Identifying Shared Vulnerabilities and Mitigation Strategies for Cloud, Wireless and IoT
JUL 01, 2022
VERONICA WENDT、MICHELLE ANN GUO、ANTENEH GIRMA 博士
共通の特性を考慮することが、効果的なセキュリティの鍵となる可能性があります。
Considering common characteristics could be key to effective security.
クラウド、ワイヤレス、IoT のアクセス制御の脆弱性には、機密データの露出、機能レベルのアクセス制御の欠如、脆弱な暗号化、物理的/論理的アクセスを確認するための監査の欠如が含まれます。
シャッターストック/アンドリュー・ススロフ
Access control vulnerabilities for cloud, wireless and IoT include sensitive data exposure, missing function-level access control, weak encryption and lack of auditing to review physical/logical access.
Shutterstock/Andrew Suslov
<
下記URL
参照
>
モノのインターネット デバイスやクラウド コンピューティングなどの新しい機能やプラットフォームには、さまざまなテクノロジやプラットフォームにわたる最新のサイバーセキュリティ実装戦略が必要です。
1 つのアプローチは、複数の機能とプラットフォームを調べて、共通の脆弱性と緩和戦略を特定することです。
これには 3 つの利点があります。結果は組織のリスク評価をより適切に通知し、限られたリソースをリスクの高い脆弱性に優先的に割り当てることができ、セキュリティ管理の全体的な複雑さを軽減できます。
この戦略の一例は、クラウド コンピューティング、モノのインターネット デバイス、および Wi-Fi ワイヤレス ネットワークを調べて、共通の脆弱性を見つけることです。
セキュリティ管理の複雑さを軽減するために、これらの共有された脆弱性を特定することで、セキュリティ プロフェッショナルは一度に複数のリスクに対処できるようになります。
安全でないアプリケーション プログラミング インターフェース (API) と貧弱なアクセス制御の主要な共有脆弱性は、これらの主要な脆弱性の交差点で緩和戦略と的を絞った推奨事項のセキュリティ分析につながります。
New capabilities and platforms, such as Internet of Things devices and cloud computing, require updated cybersecurity implementation strategies across different technologies and platforms.
One approach is to examine multiple capabilities and platforms, identifying shared vulnerabilities and mitigation strategies.
Benefits of this are three-fold: results can better inform an organization’s risk assessment, limited resources can be prioritized for higher risk vulnerabilities and overall complexity of security management can be reduced.
One example of this strategy is to examine cloud computing, Internet of Things devices and Wi-Fi wireless networks to find shared vulnerabilities.
To lessen the complexity of security management, identifying these shared vulnerabilities can allow security professionals to address multiple risks at once, benefiting the overall cybersecurity posture.
Key shared vulnerabilities of insecure Application Programming Interfaces (APIs) and poor access control lead to a security analysis of the mitigation strategies and targeted recommendations at the intersection of these key vulnerabilities.
〇既存の脆弱性
現代の組織は、業務を遂行するためにコンピューティングとデータ テクノロジーに依存しており、ビジネス ラインが目標を達成できるようにしています。
ただし、これらの機能はセキュリティを維持し、コンピューティングおよびデータ技術の機密性、整合性、および可用性を保証する必要もあり、まとめてCIA Triadサイバーセキュリティ モデルとして知られています。
機密性とは、受信者がその個人が閲覧を許可されているコンテンツにのみアクセスできることを意味します。完全性とは、情報が改ざんされていない本物であることの保証を意味します。
可用性とは、承認されたユーザーのタイムリーで信頼できるアクセスを指します。
CIA トライアド モデルの実装の基盤は、接続されたインフラストラクチャで運用するリスクを軽減することです。
