The Hacker Newsはこのほど、「New XM Cyber Research: 80% of Exposures from Misconfigurations, Less Than 1% from CVEs」において、イスラエルのサイバーセキュリティ企業「XM Cyber」が公開したセキュリティレポート「eBook | Research Report: 2024 State of Exposure Management」について解説した。
4,000万件以上の脆弱性と数万件の攻撃経路を分析
このセキュリティレポートは企業における4,000万件以上の脆弱性(exposures)と数万件の攻撃経路について分析したもの。そのポイントとして、以下が紹介されている。
必ずしも脆弱とは限らない
大半の組織(約86%)において、リモートコード実行(RCE: Remote Code Execution)の脆弱性はすべての脆弱性の1%に満たず、重要な脆弱性の11%しか占めていない。対して資格情報の構成ミスは脆弱性の80%を占めており、これら脆弱性の3分の1は機密情報をリスクにさらしている。
つまり、セキュリティ対策は脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)に登録されるような脆弱性の修正だけでは不十分であり、脆弱な資格情報などを対策する必要がある。
チョークポイントを探す
従来のセキュリティ対策はすべての脆弱性を修正するものであったが、脆弱性の74%は攻撃者の行動を制限するため重要ではない。残りの26%のセキュリティ対策が重要であり、機密情報につながるチョークポイント(戦略的に重要な経路)の特定が重要。調査ではチョークポイントの20%が機密情報の10%以上につながっていた。
重要な資産に焦点を当てる
重要なのは機密情報につながる脆弱性であり、クラウド環境は機密情報を危険にさらしている。Active Directoryは組織のアカウント管理の基礎だが、漏洩事案の80%はActive Directoryの構成ミスまたは弱点に起因している。
業界ごとの異なる傾向
業界ごとにセキュリティリスクは異なる。エンティティ(潜在的な攻撃ポイント)の多い業界ほど脆弱性も多くなる傾向があり、医療はエネルギーおよび公共事業に比べ5倍の脆弱性が存在する。しかしながら、重要なのは機密情報につながる脆弱性の割合。運輸やエネルギー業界の脆弱性は少ないが、機密情報につながる脆弱性の割合は高い。
結論
本当に必要なセキュリティ対策は脆弱性情報データベース(CVE)に偏重した対策ではなく、影響の大きい脆弱性(exposures)への対策。機密情報につながるチョークポイントを特定し、修復することが重要となる。The Hacker Newsは従来のセキュリティ対策から脱却し、現実世界の攻撃ベクトルに焦点を当てた対策に移行する時期が来たとし、レポートを閲覧して新しい一歩を踏み出すことを推奨している。