概要
- Ivanti は、研究者が活発な悪用を報告した後、Connect Secure および Policy Secure に影響する連鎖的な脆弱性を開示した。これには CVE-2023-46805 認証バイパスと CVE-2024-21887 コマンドインジェクションが含まれる。
- Volexity と Mandiant は、Ivanti VPN アプライアンスに対する攻撃者の活動について、ウェブシェル、認証情報や設定へのアクセス、永続化を狙った手口などを説明した。
- CISA は連邦機関向けに緊急指令 ED 24-01 を発行し、後に影響を受ける機関に対し、脆弱な製品の切断、設定のエクスポート、アプライアンスのリセット、アップグレード、正常な設定のインポートを行ってからサービスを復旧するよう求めた。
- このインシデントは VPN アプライアンスをガバナンスの表面(管理面)へと変えた。インベントリ、緩和策のタイミング、インテグリティチェックの信頼性、再構築の閾値、認証情報のローテーション、ログ取得、継続性計画が、パッチの可用性と同様に重要となった。
- 公開情報は、悪用が判明した後は、露出したリモートアクセスアプライアンスを侵害された可能性があるシステムとして扱う必要があるという高い信頼性をもつ結論を裏付けている。すべての Ivanti 顧客が侵害されたことや、その後のリモートアクセスインシデントがすべて同じ脆弱性チェーンに起因することを証明するものではない。
連鎖的脆弱性がリモートアクセスを最初の説明責任の問いにした
Ivanti のCVE-2023-46805 および CVE-2024-21887に関する公開アドバイザリでは、Connect Secure と Policy Secure ゲートウェイに影響する脆弱性の組み合わせが説明された。CVE-2023-46805 は認証バイパス、CVE-2024-21887 はコマンドインジェクションである。組み合わせにより、認証されていない攻撃者が脆弱なアプライアンス上でコマンド実行パスに到達することが可能になった。リモートアクセスゲートウェイにとって、これは深刻な制御障害である。なぜなら、そのアプライアンスは、外部の者が認証された内部の者になる正にその境界に位置しているからだ。
Volexity の2 件のゼロデイ脆弱性の活発な悪用に関するレポートは、2023年12月に悪用を観測し、その活動を中国国家支援の疑いがあるアクター「UTA0178」と関連付けた。Mandiant のIvanti のゼロデイを標的とした疑いのある APTの分析では、エクスプロイト後のツール、ウェブシェル、認証情報アクセス、アクセス維持の試みについて説明された。これらのレポートにより、このインシデントは単なるベンダーアドバイザリ以上のものとなった。現実の侵入活動が公の記録に刻まれたのだ。
したがって、説明責任の問いは、顧客が変更チケットを起票する前から始まっていた。どのアプライアンスが露出していたのか?各アプライアンスの所有者は誰か?誰がすぐに緩和策を適用できるのか?緩和前にアプライアンスが侵害されていたかどうかを誰が確認できるのか?重要な業務を停止せずにリモートアクセスを切断できるのは誰か?これらは技術的な問いであると同時に、組織的な問いでもある。
この違いは重要である。ソフトウェアライブラリに重大な脆弱性がある場合、組織はシステムにパッチを適用し、アプリケーションの動作を監視すればよい。VPN アプライアンスが悪用された場合、ゲートウェイ自体が足掛かりになり得る。アクセスを仲介し、機密情報を保持し、真実の一部だけをログに記録する。そのため、信頼の回復が難しくなる。
CISA はリスクを緊急運用指示とした
CISA のアラートIvanti Releases Mitigations for Connect Secure and Policy Secure Gatewaysは、管理者に対し、Ivanti のアドバイザリを確認し緩和策を適用するよう促した。連邦政府の対応はその後エスカレートした。緊急指令 ED 24-01は、連邦文民執行機関に対し、影響を受ける Ivanti 製品に関して特定のアクションを取るよう命じた。CISA は後に指令を更新し、影響を受ける製品のネットワークからの切断、設定のエクスポート、工場出荷時リセットの実施、アップデートの適用、その後のみ設定をインポートすることを追加要件として含めた。
この手順は重要である。これはアプライアンスを単に古いものとしてではなく、信頼できない可能性があるものとして扱う。アップグレード前の工場出荷時リセットとクリーンな設定のインポートは、「パッチをインストールして再開」とは異なる姿勢である。侵害されたアプライアンスには、通常のパッチ適用では除去できない攻撃者による変更や痕跡が残っている可能性があることを認識しているのだ。
CISA のその後の共同アドバイザリAA24-060Bは、Ivanti Connect Secure および Policy Secure ゲートウェイの悪用について説明し、侵害後の活動について警告した。このアドバイザリは、散在していたベンダーや研究者の調査結果を運用対応モデルに変換した点で有用である。防御者に対し、検知、ハント、認証情報、再構築に関する懸念事項を示した。