これらには、重要なデータや情報の中断、拒否、盗み、または身代金が含まれる場合があります。
脅威の一般的な形式には、分散サービス拒否 (DDoS)、ランサムウェア、中間者攻撃などがあります。
一般的な脆弱性には、暗号化の欠如、システムやサーバーの構成ミス、最新のセキュリティ パッチによるソフトウェアの更新の失敗などがあります。
新しいテクノロジーにより、新しいセキュリティの課題が発生します。
これは、以前の課題に取って代わるものではなく、リスクを増大させ、より適応性の高いサイバーセキュリティ アプローチを必要とします。
クラウド コンピューティング、ワイヤレス通信、モノのインターネット (IoT) という比較的新しいテクノロジの 3 つの例は、変化する環境への適応を必要とする脆弱性を生み出します。
1 つのアプローチは、まず共通の脆弱性を見つけてから、対象を絞ったセキュリティ分析を使用してそれらに対処し、セキュリティ プロフェッショナルに関連情報を提供して、限られたリソースをどこにどのように集中させるかを決定することです。
米国国立標準技術研究所 (NIST) によると、クラウド コンピューティングは、構成可能なコンピューティング リソースの共有プールへのユビキタスで便利なオンデマンド ネットワーク アクセスを可能にするモデルとして定義されており、最小限の管理作業で迅速にプロビジョニングおよびリリースできます。
またはサービスプロバイダーとのやり取り。この分析に最も関連するのは、サービスとしてのインフラストラクチャ、サービスとしてのプラットフォーム、サービスとしてのソフトウェア (SaaS) のクラウド サービス モデルです。
IoT デバイスで実装される可能性が最も高い SaaS では、クラウド サービス プロバイダー (CSP) が顧客のクラウドベースのソフトウェアをホストします。ユーザーは、コンピューティング デバイスにクライアント ベースのソフトウェアをインストールするのではなく、Web ブラウザーを介してインターネット経由でアクセスするか、API を介してアプリとしてアクセスするリモート クラウド ネットワークを介して、アプリケーションの機能にアクセスできます。ソフトウェア アプリケーションを使用して、データを保存および分析し、プロジェクトで共同作業を行うことができます。
4 つのクラウド展開モデルは、リソースの場所、それらのリソースを共有するテナントの数、および提供されたクラウド サービスにアクセスできるエンティティ (パブリック、プライベート、コミュニティ、ハイブリッド) の特定のプロパティに従ってそれぞれ定義されます。
パブリック クラウドでは、CSP はクラウド インフラストラクチャをサービスをレンタルするすべての顧客にプロビジョニングします。
これらの顧客は、マルチテナンシー環境でコンピューティング スペースを他のユーザーと共有します。
パブリック クラウドは、企業、学術機関、または政府機関によって所有、管理、運用される場合があります。
パブリック クラウドの一般的な用途には、ファイル共有、Web ベースの電子メール、オンライン オフィス アプリケーションなど、ミッション クリティカルではないタスクが含まれます。
組織に対する主要なクラウド アプリケーションの脅威には、構成ミス、貧弱なアクセス制御、機能レベルのアクセス制御の欠落、安全でない API、内部関係者の脅威、共有テナンシー、サプライ チェーンの脆弱性などがあります。
6 つの主要なクラウド アプリケーションの脅威が分析のために浮上しています。
クラウドの脆弱性の緩和に関する米国国家安全保障局 (NSA) の最近のレポートによると、構成ミスは最も一般的な種類のクラウド セキュリティの脆弱性です。
構成ミスは、多くの場合、トレーニングを受けていないか、クラウド コンピューティングの共有責任モデルの理解が不足していることが原因で、自傷行為となる傾向があります。
アクセス制御とは、許可されていないすべてのユーザーのアクセスをブロックしながら、制限されたデータおよびリソースへのアクセスを許可されたユーザーに許可する組織の機能です。
組織的には、リソースへのアクセス/リソースからの制限は、職務上の地位、機能要件、データの機密性、または組織外のミッション パートナーと協力するための要件などのさまざまな要因に基づく場合があります。
機密データの公開、機能レベルのアクセス制御の欠落、安全でない API などの不十分なアクセス制御は、構成ミスや特定のクラウド実装要件に関するトレーニングの欠如が原因である可能性があります。
アクセスと API の使用はどちらも SaaS の重要なコンポーネントです。
SaaS では、アプリケーションは他のアプリケーションの機能と Web サービスを利用することで機能します。貧弱なアクセス制御に対する脆弱性を軽減する 1 つの方法は、意図せずに漏洩する可能性があるソフトウェア バージョン管理システムから API キーを除外することです。
ワイヤレス通信ネットワークは、電波を介してデータを送受信できるようにする一連のプロトコルと標準で構成されています。
ワイヤレス ネットワークの一般的な例には、4G/5G セルラー、Bluetooth、IEEE 802.11 Wi-Fi などがあります。
ワイヤレス Wi-Fi は、多数のデバイス接続と顧客をサポートするために必要な有料サブスクリプションの数が少なく、多くの IoT デバイスとアプリケーションをコスト効率よくサポートできるため、組織での使用に最適です。
〇クラウド、ワイヤレス、IoT をつなぐ
通信ネットワークの IEEE 802.11 Wi-Fi セットには、悪の双子攻撃、ワイヤレス スニッフィング、不正なコンピュータ アクセス、モバイル デバイスの盗難など、ワイヤレス通信に対する既存の脅威があります。
リスクを軽減するためのアクションには、パスワードの頻繁な変更、サービス セット識別子 (SSID) の保護、ファイアウォールのインストール、ウイルス対策ソフトウェアの保守、データの暗号化、アクセスの制限、ファイル共有の慎重な使用が含まれます。
