概要

  • JetBrains は 2023 年 9 月に CVE-2023-42793 を公開し、その後 CISA と Microsoft は脅威アクターが TeamCity サーバーを下流の侵害の足がかりとして利用する状況を含む、悪用の活動状況を報告しました。
  • 中心的なアカウンタビリティの問いは次の通りです。 TeamCity の露出、パッチの速度、ビルドサーバーのアイデンティティ、シークレットの保管、アーティファクトの署名、下流の顧客リスク、悪用後の再構築について、誰が実質的な管理権限を持っていたのか?
  • この事例の本質的な原因は、侵害、停止、脆弱性、またはベンダーの失敗という単一のラベルに尽きるものではありません。記録の中心にあるのは、認証バイパスの脆弱性、インターネットに露出した CI/CD サーバー、パッチの適用、ビルドクレデンシャルの保管、ソースコードとアーティファクトへの信頼、脅威アクターによる悪用、そして侵害後のビルドの完全性を証明するために必要な証拠です。
  • ソフトウェアチーム、ベンダー、エンタープライズ顧客、オープンソースの消費者、クラウドアカウント、セキュリティチームは、侵害されたビルドサーバーが後の攻撃の信頼できる配信経路になる可能性に直面しました。
  • この記録は、管理義務と証拠の欠落に関する高い確度でのアカウンタビリティの結論を支持します。プライベートのままの事実(例えば、すべてのログエントリ、すべての顧客の影響、すべての内部決定、すべての下流での損失)を前提とすることを支持するものではありません。

証拠記録とその使用方法

この記事では、公開記録を単一のマスターアカウントとしてではなく、層をなす証拠として扱います。企業の通知は、JetBrains, s. r. o. が発見、変更、または助言した内容を伝えるものとして使用されます。政府、規制機関、脆弱性、セキュリティ研究の資料は、インシデントに関する管理義務を整理するために使用されます。二次的な報道は、公的な声明、時系列、または安定した一次資料からは入手できない影響を受けた当事者のコンテキストを保持する場合にのみ使用されます。

#公開記録本分析での用途
1JetBrains TeamCity CVE-2023-42793 blog脆弱性、修正バージョン、緩和策のコンテキストに使用される一次ベンダー通知。
2JetBrains fixed security issues page製品セキュリティのコンテキストに使用されるベンダーのセキュリティ問題索引。
3NVD CVE-2023-42793 entry公開脆弱性メタデータとリファレンス。
4CISA KEV catalog for CVE-2023-42793既知の悪用状況のコンテキスト。
5CISA alert on JetBrains security updates政府のアラートのコンテキスト。
6Microsoft report on Diamond Sleet and Onyx Sleet exploiting TeamCity悪用および侵害後の振る舞いに関する脅威インテリジェンスのコンテキスト。
7Rapid7 emergent threat responseクリティカルな認証バイパスに関する防御側の分析。
8SonarSource TeamCity vulnerability analysis技術分析のコンテキスト。
9Horizon3.ai TeamCity vulnerability analysis技術的悪用のコンテキスト。
10CISA secure software development attestation formソフトウェアサプライチェーン保証のコンテキスト。
11NIST Secure Software Development Frameworkセキュア開発およびビルドの完全性のコンテキスト。
12SLSA frameworkソフトウェアアーティファクトのサプライチェーンレベルのコンテキスト。
13OpenSSF Scorecardソフトウェアサプライチェーン評価のコンテキスト。
14CIS Critical Security Controlsアクセス、ログ記録、インベントリ、脆弱性管理のコンテキスト。
15NIST Cybersecurity Frameworkリスクマネジメントの語彙。
16MITRE ATT&CK software deployment tools techniqueデプロイメントツールの悪用に関するテクニックのコンテキスト。

インシデントの本質は管理である

JetBrains TeamCity がビルドサーバーをソフトウェアサプライチェーンのアカウンタビリティ表面にしたのは、この出来事が実質的な管理を、見出し以上に厳しい光の下に置いたからです。公開記録はJetBrains TeamCity CVE-2023-42793 ブログに始まり、JetBrains 修正済みセキュリティ問題ページおよびNVD CVE-2023-42793 エントリによって補強されています。これらの記録が重要なのは、曖昧なセキュリティの物語と一連の運用義務(影響を受けたシステムの発見、どのデータや信頼マテリアルが到達可能だったかの判断、対応すべき人々への通知、そして古いリスク経路が閉じられたことの証明)の違いを示しているからです。