公共部門の継続性にとって、この指令は明確な基準を設けた。政府機関は、この問題を単なるベンダーの問題とは言えなくなった。影響を受ける製品を使用しているかどうかを把握し、必要に応じて隔離または切断し、定義されたプロセスの下で復旧させる必要があった。リモートアクセスインフラが公共業務を支えている場合、これが説明責任の姿である。
インテグリティチェッカーが信頼問題の一部となった
Ivanti は、顧客がアプライアンスをスキャンして侵害の痕跡を調べられるように、インテグリティチェッカーツールを提供した。それは必要だったが、公開記録は、インテグリティチェックには謙虚さが必要な理由を示している。Mandiant のその後のIvanti の悪用と永続化の調査に関する作業では、検知を回避しようとする試みや永続化メカニズムを含む活動が説明された。CISA のアドバイザリも、高度なアクターがアプライアンスの状態に対する信頼を損なう可能性があると警告している。
これは困難なガバナンス問題を生み出した。顧客は「侵害されているか?」という問いに対する迅速な回答を必要としていた。ツールは役立つ可能性がある。しかし、特に攻撃者が既にアプライアンスレベルのアクセスを取得していた場合、クリーンなツール結果は信頼性の証明と同じではない。侵害された可能性のあるシステム上で、またはそれに対して実行されるインテグリティチェッカーは、改変されたアーティファクト、削除された証拠、新規の永続化を見逃す可能性がある。
それはツールを無用にするものではない。証拠パッケージの一部とするのである。顧客は、外部ログ、構成レビュー、ネットワークテレメトリ、ウェブシェルハンティング、アカウントレビュー、認証情報ローテーション、ベンダーやインシデント対応ガイダンスと組み合わせる必要があった。証拠が不足している場合は、警戒を強めなければならない。
この教訓は Ivanti を超えて適用される。あらゆるエッジベンダーのインシデントは、単純な「安全」か「危険」かの結果を生み出そうとする圧力を生む。しかし、侵害されたアプライアンスは単純な結果を拒む。意味のある評価にはしばしば信頼度レベルが伴う:十分なログで証拠なし、限られたログで証拠なし、不審なアクセスの証拠、侵害確定、判断不能。これらのカテゴリは、合格/不合格のスキャンよりも経営陣に多くの情報を伝える。
パッチのタイミングは露出ウィンドウを消し去らなかった
Ivanti のアドバイザリの道筋は、最初に緩和策、後でパッチというものだった。CISA の1月31日のアラートは、複数の製品に対するセキュリティアップデートを指摘した。NVD のCVE-2023-46805、CVE-2024-21887、CVE-2024-21893、CVE-2024-22024の記録は、状況の進展に合わせて防御者が追跡しなければならなかった脆弱性クラスタを示している。
この進展こそが運用上の問題である。顧客は、最初の緩和策を適用し、その後バイパスや新たな関連脆弱性を監視し、後続のアップデートを適用し、再構築するかどうかを決定する必要があったかもしれない。各ステップには、資産インベントリと変更権限が必要だった。1台の中央管理されたアプライアンスを持つ顧客は迅速に動けたかもしれない。事業部門、請負業者、レガシーネットワークにまたがる多数のアプライアンスを持つ顧客は、異なる問題に直面した。
パッチのタイミングは、修正前に発生した悪用を消し去ることもできなかった。2023年12月にアクターがアプライアンスにアクセスした場合、1月の緩和策は同じ経路を止めるかもしれないが、ウェブシェル、盗まれた認証情報、変更された設定、ネットワーク内の他の場所への後続アクセスを除去するわけではない。だからこそ、このインシデントは脆弱性管理と同様にインシデント対応に属するものだった。
したがって、説明責任のあるタイムラインは「アドバイザリ日からパッチ日まで」だけではない。開示前の露出、緩和時間、証拠収集、不審な活動のレビュー、認証情報と証明書に関する対応、再構築の決定、継続性への影響、事後対応の管理変更を含む。パッチ日だけを記録する顧客は、最も簡単な指標だけを保持し、より困難な証拠を失う。
インベントリが誰が行動できるかを決定した
緊急指令やベンダーアドバイザリは、組織が影響を受ける製品を所有しているかどうかを認識している場合にのみ有用である。Ivanti Connect Secure アプライアンスは、本社環境、地域オフィス、買収したネットワーク、請負業者のアクセス経路、マネージドサービスポートフォリオ、レガシーリモートアクセスシステムに存在する可能性がある。設計上インターネットに面しているものもあれば、ずれによって露出しているものもある。したがって、最初の運用上の問いはインベントリだった。