ワイヤレスの主要な脆弱性には、貧弱なアクセス制御、安全でない API、DDoS 攻撃、脆弱な暗号化の実装、不正なアクセス ポイント、サプライ チェーンの脆弱性などがあります。
これらは、構成の誤りから暗号化プロトコルの脆弱性または欠落に至るまで、さまざまな原因から生じます。
貧弱なアクセス制御は、物理的 (ワイヤレス機器を非セキュアな領域に配置する、機密領域へのアクセスに対する脆弱な資格証明、アクセスを確認するための監査の欠如) または論理的 (脆弱な暗号化を使用する、デフォルトのパスワードの変更に失敗する、特定するための侵入検知システムの欠如) のいずれかです。不正なアクセス ポイント)。
ワイヤレス ネットワーク、特に構成と管理をリモート アクセスに依存しているネットワークでは、API を使用してバックエンド機能を管理します。脆弱性はアクセス制御の脆弱性に似ており、ポート制御管理が追加されています。API インターフェイスの保護は、多要素認証、仮想プライベート ネットワーク経由の接続、未使用ポートの非アクティブ化などの強力な認証/アクセス手順に依存しています。
IoT とは、インターネットまたは相互に接続され、センシング、通信、計算、または測定データの提供を行うデバイスを指します。
より多くのテクノロジーが新旧のデバイスにますます洗練された接続機能を組み込むにつれて、IoT デバイスの展開はより大きな攻撃対象領域を生み出し、リスクの考慮事項を増やします。
司法省のサイバーセキュリティ ユニットによると、IoT デバイスはマルウェアやハッキングに対して脆弱であり、プライベート ネットワーク アクセスにつながる可能性があるとのことです。
脆弱性には、脆弱なパスワード、セキュリティで保護されていないネットワーク サービス、プライバシー保護の欠如、不適切なデータ転送と保存が含まれます。
企業に関連する IoT の主要な脆弱性には、不十分なアクセス制御、安全でない API、物理的なセキュリティの欠如、デバイス セキュリティ オプションの制限、ソフトウェアのアップグレードとパッチ適用の制限、サプライ チェーンの脆弱性が含まれる場合があります。
IoT の脆弱性は、一般にデバイスの計算能力が低く、ハードウェアの制限があり、組み込みのセキュリティ機能やソフトウェアの更新を実装することが困難になっていることに起因します。
緩和戦略には、一意のパスワードの使用、デフォルトの資格情報の変更、および暗号化されたデータの使用が含まれます。
IoT ベンダーは、アンチロールバック メカニズムを使用して、不正なエンティティがソフトウェアを安全性の低い古いバージョンに戻すことを防ぎ、オペレーティング システム、コード、およびサード パーティが安全でない製品を提供しないようにすることで、脅威からデバイスをさらに保護できます。
セキュリティの複雑さの 1 つの側面に対処するために、表 I に示すように、クラウド、ワイヤレス、および IoT の主要な脆弱性を比較しました。脆弱性を並べてリストすると、分析により、アクセス制御と API 実装という少なくとも 2 つの共通点が示されます。サプライ チェーンと DDoS も、さらに分析することなく特定されました。サプライ チェーンでは、各プラットフォームのサプライ チェーンの構造を詳細に調査する必要がありますが、DDoS には、攻撃を実行するための一連のオプションが含まれます。
脅威/脆弱性
クラウド、ワイヤレス、IoT
の脅威と脆弱性の比較
クラウド、ワイヤレス、IoT が交差する主要な共有/一般的な脆弱性は、貧弱なアクセス制御と安全でない API です。
〇一般的な脆弱性
ベスト プラクティスでは、ポリシーまたは一連のポリシーに従って、アクセス制御手段と API インターフェイスの承認を実装します。
これは各組織に固有であり、組織の目標に適した方法でアクセスを同時に許可および制限します。
これが実際に難しいのは、AC と API インターフェースの両方の承認が固定された取り決めではなく、組織のニーズ、顧客、および/またはミッションの要件に応じて変化することです。
クラウド、ワイヤレス、IoT のアクセス制御の脆弱性には、機密データの露出、機能レベルのアクセス制御の欠如、脆弱な暗号化、物理的/論理的アクセスを確認するための監査の欠如が含まれます。
次のステップは、さまざまな対策を分析し、緩和戦略に共通の特徴が存在するかどうか、またはどのような特徴があるかを特定することです。
アクセス制御と API の推奨される緩和戦略を調査すると、組織のリスクを軽減できる一連のアクションを推奨することにつながります。
これらの緩和戦略は表 II
<
下記URL
参照
>
にリストされており、括弧内に行動の脆弱性が示されています。
共通の特性を調べると、1 つの軽減戦略が浮かび上がります。
それは、過剰なアクセスの削減 (クラウド、IoT) やホワイトリストによるアクセスの制限 (クラウド、ワイヤレス) などの強力なアクセス制御メカニズムです。
動的な組織環境では、ほぼリアルタイムのイベントを収集して処理する焦点を絞ったデータ分析などの追加ツールを既存の緩和戦略の上に重ねて、セキュリティ マネージャーにコンテキストと粒度を提供できます。
〇緩和策/解決策
クラウド、ワイヤレス、IoT
緩和戦略の比較
少なくとも 2 つのプラットフォームで、多要素認証 (MFA) を使用してシステム/デバイスへのアクセスを許可する、別のアクセス制御緩和戦略が見られます。
3 つのプラットフォームすべてが MFA を実装することでメリットを得ることができますが、MFA はハードウェア設計または物理構成によってすべての IoT デバイスで実現できるわけではありません。
API の実装に関する明確な軽減戦略はありませんが、API 呼び出しの認証や強力なデータ検証/検証手順など、重複するメカニズムがいくつかあります。
不正なデータ呼び出しのほぼリアルタイムの検出を強化し、実装されたセキュリティ プロトコルの上にその検出データをオーバーレイするツールは、組織のネットワークおよびデータ セキュリティ対策に対するチェック アンド バランスのアプローチを提供できます。