重要な分析上の動きは、トリガーとアカウンタビリティを分離することです。トリガーは JetBrains TeamCity CVE-2023-42793 認証バイパスの悪用とサプライチェーンリスク(2023 年)です。アカウンタビリティはより広範です。それには、事象以前の設計上の選択、異常な活動を検出すべきだった監視、それを封じ込めるための緊急時の権限、確認された侵害と可能性のある露出を区別する証拠、依存する当事者が各自の判断を下せるようにするコミュニケーションが含まれます。提供ベンダーは狭い技術的トリガーについて正確であっても、顧客がリスクの自陣を管理するのに十分な証拠を提供しないままでいる可能性があります。

したがって、JetBrains, s. r. o. にとって、公的な問題は以下の管理表面に存在します。CI/CD の露出、認証バイパス、ビルドシークレット、アーティファクト信頼、パッチ適用、脅威アクターによる悪用、再構築の証拠。これらは広報上の詳細ではありません。これらこそが、被害が拡大または縮小するメカニズムなのです。短い侵入が長期にわたるアイデンティティリスクを生み出し得ます。古い脆弱性が進行中の継続性障害になることもあります。ベンダーのアカウントが顧客アカウントの問題になることもあります。プラットフォームのサポートチケットが、本番サービスそのものよりも機微なマテリアルを運ぶこともあります。この記事では、全体を通じてそのレンズを使用します。

タイムラインは証拠の一部である

タイムラインが重要なのは、顧客が行動を起こすのに十分な情報を得た後にしか行動できないからです。この事例では、公的な時系列は前述のトリガーで始まり、封じ込め、顧客ガイダンス、フォローアップの報告、その後の分析へと進みます。初期の瞬間は検知とエスカレーションを試します。中期の瞬間は一時的な管理策が耐久性のある修復になったかどうかを試します。後期の瞬間は、組織が注意が去った後に単にインシデントを終わらせるのではなく、類似の経路を防ぐために十分に学んだかどうかを試します。

優れたインシデントのタイムラインは、いくつかの質問に答えるべきです。異常な活動はいつ始まったのか?防御側が最初にそれを視認したのはいつか?防御側がその重要性を理解したのはいつか?組織が経路を封じ込めたのはいつか?どの顧客、記録、サービス、認証情報、またはシステムが影響を受ける可能性があると知ったのはいつか?組織外の人々が自らを守るのに十分な情報を受け取ったのはいつか?公的な通知がこれらすべての質問に答えることは稀ですが、それでも質問が正しいアカウンタビリティの枠組みです。

内部イベントと公的通知の間のギャップは、自動的に不正行為を示すものではありません。インシデント対応者は事実を検証する時間を必要とします。時期尚早の通知は不正確なアドバイスを広める可能性があります。しかし、ギャップは説明可能でなければなりません。顧客がパスワード、トークン、エンドポイント、サポートファイル、銀行口座、管理者、または下流のユーザーを管理している場合、遅延はリスクを彼らにも移転します。説明責任の基準は即時の完璧さではありません。確認された事実、もっともらしいリスク、推奨される行動、未解決の不確実性を区別する、迅速かつ段階的なコミュニケーションです。

データまたは信頼の対象は付随的なものではなかった

この事例で露出または危険にさらされた対象は、ビジネスにとって付随的なものではありませんでした。記録の中心にあるのは、認証バイパス脆弱性、インターネットに露出した CI/CD サーバー、パッチ適用、ビルドクレデンシャルの保管、ソースコードとアーティファクトの信頼、脅威アクターによる悪用、そして侵害後にビルドの完全性を証明するために必要な証拠です。つまり、このインシデントは、組織が管理するために存在するか、顧客が依存するよう招いた信頼の対象に触れました。その対象が認証情報、署名証明書、サポートの添付ファイル、顧客メタデータセット、ビルドサーバー、ファイアウォール、ハイパーバイザー、または公共サービスのアイデンティティ記録である場合、組織はそれを通常のオフィスシステムの詳細として扱うことはできません。