Shadowserver のIvanti Connect Secure の露出に関する報告は、外部スキャンがインターネット規模で脆弱または露出したシステムを特定できることを示している。外部からの可視性は貴重だが、顧客が自身の VPN インフラを発見する主要な方法であってはならない。政府機関や企業がサードパーティのスキャナーからアプライアンスについて知る場合、所有権の記録は既に弱い。
良好なインベントリには、製品名、バージョン、インターネット露出、ビジネスオーナー、テクニカルオーナー、マネージドプロバイダーオーナー、ユーザー数、認証依存関係、接続された内部ネットワーク、ログ設定、バックアップ状態、緊急隔離手順が含まれる。これは詳細に聞こえるかもしれない。リモートアクセスゲートウェイにとっては、基本的な説明責任である。アプライアンスはコモディティサーバーではない。誰が内部に到達できるかを決定するのだ。
Ivanti のインシデントは、インベントリのギャップの代償を露呈した。見落とされたアプライアンスは露出したままになる可能性がある。所有者不在のアプライアンスは緩和ウィンドウを逃すかもしれない。ローカルに管理されるアプライアンスは中央ログを欠く可能性がある。請負業者が管理するアプライアンスは、誰がシャットダウンを承認するかについて争いを生むかもしれない。これらは、どの組織図が原因かを気にすることなく、攻撃者が悪用できるガバナンスの失敗である。
認証情報の範囲はユーザーパスワードよりも広かった
リモートアクセスゲートウェイは、ユーザー名とパスワード以上のものを扱う。ローカル管理者アカウント、ディレクトリ統合の認証情報、証明書、VPN セッションマテリアル、設定バックアップ、SAML や RADIUS の設定、グループマッピング、スプリットトンネルルール、アクセスポリシーを保存している可能性がある。アプライアンスが侵害された場合、対応はソフトウェア修正だけに留めるべきではない。
組織は認証情報マップを必要とする。アプライアンスが使用できるディレクトリアカウントはどれか?保存または到達可能なサービス認証情報はどれか?存在する証明書はどれか?ローカル管理者は誰か?露出ウィンドウ中に認証した特権ユーザーは誰か?VPN からのセッションを受け入れた下流システムはどれか?そのマップなしでは、認証情報ローテーションは信頼を保護するには狭すぎるか、効率的に実行するには広すぎるかのいずれかになる。
Mandiant のエクスプロイト後行動に関する報告は、防御者に対し、永続化と認証情報アクセスを同一インシデントの一部と考える理由を与えた。CISA の緊急指示は、単なるパッチ適用ではなく、リセットと再構築の行動を求めることでその姿勢を強化した。これらは実際的なシグナルである:アプライアンスが露出し、侵害を除外できない場合、アイデンティティ管理の見直しが必要となる。
これこそが、多くの組織がコスト圧力に直面する場面である。認証情報、証明書、統合シークレットのローテーションは混乱を招く。リモートアクセス、アプリケーション接続、監視、パートナーワークフローを断ち切る可能性がある。しかし、アプライアンス侵害の可能性がある後も古いシークレットをそのままにしておくと、攻撃者の経路が温存される可能性がある。責任ある対応は、恐怖と疲労の下で交渉するのを避けるため、事前に定義されたローテーションの閾値を設定する。
ウェブシェルがゲートウェイを永続化の表面に変えた
Ivanti のインシデントが特に深刻になったのは、公的研究者が初期のエクスプロイトメカニズムだけでなく、ウェブシェルやエクスプロイト後ツールについて議論したためである。VPN アプライアンス上のウェブシェルは、対応の形を変える。攻撃者はもはや元の脆弱性を突く必要がないかもしれない。アプライアンス自体が管理された足掛かりとなる。
MITRE ATT&CK のExploit Public-Facing ApplicationとExternal Remote Servicesの手法は、この戦略的パターンを捉えている。アプライアンスは公開されており、リモートアクセスを提供する。アクターがそのデバイスを足掛かりに変えると、その後の活動は脆弱性イベントというよりも、認証済みまたは管理者のような振る舞いに見えるかもしれない。
だからこそ、アプライアンスログ、外部テレメトリ、構成ベースラインが重要になる。アプライアンスが通常とは異なるアウトバウンド接続を開始したか?新しいファイルが出現したか?ウェブコンポーネントが変化したか?管理者セッションが奇妙な時間に発生したか?認証イベントが未知のネットワークから来たか?アプライアンスが通常触れない内部システムと通信したか?これらの問いは、可能な限り侵害されたデバイス外部の証拠をもって答えられなければならない。
公開記録は、すべての脆弱なアプライアンスにウェブシェルが存在したことを意味するわけではない。防御者がその可能性を現実のものとして扱わなければならなかったことを意味する。成熟した対応は、ゲートウェイに露出と既知の悪用の両方がある場合、確実性を待たない。監視を強化し、アクセスを狭め、証拠が不完全な場合には保守的な信頼判断を選択する。
ベンダーの説明責任はガイダンスの質に関わるものだった
