NSA のトップ 10 の緩和策は、高度持続的脅威(APT)行為者が使用する広範な悪用技術に対抗するものです。NSA の緩和策は、業務への影響を最小限に抑えるため、企業組織に優先順位を設定します。また、NIST サイバーセキュリティフレームワークの機能に基づいて、サイバーセキュリティのリスクを管理し、深層防護のセキュリティ態勢を促進するための緩和策を策定しています。緩和策は、既知の APT 手口に対する有効性によってランク付けされています。新たな脅威の発生を防ぐためには、さらなる対策とベ最も効率の良い技法の導入が必要です。
- ソフトウェアのアップデートとアップグレードを直ちに行う
利用可能なすべてのソフトウェアアップデートを適用し、可能な限りその適用プロセスを自動化し、ベンダーから直接提供されるアップデートサービスを利用する。脅威者は脆弱性(セキュリティホール)を研究し、脆弱性情報が公開されるとすぐにエクスプロイトを作成することが多いため、自動化が必要です。これらの「N-day」エクスプロイトは、ゼロデイと同等の損害を与える可能性があります。また、ベンダーのアップデートは信頼できる製品でなければなりません。アップデートは通常、署名され、コンテンツの整合性を保証するために保護されたリンクで配信されます。迅速かつ徹底したパッチ適用を行わなければ、脅威者は防御側のパッチサイクルの内側で活動することができます。 - 特権とアカウントの保護
リスク露出に基づき、運用を維持するために必要な特権を割り当てる。特権アクセス管理(PAM)ソリューションを使用して、クレデンシャル管理ときめ細かなアクセス制御を自動化する。特権を管理するもう一つの方法は、階層化された管理者アクセスで、上位の階層に行くほどアクセス権が増えるが、アクセスできる人数は少なく制限される。クレデンシャル(パスワード、トークン、チケットなど)を安全にリセットするための手順を作成する。脅威者は、高価値の資産にアクセスするため、そしてまたネットワーク内を横方向に移動する方法として、管理者の認証情報を狙い続けているため、特権アカウントとサービスを厳格に管理する必要がある。 - 署名付きソフトウェア実行ポリシーの適用
スクリプト、実行ファイル、デバイスドライバ、システムファームウェアに対して署名付きソフトウェア実行ポリシーを適用する最新のオペレーティングシステムを使用する。違法な実行ファイルの使用やインジェクションを防止・検出するために、信頼できる証明書のリストを維持する。実行ポリシーは、セキュアブート機能と併用することで、システムの完全性を保証することができる。アプリケーション・ホワイトリスト方式は、署名されたソフトウェアの実行ポリシーと共に使用することで、より大きな制御が可能になります。署名されていないソフトウェアを許可すると、脅威者は埋め込まれた悪意のあるコードによって足場を固め、永続性を確立することができる。 - システムリカバリープランの実行
包括的な災害復旧戦略の一環として、データの復旧を確実にするために、システム復旧計画を作成し、見直し、実施する。この計画では、重要なデータ、設定、ログを保護し、予期せぬ出来事による業務の継続を保証する必要があります。さらに保護するために、バックアップは暗号化し、遠隔地に保存し、可能な限りオフラインにし、システムとデバイスの完全な回復と再構成をサポートする。定期的にテストを行い、バックアップ計画を評価する。刻々と変化するネットワーク環境に対応するため、必要に応じて計画を更新する。復旧計画は、自然災害やランサムウェアなどの悪意のある脅威に対する緩和策として必要なものである。 - システムおよび構成の積極的な管理
ネットワーク機器とソフトウェアのインベントリーを作成する。不要なハードウェアやソフトウェア、予期せぬハードウェアやソフトウェアをネットワークから削除する。既知のベースラインから開始することで、攻撃対象領域を減らし、運用環境の制御を確立する。その後、デバイス、アプリケーション、オペレーティングシステム、およびセキュリティ設定を積極的に管理する。アクティブな企業管理により、管理業務を拡張・合理化しながら、動的な脅威環境にシステムを適応させることができるようになる。 - ネットワーク侵入の継続的な追跡
ネットワーク内の悪意のある存在を検知し、封じ込め、除去するための積極的な措置を講じる。企業組織は、侵害が発生したことを想定し、専門チームを編成して、ネットワーク内の脅威要因を継続的に探し出し、封じ込め、除去する必要があります。ログ、セキュリティ情報およびイベント管理(SIEM)製品、エンドポイント検出および応答(EDR)ソリューション、その他のデータ分析機能などのパッシブ検出メカニズムは、悪意のある行動や異常な行動を発見するための貴重なツールです。また、発見されたセキュリティ侵害に対処するため、文書化されたインシデント対応手順を用いた追跡作業や侵入テストも積極的に行う必要があります。プロアクティブな手段を確立することで、基本的な検知方法を超えて、継続的な監視と緩和戦略を用いたリアルタイムの脅威検知と是正を可能にする。 - 最新のハードウェア・セキュリティ機能の活用
UEFI(Unified Extensible Firmware Interface)セキュアブート、TPM(Trusted Platform Module)、ハードウェア仮想化などのハードウェアセキュリティ機能を利用する。古い端末に対し、定期的な入れ替えスケジュールを設定する。最新のハードウェア機能は、ブートプロセスの整合性を高め、システムの認証を提供し、高リスクのアプリケーションを封じ込める機能をサポートする。旧式のハードウェアで最新のオペレーティングシステムを使用すると、システム、重要データ、ユーザー認証情報を脅威から保護する機能が低下するリスクを抱える。 - アプリケーションの通信品質要求防御によるネットワークの分離
重要なネットワークとサービスを分離する。アプリケーション層制御(ALG)などアプリケーションを意識したネットワーク防御を導入し、ポリシーや法的権限に従って、不適切に形成されたトラフィックをブロックし、コンテンツを制限する。既知の不正なシグネチャに基づく従来の侵入検知は、暗号化や難読化の技術により、その有効性が急速に低下している。脅威者は悪意のある行動を隠し、一般的なプロトコル上でデータを削除するため、最新のネットワーク防御には、アプリケーションを意識した高度な防御メカニズムが不可欠。 - 脅威の振る舞いサービスを統合
ファイル、DNS、URL、IP、電子メールアドレスのためのマルチソースの脅威レピュテーションサービスを活用する。レピュテーションサービスは、悪意のあるイベントの検出と防止を支援し、脅威への迅速なグローバル対応、既知の脅威からの露出の削減を可能にし、組織が単独で提供できるよりもはるかに大きな脅威分析とティッピング機能へのアクセスを提供する。標的型攻撃やグローバルキャンペーンなどの新たな脅威は、ほとんどの組織が対応できる速度よりも速く発生するため、新たな脅威に対するカバー率が低くなっている。マルチソースのレピュテーションと情報共有サービスにより、動的な脅威に対してより迅速で効果的なセキュリティ態勢を提供することができる。 - 多要素認証への移行
高い権限を持つアカウント、リモートアクセス、高価値の資産で使用されるアカウントの保護を優先させる。パスワードやPINなどの知識ベースの要素を補完するために、物理的なトークンベースの認証システムを使用する。組織は、パスワードベースのシステムなどの単一要素認証から移行する必要があります。このシステムは、ユーザーの選択が不適切で、クレデンシャルの盗難、偽造、複数のシステムでの再利用の影響を受けやすくなっている。
