ULTRA REDで新たなオフェンシブセキュリティを実現したHALOCK

ほとんどのサイバーセキュリティ部門は毎日のルーチンで攻撃を食い止めることができていません。膨大な量のアラート、CVEスコア、部分的なシグナルでは、「本当に重大な問題とは何か」という基本的な疑問に答えることができません。

イリノイ州に本拠地を置くサイバーセキュリティコンサルティング会社であるHALOCKは実践的なオフェンシブ（能動的）セキュリティで高い評価を得ています。実際のエクスプロイトやリスク、修復に関する明確なアドバイスが常に同社のアプローチの基本になっています。しかしクライアント環境にクラウドプラットフォーム、シャドーIT、AIドリブンなサービス、吸収合併に伴って追加されたアセットが含まれるようになると、複数のエンゲージメントを常に把握することが非常に困難になりました。

ペネトレーションテストでは特定の時点での詳細なインサイトがわかります。しかし問題は攻撃サーフェスがほぼ瞬時に変化する点です。HALOCKは次のアセスメントまで常にインサイトを把握する方法を必要としていました。

理論的なリスクから検証済みのエクスポージャへ

外部攻撃サーフェスの管理用プラットフォームを検証し始めた際、HALOCKが求めていたのは新たな調査ソースではありませんでした。本当にエクスプロイト可能な問題を特定する方法が必要でした。

ほとんどのツールはソフトウェアバージョンやCVEとの関連性を基に潜在的なリスクを特定します。そのためコンサルタントは有意義なテストを回避する前に長時間かけて検証作業を行う必要がありました。

ULTRAREDによるアプローチ方法は異なります。エクスプロイト可能性を示唆するリクエスト/レスポンスの証拠を提示して各エクスポージャを実際の攻撃条件と照合して検証した上で、ヒューマンアナリストに渡されます。

これによりHALOCKのチームによる時間の使い方が変わりました。膨大な量の未確認の結果を処理するのではなく、高度なテストと的を絞った修復作業に直接進むことができます。

すでに開いていたエクスポージャ

エンゲージメントの早期にULTRA REDは他のツールでは見過ごされていた内部サブドメインを検出しました。外部からのアクセスもエクスプロイトも可能な状態でした。

これは手作業での確認が必要な仮定のシナリオでも高リスクスコアでもありませんでした。実際のエントリポイントとして機能していたのです。

HALOCKは攻撃パスの分析、ビジネスインパクトのマッピングを行い、クライアントと連携してディスカバリから数時間以内に問題を修復しました。次のテストまでに監視し続けなければ、このエクスポージャは永久に残っていたでしょう。

クライアントにとっての変化

ULTRAREDを使用してHALOCKと連携している企業/組織では次のような測定可能な変化がありました。

●   アラート量が75～90%削減した

●   修復速度が2、3倍になった

●   誤検出率が1%未満になった

これは単なる運用上の改善ではありません。コンサルタントとサイバーセキュリティ部門の両方は現実的かどうかを検証するのではなく、専門知識を必要とする作業に専念できるようになりました。

予測ではなく証拠に基づく意思決定

EASMの強化

ペネトレーションテストの代わりを見付けることがHALOCKの目的ではありませんでした。継続的なディスカバリによって各エンゲージメントの品質が向上します。

検証済みのエクスポージャによってテスト開始前に範囲を定義することができます。コンサルタントは予測ではなく確認済みの攻撃パスを基に作業を開始することができます。レポート内容を幹部や監査担当者向けのビジネスインパクトに変換しやすくなりました。

現在、HALOCKはポイントインタイムアセスメントから1回のテストから次のテストまでの継続的な監視に至るまで、複数のエンゲージメントモデルにULTRA REDのEASM（External Attack Surface Management：外部攻撃サーフェス管理）サービスを取り込んでいます。

クライアント環境が引き続き拡大する中で、証拠に裏打ちされた精査可能なセキュリティ調査結果という一貫した目標を掲げています。

ケーススタディ全文をお読みください。ULTRAREDの協力を得てHALOCKが証拠に基づく継続的なオフェンシブセキュリティを実現した方法を紹介しています。

‍