Ivanti の責任には、開示、緩和策、パッチ、ツール提供、顧客とのコミュニケーション、政府機関や研究者との連携が含まれていた。これは活発な悪用の最中にあって困難なポジションである。ベンダーは事実が変化する中で迅速に動かなければならない。しかし、説明責任の基準は完璧さではない。顧客が安全に行動するために十分に明確なガイダンスを受け取ったかどうかである。
ガイダンスの質はいくつかの次元で重要である。顧客は、影響を受けるバージョン、エクスプロイトの状況、緩和手順、パッチのタイミング、ツールの制限、証拠収集方法、切断のタイミング、再構築のタイミング、保存すべきログ、ローテーションすべき機密情報を知る必要がある。また、新たな脆弱性やバイパスの懸念が生じた場合にはアップデートが必要である。曖昧さは、顧客を過小反応またはパニックのいずれかに追いやる。
Ivanti の事例は、リモートアクセスベンダーが危機の前に応答プレイブックを準備すべき理由を示している。VPN アプライアンスが活発に悪用されている場合、ベンダーは既に、アプライアンスの信頼、外部ログ、設定のエクスポート、工場出荷時リセット、再構築、認証情報の対応、マネージドプロバイダーとの連携について公開用の文言を用意しているべきである。プレッシャーの中でガイダンスを起草するのが難しいほど、事前に準備されているべきである。
ベンダーの説明責任には製品設計も含まれる。安全なデフォルト、より安全な管理パス、改ざんの痕跡をより強く残す仕組み、独立したログ取得、容易なアップグレード、よりクリーンな再構築手順は、脆弱性が出現した際の顧客の被害を軽減する。ベンダーは将来のあらゆる欠陥を排除できるわけではない。あらゆる欠陥が信頼の危機になる可能性を減らすことはできる。
顧客の説明責任は運用の証拠に関するものだった
顧客はデプロイメントアーキテクチャを管理していた。アプライアンスをインターネットに面させるか、管理アクセスをどのように制限するか、ログをどのようにエクスポートするか、アイデンティティをどのように統合するか、継続性の代替手段が存在するか、緩和策をどれだけ迅速に適用できるかを決定した。ベンダーは製品のセキュリティを所有するが、顧客は運用面の多くを所有する。
顧客の証拠パッケージは、単純な質問に答えるべきである。どのアプライアンスが影響を受けたか?それらは露出していたか?緩和策はいつ適用されたか?パッチはインストールされたか?必要に応じてアプライアンスは切断されたか?適切な場合には工場出荷時リセットが実施されたか?インテグリティチェックは何を示したか?どの外部ログがレビューされたか?認証情報や証明書はローテーションされたか?ユーザーはアクセスを失ったか?どのビジネスプロセスがゲートウェイに依存していたか?その後何が変わったか?
規制対象または公共部門の顧客にとって、これらの回答は監査可能であるべきである。一般市民は技術的な詳細をすべて知る必要はないが、監督機関は一行の「修復しました」を受け入れるべきではない。リスクは公共や機密システムへのリモートアクセスに関わる。証拠はその重要性に見合うものでなければならない。
企業についても同様である。取締役会やリスク委員会は、組織が既知の悪用後にアプライアンスの信頼を証明できるかどうかを問うべきである。その回答がサポートするログなしのクリーンスキャンに依存している場合、信頼度は低くなるはずである。回答が外部ログ、構成比較、認証情報の対応、必要に応じた再構築を含む場合、信頼度は高くなるはずである。
マネージドプロバイダーには明確な分業が必要だった
多くの顧客は Ivanti アプライアンスを単独で管理していなかった。リモートアクセスインフラは、マネージドセキュリティプロバイダー、アウトソース IT、地域チーム、防衛請負業者、サービスインテグレーターによって運用されている場合がある。悪用された VPN 緊急事態の最中、その階層的な所有権は、対応を加速させるか遅延を生むかのいずれかになり得る。
契約は、誰がベンダーアドバイザリを監視するか、誰が緊急緩和策を適用するか、誰がサービスを切断できるか、誰がユーザーに連絡するか、誰が証拠を収集するか、誰がインテグリティチェックを実行するか、誰が工場出荷時リセットを実施するか、誰が設定をインポートするか、誰が認証情報をローテーションするか、誰が事後報告書を作成するかを明記すべきである。その分割なしでは、全ステップが交渉になる可能性がある。
マネージドプロバイダーは、ポートフォリオレベルの可視性も必要とする。プロバイダーが多数の顧客アプライアンスを管理する場合、影響を受けるすべてのインスタンスを迅速に特定し、高リスク環境を優先し、各顧客に対して自身のアプライアンスに何が起きたかを伝えられるべきである。「問題を認識しています」という一般的な保証は、活発な悪用が公になっている場合には不十分である。
顧客は証拠を要求すべきだが、プロバイダーは求められるのを待つべきではない。インターネットに面した VPN ゲートウェイを管理するプロバイダーは、信頼の境界を管理しているのである。顧客に対して、明確な状況、具体的な修復状態、信頼度評価付きの調査結果を提供する義務がある。それはサービスの一部であり、オプションの報告ではない。