クラウド コンピューティング、ワイヤレス Wi-Fi、および IoT デバイスの実装に関連する脅威と脆弱性には、共通性と重複する緩和戦略があります。
並べて比較すると、貧弱なアクセス制御と安全でない API という 2 つの主要な共通の課題が特定されます。緩和戦略に関しては、2 つの特定の戦略に集中することが有望です。
1 つ目は、過剰な権限を持つアクセスを減らしながら、組織のニーズへの対応を維持する強力なアクセス制御です。
2 つ目は、要求側システムの検証を必要とする API 呼び出し認証ですが、さらなるビジネス機能の開発を可能にします。
組織にとって考えられる利点には、組織のリスク評価への実用的な情報の適用、複雑さの軽減、およびリソースの優先順位付けが含まれます。
セキュリティ管理者は、クラウド コンピューティング、ワイヤレス、および IoT システムの脆弱性を個別に扱うのではなく、それらの共通の特性を確認し、限られたリソースを 3 つすべてに対処する緩和戦略に集中させることができます。
Veronica “Vern” Wendt は、電気通信システムと新興技術において 20 年以上の経験があります。
彼女は、国防大学の情報およびサイバースペース カレッジのリサーチ フェローであり、防衛関連の基礎的な社会科学の能力を向上させることを目的とした、学生主導の問題ベースの研究計画を調整しています。
Vern は、電気通信の専門家として 21 年間勤務した後、米陸軍を退役した、勲章を授与された退役軍人です。
彼女は、米国陸軍士官学校で機械工学の学士号を取得し、UMUC で電気通信管理の修士号を取得しています。
Veronica “Vern” Wendt has over two decades of experience in telecommunications systems and emerging technologies. She is research fellow at the National Defense University’s College of Information and Cyberspace, where she coordinates a student-led, problem-based research agenda that seeks to improve capacities in defense-related basic social science.
Vern is a decorated veteran who retired from the U.S. Army after serving 21 years as a telecommunications specialist.
She holds a B.S. in mechanical engineering from the United States Military Academy and an M.S. in telecommunications management from UMUC.
Michelle Ann Guo は、コロンビア特別区大学 (UDC) の理学修士 (MSCS) プログラムの研究卒業生です。
彼女の研究は、主に Android モバイル アプリの開発、人工意識、サイバーセキュリティに焦点を当てていました。
彼女は UDC Lockheed Martin Research Fellowship を授与され、UDC の CodePath プログラムの卒業生であり、UDC の Spring 2021 Research Week ではプレゼンターを務めました。
Michelle Ann Guo is a research graduate of the Master of Science Computer Science (MSCS) program at the University of the District of Columbia (UDC). Her research primarily focused on Android mobile app development, artificial consciousness, and cybersecurity.
She was granted a UDC Lockheed Martin Research Fellowship, is an alumna of UDC’s CodePath program and was a presenter during UDC’s Spring 2021 Research Week.
Anteneh Girma 博士は、コロンビア特別区大学のサイバーセキュリティ プログラムのディレクターであり、コンピューター サイエンス/サイバーセキュリティの准教授です。
Dr. Anteneh Girma is the director of Cybersecurity Program and associate professor of computer science/cybersecurity at the University of the District of Columbia.
Dr. Girma は、サイバーセキュリティ研究者であり、サイバーセキュリティおよびコンピュータ サイエンス プログラム委員会の審査委員会のメンバーです。
ギルマ博士の研究成果は、さまざまな査読付きジャーナルや書籍の章に掲載されています。
Dr. Girma is a cybersecurity researcher and review board member for Cybersecurity and Computer Science program committees.
Dr. Girma’s research works have been published on different peer-reviewed journals and book chapters.
