多い。

それだけじゃない それは、誰が基盤となるアーキテクチャの変更を行う責任があるかという二分法を持つだろう。 ハードウェアを購入して、それらすべてが機能していることを確認しなければならない。 クラウドベースのソリューションであれば、サービスを使用する権利を購入または使用して支払う人の権限に分類される可能性がある。 また、オンプレミスとクラウドベースの他のセキュリティ製品と非常によく似た機能を持つことになる。

そのため、クラウドベースのASMは、自社のネットワーク外でプロアクティブにスキャンし、インターネット全体をスキャンするという点で、おそらくはるかに多くの機能を持つだろう。 一方、少なくとも私の頭の中では、オンプレミスのソリューションはそれ自身の環境に限定されるかもしれない。 それが全てなら理にかなっているかもしれない しかし、他に何が存在するのか、攻撃者が自分の環境に対して何を利用できるのかを見たい場合は、それも考慮に入れる必要がある。

Jeff Patzer:追加するわクリス 時々人々はプレミスではハードウェアを所有しハードウェアを動かすと考える 長い間そうだったと思う。 しかし、あなたが自分のソフトウェアを実行し、その所有権を所有するプレムというアイデアもあり得る。 ある種のオープンソースパッケージを考えてみよう。自分で何かをゼロから構築するのではなく、既存のオープンソースを使って、ある種のクラウドネットワーク内で実行する。

全体的な意図は、あなたが有料で管理しているサードパーティのサービスを購入していることを知らないのではなく、たとえクラウドスケーラー上で実行されていても、実際にその管理を所有していることである。 私にとっては、結果は変わらない。あなたがしていたのと同じことをする必要があるように、サードパーティ製のものを使用しているか、それが何であれ、あなた自身のオープンソースパッケージを実行しているかにかかわらず。 結局のところ、それらはすべて何らかの形で露出しているだけで、超単純なものから、非常に複雑なものまで、重要なものを捉えているものまで何でもあるからだ。

トム・ゴーラップ:うん、面白いね。 一つの違いは、私の心の中で一番目立っていたのは、雲の分散性と、地球上のさまざまな場所からスキャンする能力である。 中国でのネットワークの外観 ロシアからはどう見えるか? ラトビアでの顧客との比較ではどうだろうか? 彼らの立場からすると、それはどのように見えるか? 世界をそのように切り開いて、別の方法で管理できるのは面白いかもしれない。 しかし同時にORBネットワークの利用が増え中継ボックスが稼働しジオフェンスは事実上機能しなくなっている どうでもいい どこから来たとしても封鎖すべきだ

これは素晴らしかった。 ジェフ、アタック・サーフェス・マネジメントの最終的な考えを聞かせてくれ。 最終的な考え。

Jeff Patzer:結局のところ、ASMはあなたが構築しているもの、あなたが気づく必要があるものについての洞察を与えるもう一つのツールだと思う。 前にも言ったことがある、もう一度言う、今すぐ言う。 批判的思考の代替となる道具はない。 一日の終わりに、それが言っているものを見なければならないし、あなたはそれと理にかなった何かをすることができることを理解しなければならない。 世界中の道具を買えるでもそこに座って私が何を達成しようとしているのか考えないなら結局それは役に立たない

クリス・エレラ:ええ 私の最後の考えは、一部の人々はそれをちょっとした警官のように考えるかもしれないが、AIは明らかにいつでもすぐにどこにでも行くことはないし、どちらかといえば、あなたが行くところにもっと足場があるだけだということだ。 Jeffは批判的思考に代わるものはないと言ったが、私は仕事のためにAIを特にチャット、ChatGPTをほぼ毎日使用しており、明らかに私の仕事をすることはできないが、それは間違いなく正しい方向に私を導いてくれる。 私がこれを取り上げている理由は、ASMのための推奨事項、前進の観点からだけでなく、そのようなツールの出力に表示できる膨大な量のデータの観点からもある。 AIが何らかの役割を果たすことはほぼ必須だと思うそれが巨大であろうと小さなことであろうとそれを人間に提示し人間的に親しみやすいものにすることであろうと

トム・ゴーラップ:ああ、大好きだよ。 私はその思考プロセスが大好きだ。特に、様々なデータセットを組み合わせるときはね。 再び、私はセキュリティの姿勢、可視性、暴露と脅威に戻ってきた。Attack Surface Managementは、多くの可視性、多くの暴露をもたらし、それを脅威と結びつけて、意思決定を行い、全体的なセキュリティ体制を調整するのに役立つ情報となる。 しかしジェフの言うところによれば、批判的思考は必須である。 設定して忘れるわけにはいかない どんな道具のように。 要するにAIはいつもうまく機能しているわけではなく仕事ができないようにでもAIはあなたを導く助けになる

これは素晴らしい会話だと思うし、楽しいこともたくさんあるし、アタック・サーフェス・マネジメントについて30〜40分話したり、ウサギの穴を掘ったりすることもできるかもしれない。 でも止めないと 今日はこれで全部だ ThreatTankに参加してくれてありがとう。

Edgioの最新の脅威インテリジェンスを入手するには、edg.io。 ジェフとクリスまた来てくれてありがとう 最高だった お時間を割いてくれて感謝する