継続性は切断を困難だが必要な制御にした
CISA の指令は、VPN アプライアンスの切断が正しいセキュリティ判断であり得ることを示した。それは同時に苦渋の継続性判断でもあり得る。リモートスタッフはアクセスを失うかもしれない。管理者は通常のメンテナンス経路を失うかもしれない。請負業者はシステムに到達できないかもしれない。政府機関はプレッシャーの中で代替アクセスに移行しなければならないかもしれない。
だからこそ、継続性計画は VPN セキュリティと同じリスク登録簿に属する。脆弱なアプライアンスを切断できない組織は、単一の製品が継続性のボトルネックになることを許している。成熟した組織は代替手段をテストしている:分離された管理アクセス、緊急用バスチオンホスト、ゼロトラストアクセス経路、ローカル継続性手順、手動プロセス、計画的なサービス低下。
継続性の問いは、緊急シャットダウン中にすべてのユーザーが通常通り作業できるかどうかではない。重要な業務が十分に安全に継続できるかどうかである。公共機関、病院、公益事業、金融機関は、階層化された回答を必要とする:どの機能を継続しなければならないか、どれを一時停止できるか、どれが緊急アクセスを必要とするか、どれが手動の代替手段を必要とするか。
その計画が存在しない場合、ビジネス上の圧力がチームをして脆弱なアプライアンスをオンラインのままにさせ、安全でない一時的なアクセスを作り出し、あるいは信頼が回復する前にサービスを復旧させようとする。Ivanti のインシデントは、そのトレードオフを可視化した。セキュリティと継続性は別々の部門ではなかった。それらは同一の決定だった。
どのような証拠が評価を変えるか
アプライアンスがインターネットに面しておらず、影響を受けるバージョンではなく、露出前に緩和され、完全な外部ログがあり、サポートするテレメトリ付きでインテグリティチェックに合格し、必要な箇所で認証情報の範囲が定められローテーションされたことを示せる組織にとって、評価はより軽微になる。また、組織が文書化された閾値の下で工場出荷時リセットまたは再構築を実施し、リモートアクセスの代替手段をテストした場合も改善する。
評価は、アプライアンスが露出しており、緩和が遅れ、ログが欠落しており、インテグリティチェックの結果が絶対的な証明として扱われ、認証情報が見直されず、リモートアクセスの継続性が早期のサービス復旧を余儀なくした場合により厳しくなる。マネージドプロバイダーが影響を受ける顧客アプライアンスを迅速に特定できなかった場合、さらに厳しくなる。
ベンダーとしての Ivanti にとって、評価は明確な根本原因の学習、より強力な安全なデフォルト、改善された改ざん証拠、より容易な再構築プロセス、より良い顧客向け証拠ツール、アプライアンス侵害をインシデント対応問題として扱うガイダンスによって改善するだろう。同様のクラスの悪用されるリモートアクセス欠陥が、目に見える製品やプロセスの変更なしに再発した場合、悪化するだろう。
現在の公開証拠は、限定された結論を支持する。Ivanti 製品は深刻な脆弱性を通じて活発に悪用され、公的機関はリスクを緊急と見なし、リモートアクセスアプライアンスは侵害された可能性のあるインフラとして扱われなければならなかった。公開証拠は、すべての顧客にわたって一様な侵害を主張することを支持しない。すべての露出したデプロイメントに対して、より高い説明責任基準を支持する。
KEV リストがガバナンスの時計を変える
CISA の既知悪用脆弱性カタログ (KEV) におけるCVE-2023-46805およびCVE-2024-21887のエントリは、脆弱性を一般的なリスク管理から悪用リスクのガバナンスへと移行させるため重要である。対象となる連邦機関にとって、KEV は正式な運用上の結果を伴う。他のすべての人々にとっては、問題が理論上の露出から実際の悪用へと移行したことを示す公的なシグナルである。
そのシグナルは会議の行動を変えるべきである。リモートアクセスアプライアンスの重大な脆弱性は、一旦 KEV に載ったら、パッチ管理キューに留まっているべきではない。インシデントコマンド、資産確認、ビジネスオーナーへの通知、マネージドプロバイダーへのエスカレーション、アイデンティティチームの関与、経営層のリスク可視化を引き起こすべきである。理由は単純である:悪用されたリモートアクセスは、パッチ会議が開かれる前に組織への侵入口になり得る。
KEV はまた、ありがちな言い訳を減らすのに役立つ。組織は時に、ベンダーアドバイザリを、CVSS スコアと計画されたメンテナンスウィンドウによってランク付けされた多数の項目の一つとして扱う。既知の悪用は優先度を変える。既に脅威アクターによって使用された可能性がある VPN ゲートウェイは、文書化されたリスク受容なしに快適なメンテナンスサイクルを待つことはできない。リモートアクセスが中断するには重要すぎる場合、まさにそれがアプライアンスが緊急の注意を必要とする理由である。
