みなさん、こんにちは!
本記事では、XM Cyber における「攻撃経路算出」の中核となる シナリオ について解説します。シナリオは、攻撃者の行動をシミュレーションし、実際にどのように内部資産へ到達し得るかを可視化する仕組みです。企業資産から侵入地点と重要資産を選択するのみで簡単にシナリオを作成できますが、作成時のポイントや考え方などをお伝えします。
では、本編です
前提
簡単に前提に触れます。XM Cyberは、ご利用いただくまでに導入フェーズ/運用フェーズが存在し、導入フェーズでは情報収集のために各コンポーネントとXM Cyberクラウドを連携します。運用フェーズでは情報収集したデータから攻撃シナリオを作成しリスクの可視化/修正を行います。シナリオ作成は、運用フェーズにおいてCTEMフレームワーク化の肝となる設定になります。
シナリオ概要
シナリオは企業内に存在する資産をもとに始点 Breach Point (侵入地点)と終点 Critical Assets (重要資産)を決める必要があります。XM Cyberの特徴であるオンプレ環境、クラウド環境を横断したアタックパスの可視化と優先的に修正すべきChoke Point (チョークポイント)を発見するために目的と環境に合わせたシナリオ作成が必要です。
また、作成するシナリオは大きく3ステップで精度を高めます。情報収集→拠点間やクラウド間を横断する経路の可視化→優先的に修復すべきChokePointの発見と企業にとって重要な項目へ複数のシナリオを作成しながら最適化を行います。
企業にとっての重要資産とは?
企業の中で重要資産を棚卸するときに悩まれるケースがあります。普段から資産に対する取り扱いを考えていない場合、参考にどのようなものが重要資産となるのか一例をあげます。基本的な考え方としては、社員や顧客情報などの個人情報が格納されている場所や企業にとって機密となり得る情報が格納されている場所を重要資産とします。
Entityの有効活用
シナリオを作成するうえで欠かせないものが「Entity」と「Label」です。使う用途としては資産のグルーピングで特定の目的に合わせて資産をまとめられます。Sensorの導入もしくは、API連携した資産からその資産情報を取得し属性情報として自動で種別化しEntityが付与されます。また、Labelはユーザーが作成し資産に割り当てることも可能です。
シナリオ作成
ここからはシナリオ作成手順を要約してご紹介します。3つのステップでシナリオを作成することができます。基本的にはテンプレートがあり、それを最適化していきますので難しい設定ではございません。
- テンプレート選択:環境のヒアリングを行ったうえでテンプレートを活用しベースとなるシナリオを選択します
- Label付け:企業ごとに重要資産を加味したシナリオ作成を行うため重要資産にLabelをつけます
- シナリオ作成:テンプレートにLabel付けした重要資産情報を反映し企業に適したシナリオへ最適化します
実際の作成シナリオご紹介
実際に作るシナリオを一部ご紹介します。XM Cyberの特徴であるオンプレ、クラウド環境を横断したアタックパスの発見とリスクの検出を最大限に高めるために目的と環境に合わせて作成します。
シナリオ設定手順
XM Cyberの管理画面からシナリオ作成する場合、以下のステップで設定完了です。基本的には、Breach PointとCritical Assetsを決定し、シナリオを複数回実行しながら調整していくことでより良い検出結果を生みます。
管理画面のキャプチャです。連携している資産のEntityを選択しながら設定を進めます。動的に資産が変化しても対応できるようにEntityやカスタムラベルを指定することで、シナリオの作り直しにならず運用の負荷を下げることができます。現状管理画面は全て英語ですが、日本語での設定手順書がございます。
シナリオ確認
ここからが本題ともいえる作成したシナリオが検出した内容の精査です。検出結果は、Scenario Hubではスコア値、Battlegroundではアセットグラフのような形で攻撃経路が確認できます。詳細は別の記事に記載します。
ここまで読んでくださりありがとうございます!
XM Cyber は、シナリオを作成することで攻撃者が実際に狙うであろう経路を明確にし、重要資産に直結するリスクを優先して対策できます。全ての始まりはシナリオ作成といっても過言ではないので、環境に合わせたシナリオ作成が重要です。
※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
正確性、最新性、完全性は保証できませんのでご了承ください。
他のおすすめ記事はこちら
著者紹介
SB C&S株式会社
技術本部 技術統括部 第4技術部 1課
秋池 幹直