カタログはまた、監督のための記録を作成する。取締役会、監査人、保険会社、規制当局は、組織に KEV の取り込みプロセスがあったか、Ivanti のエントリがどれだけ迅速にインベントリと照合されたか、所有権が明確だったか、なぜ露出したアプライアンスがオンラインのままだったかを問うことができる。これは説明責任の表面を持続可能にする。セキュリティチームが何を知っていたかだけでなく、公的な悪用脆弱性シグナルが存在した後に、組織が何を行ったかである。
実際的な指標は「真実までの時間」である。組織が影響を受ける Ivanti 製品を持っているかどうかを知るのにどれだけかかったか?それらが露出しているかどうかを知るのにどれだけかかったか?誰がそれらを所有しているかを知るのにどれだけかかったか?緩和、切断、リセット、または交換を決定するのにどれだけかかったか?パッチまでの時間は重要だが、真実までの時間が、マネジメントが状況を統治していたのか、他の誰かが判読可能にするのを待っていたのかを決定する。
外部証拠は緊急事態の前に設計されなければならない
英国 NCSC のセキュアシステム管理に関するガイダンスは、VPN アプライアンスに直接適用される原則を強化している:特権システムは、制御され、監視され、監査可能な経路を通じて管理されるべきである。Ivanti のケースでは、アプライアンス自体が標的であると疑われた。これは、管理記録、設定変更、リモートアクセスイベントが、アプライアンスの誠実さだけに依存すべきではないことを意味する。
外部証拠はログのエクスポートから始まる。認証イベント、管理ログイン、設定変更、システムイベント、利用可能な場合はウェブリクエスト、ネットワークフローは、独立した保持ポリシーを持つシステムにコピーされるべきである。ログは時刻同期され、アイデンティティ記録、エンドポイントテレメトリ、変更管理チケットと相関付けられるべきである。対応者がアドバイザリ前に何が起きたかを再構築できない場合、組織は既に霧の中で意思決定を行っている。
設定の証拠も同様に重要である。組織は、インテグリティチェック付きの正常性が確認されたバックアップ、文書化された期待されるファイル、現在の状態をベースラインと比較する方法を持つべきである。工場出荷時リセットに続くクリーンな設定のインポートは、設定自体が理解されている場合にのみクリーンである。バックアップが既に不正な変更を含んでいるかどうかを誰も知らなければ、再構築プロセスはリスクを再導入する可能性がある。
外部証拠はまた、コミュニケーションを変える。顧客は、「露出ウィンドウをカバーする外部保持の認証および設定ログにおいて、侵害の証拠は見つからなかった」とリーダーシップに伝える方が、「アプライアンスのインテグリティチェックに合格した」よりも高い信頼をもって言える。両方の声明は真実かもしれないが、同等に強いわけではない。前者は証拠の範囲を特定する。後者は証拠の限界を隠すかもしれない。
これがセキュリティツールと説明責任の証拠の違いである。ツールはチームの行動を助けることができる。証拠は組織が信頼を正当化するのに役立つ。リモートアクセスインフラにとっては、ゲートウェイに依存しているが管理していない人々に影響する決定であるため、両方が必要である。
Secure-by-design はアプライアンスのライフサイクルに適用される
CISA のSecure by Designフレーミングは関連性がある。なぜなら、リモートアクセスアプライアンスは、デプロイ後に顧客がすべての安全特性を組み立てることに依存すべきではないからだ。ベンダーは、より安全なデフォルト、より明確な警告、より強力なログ、改ざん耐性のある証拠、より簡単なパッチ適用、よりクリーンな再構築ワークフローを提供することで、顧客の失敗を減らすことができる。顧客には依然として義務があるが、製品設計は安全な経路を危険な経路よりも容易にすることができる。
Ivanti のようなリモートアクセス製品にとって、Secure-by-design の期待はライフサイクル全体をカバーすべきである。デプロイ前には、管理者は制限された管理インターフェース、強力な認証、外部ログ、文書化されたバックアップへと導かれるべきである。定常運用中は、製品は露出、バージョンの古さ、リスクのある設定を可視化すべきである。緊急対応中は、証拠収集、リセット、アップグレード、設定インポート、認証情報の対応に関する正確なガイダンスを提供すべきである。復旧後は、顧客が状態を検証し再発を減らすのを支援すべきである。
同様のライフサイクルビューは、顧客のデプロイにも適用されるべきである。VPN アプライアンスを購入することは、一度きりの調達イベントではない。継続的な信頼依存関係を生み出す。組織は、所有者、パッチウィンドウ、エスカレーションパス、ログ、継続性の代替手段、廃止計画を必要とする。製品が積極的に管理されなくなった後もサービスに残っている場合、アプライアンスはガバナンス債務となる。
Ivanti のインシデントは、設計と運用がどのように相互作用するかを示しているため有用である。ベンダーの欠陥がエクスプロイト経路を作り出した。顧客の露出と証拠慣行が結果を形作った。公的機関は最低限の緊急アクションを設定した。マネージドプロバイダーは速度と可視性に影響を与えた。これらのレイヤーのいずれも単独で全結果を説明することはできない。
この階層化された説明責任はしばしば不快だが、正確である。ベンダーは、デプロイ後に顧客がすべてを所有するとは言えない。顧客は、欠陥が見つかった後にベンダーがすべてを所有するとは言えない。プロバイダーは、プロバイダーがアプライアンスを制御している間、顧客がリスクを所有するとは言えない。Secure-by-design の考え方は、次の緊急事態の前に、すべての当事者に自身の管理表面を名指しするよう強いる。
調達はアクセスだけでなく回復の証拠を買うべきである
公共機関や大企業はしばしば、可用性、セキュリティ機能、サポート、価格のためにリモートアクセス製品を調達する。Ivanti の記録は、彼らが証拠と回復の義務も調達すべきであることを示唆している。契約は、アプライアンスが積極的に悪用された場合に何が起きるかを問うべきである:ベンダーがどれだけ迅速にガイダンスを公開するか、サポートキューがどのように優先されるか、マネージドプロバイダーがベンダーとどのように連携するか、顧客がどのような証拠を受け取れるか。
管理されたデプロイメントの場合、契約はさらに踏み込むべきである。外部ログの保持、顧客のログへのアクセス、緊急切断権限、悪用された脆弱性に対する承認バイパス、再構築または工場出荷時リセット手順、認証情報ローテーションのサポート、顧客固有の状況報告、インシデント後レビューを定義すべきである。プロバイダーから自身の証拠を取得できない顧客は、責任を持って自身のインシデントをクローズできない。
調達チームはまた、継続性の前提をテストすべきである。製品が主要なリモートアクセス経路を提供する場合、バイヤーはその経路がダウンしたときに組織がどのように機能するかを知るべきである。そのテストには、技術的アクセス、ヘルプデスク負荷、ユーザーコミュニケーション、法的義務、ビジネスプロセストリアージを含めるべきである。アップタイムを購入するが安全なシャットダウンを購入しない契約は、正しいセキュリティ制御が切断である場合に顧客を罠にかける。
これは公共部門にとって特に重要である。市民はどのアプライアンスが政府機関のネットワークを保護しているかめったに知らない。サービスが失敗したり、記録が露出したり、緊急対応が遅れたりしたときには気付く。したがって、公共調達はアプライアンスの信頼を公共サービス継続性の一部として扱うべきである。安価または馴染みのある VPN 製品では、悪用後に機関が自身の状態を証明できない場合には不十分である。
バイヤーの証拠要件は市場を改善することができる。ベンダーとプロバイダーは顧客が要求するものに応える。顧客がアクセス機能とサポート時間だけを求めるなら、回復の証拠は二の次にとどまる。アプライアンスの信頼、ログエクスポート、再構築プレイブック、悪用後サポートを要求すれば、それらの能力は競争上の必須要件となる。
修復の言葉は正確であるべき
悪用されたインフライインシデントの後で最もありがちな公的な誤りの一つは、曖昧な修復の言葉である。「緩和された」は回避策が適用されたことを意味し得る。「パッチ済み」はソフトウェアがアップデートされたことを意味し得る。「リセット済み」は認証情報が変更されたか、デバイスが工場出荷時リセットされたことを意味し得る。「侵害の証拠なし」は強力な証拠がレビューされたか、弱い証拠が何も見つけなかったことを意味し得る。「復旧済み」はサービスが到達可能であることを意味し、信頼が完全であることではない。
Ivanti のインシデントは、より正確な言葉を要求する。アプライアンスは緩和されているが完全にはパッチされていない可能性がある。パッチされているが調査されていない可能性がある。調査されているがログが欠落している可能性がある。リセットされているが設定が不確かである可能性がある。再構築されているが機密情報がローテーションされていない可能性がある。復旧されているが継続性の回避策に依存している可能性がある。これらの区別は衒学的ではない。マネージャーが偽りの自信を避ける方法なのである。
公的声明は機微な詳細を露出する必要はないが、異なる状態を一つの安心させる動詞に圧縮することを避けるべきである。内部記録はさらに正確であるべきだ。露出状況、緩和状況、パッチ状況、インテグリティチェック状況、ログレビューの信頼度、認証情報の対応、再構築状態、サービス復帰承認、残存リスクを明記すべきである。その記録は、将来の監査や将来の緊急事態の基礎となる。
正確さは、ベンダーやプロバイダーが良い仕事をした場合に、彼らを保護することにもなる。影響を受けるアプライアンスを切断し、設定をエクスポートし、デバイスをリセットし、アップデートを適用し、レビューした設定をインポートし、認証情報をローテーションし、ログを保存したと言えるプロバイダーは、「すべてのシステムを修復した」と言うプロバイダーよりも多くの信用を得るべきである。具体性は、それが制御を列挙するため、信頼を築く。
最後の利点は学習である。すべての対応が「パッチ済み」として記録された場合、組織はインシデントを比較できない。ある対応が緊急シャットダウンを必要とし、別の対応が再構築を必要とし、さらに別の対応が認証情報ローテーションを必要とした場合、組織は苦痛が最も大きかった場所のアーキテクチャを改善できる。したがって、Ivanti の事例は、より速いチケットクローズだけでなく、より良いインシデント状態を記述するよう組織に促すべきである。
監督はインシデントを管理テストとして読むべきである
取締役会、監査委員会、公的監察官、機関のリーダーは、適切な質問をするためにエクスプロイトの詳細をすべて理解する必要はない。リモートアクセスのインベントリが完全だったか、既知悪用脆弱性の取り込みが機能したか、組織が重要なゲートウェイを切断できたか、証拠がアプライアンスの外部に残ったか、サービス復帰が文書化された信頼に基づいていたかを問う必要がある。
これらの質問は、インシデントをガバナンスレベルで判読可能にする。技術チームは緩和策が迅速に適用されたと報告するかもしれない。監督は、何台のアプライアンスが遅れて発見されたかを問うべきである。プロバイダーは、顧客のアクセスが復旧したと報告するかもしれない。監督は、顧客固有のログと再構築記録が存在するかを問うべきである。ビジネスオーナーは、リモートスタッフが働き続けたと報告するかもしれない。監督は、その継続性が安全でない例外に依存していなかったかを問うべきである。
ポイントは、事後にすべてのエンジニアリング判断をやり玉に挙げることではない。悪用されたリモートアクセスが組織的リスクとして管理されていることを証明することである。VPN アプライアンスは、公共ネットワークと内部システムの間に位置する。その失敗は、データ保護、公共サービス継続性、インシデント対応、契約上の信頼に影響し得る。それだけでも、セキュリティオペレーションセンターを超えた監督の注目を正当化するのに十分である。
これはまた、組織が異なる製品名で同じインシデントを繰り返すのを避ける方法でもある。次の悪用されるエッジデバイスは、別のベンダーから来て、別の CVE を使用するかもしれない。ガバナンステストは同様になる:資産を知り、隔離し、証拠を保存し、機密情報をローテーションし、信頼が不確かな場合には再構築し、重要な業務を安全に稼働させ続けること。
説明責任のテスト
Ivanti のインシデントは、7つの管理策を通じて判断されるべきである。
第一に、インベントリ:組織は、すべての Connect Secure および Policy Secure アプライアンス、バージョン、所有者、露出経路、マネージドプロバイダーとの関係、依存するユーザーグループを数時間以内に特定できたか?
第二に、緩和策とパッチのタイミング:Ivanti の緩和策とその後のアップデートを迅速に適用し、アドバイザリの進展に応じて新たな関連 CVE を追跡したか?
第三に、隔離:必要または賢明な場合に、信頼よりもリモートアクセスの利便性を優先させるのではなく、脆弱なアプライアンスを切断したか?
第四に、証拠:外部ログを保存し、インテグリティチェックを実行し、設定をレビューし、ウェブシェルや永続化の痕跡を探し、一つのスキャン結果に頼るのではなく信頼度レベルを文書化したか?
第五に、認証情報対応:侵害を排除できない場合に、管理認証情報、VPN 認証情報、証明書、統合シークレットの範囲を定め、ローテーションしたか?
第六に、再構築の規律:アプライアンスをサービスに戻す前に、工場出荷時リセット、再イメージング、または交換が必要な場合を定義したか?
第七に、継続性:信頼されていないゲートウェイを急いでオンラインに戻すことなく、公共またはビジネス運用が継続できるよう、安全な代替アクセス経路を確保していたか?
最終的な結論は明白である。Ivanti Connect Secure は、リモートアクセス製品の失敗が政府指令、活発な悪用、アプライアンスの信頼、継続性に触れたため、公共部門の説明責任の表面となった。攻撃者が侵入を所有する。Ivanti は製品セキュリティ、開示、ツール、ガイダンスを所有する。顧客とマネージドプロバイダーは、デプロイメント、証拠、再構築、認証情報、継続性の決定を所有する。責任ある対応は「パッチ済み」ではない。「何が露出し、何が起き、どの証拠が残り、どの機密情報が変わり、どのデバイスが再構築され、なぜ復旧されたアクセス経路が信頼できるのかを我々は知っている」である。
タイポグラフィ
タイポグラフィは、書き言葉を読みやすく、理解しやすく、視覚的に魅力的にするために文字を配置する芸術と技法である。書体、ポイントサイズ、行長、行間、文字間隔の選択を含む。
- タイポグラフィは、15世紀にヨハネス・グーテンベルクが活版印刷を発明したことに端を発する。
- 主要な要素には、フォント選択、カーニング、トラッキング、行送り(リーディング)が含まれる。
- 優れたタイポグラフィは読みやすさを向上させ、デザインにおいてムードやトーンを伝達する。