信頼の対象は特別なアカウンタビリティのプロファイルを持っています。それらは他のシステムに意思決定をさせます。コード署名証明書はエンドポイントにソフトウェアが正当かどうかを伝えます。サポートクレデンシャルはプラットフォームに、個人が顧客記録を見ることを許可されるかどうかを伝えます。ビルドサーバーは下流のユーザーに、アーティファクトが期待されたプロセスから来たことを伝えます。ファイアウォールやリモートアクセスゲートウェイは、ネットワークにどのセッションが入室できるかを伝えます。顧客メタデータ記録は詐欺師に誰を標的にすべきかを伝えます。害はしばしば後日、誰かがその信頼の対象を異なる設定で再利用するときに発生します。

これこそが、スコープ分析がテーブル名やサーバー名だけでなく、機能をカバーする必要がある理由です。データベースのテーブルがコピーされたかどうかを尋ねるだけでは、コピーされたフィールドが管理者を特定する場合には狭すぎます。本番データプレーンが侵害されたかどうかを尋ねるだけでは、社内記録がそのデータプレーンを後に攻撃する方法を明らかにする場合には狭すぎます。サービスがオンラインのままだったかどうかを尋ねるだけでは、イベント後も認証情報、証明書、添付ファイルが使用可能だった場合には狭すぎます。

プロバイダーの責任は最もレバレッジの高い管理策に従う

この物語におけるプロバイダーは、公的なイベントが始まった環境を管理していましたが、その声明だけでは不十分です。より正確な質問は、プロバイダー側にどのような高レバレッジの管理策があったかです。多くのインシデントにおいて、これらの管理策には、アーキテクチャ、特権アクセス、サービスセグメンテーション、証明書またはキーの取り扱い、ログカバレッジ、顧客データの最小化、安全なデフォルト、緊急時の失効、リリースエンジニアリング、そして信頼できるガイダンスを公開する権限が含まれます。

プロバイダーは、リスクの高い経路を容易にしたか困難にしたかで判断されるべきです。特権ツーリングには強力な認証と厳格なロールが必要でしたか?機微なサポートの添付ファイルやメタデータは必要以上に保持されましたか?本番システムは社内システムから分離されていましたか?公開されたサービスはフェイルクローズに設計されていましたか?ログはアクセスを再構築するのに十分に完全でしたか?組織は信頼マテリアルを迅速に失効できましたか?顧客は安全なバージョンをインストールしたか、適切な封じ込め措置を講じたことを検証できましたか?

公開記録はその管理態勢の一部しか示さないかもしれません。通知が出されたこと、パッチがリリースされたこと、パスワードリセットが要求されたこと、ベンダーアカウントが無効化されたこと、証明書が交換されたこと、公共機関がサービスを継続させたことを示せます。しかし、内部アクセスレビュー、取締役会の議論、フォレンジックの確信度、すべての顧客メッセージを示すことはできません。この完全な可視性の欠如は憶測で埋められるべきではありません。それは証拠の限界として名指しされ、将来のより明確な保証への要求に転換されるべきです。

顧客とオペレーターの責任は消えなかった

顧客とオペレーターにも義務がありました。これは責任転嫁ではありません。多くの技術インシデントが組織の境界を越えるという認識です。顧客はエンドポイントの更新、パスワードの再利用、特権アカウント、ファイアウォールの露出、サポートのアップロード、管理者の行動、バックアップの隔離、アラートの確認、ユーザー教育を管理する場合があります。公的機関は身元証明と市民への通知を管理する場合があります。マネージドサービスプロバイダーは、顧客が決して見ることのないコンソールを管理する場合があります。

適切な割り当ては能力に依存します。どのサポート記録がアクセスされたかを特定できるのがプロバイダーだけである場合、プロバイダーがその証拠を所有します。下流のシークレットをローテーションするか、自身のログを確認できるのが顧客だけである場合、顧客は信頼できる通知を受け取った後にその行動を所有します。マネージドプロバイダーが影響を受けたツールを運用している場合、マネージドプロバイダーは行動と証拠の両方を顧客に借りがあります。アカウンタビリティはブランドの可視性ではなく、実質的な管理に従います。

これが重要なのは、過少反応がしばしば他者の過失の背後に隠れるからです。顧客はベンダーが問題を引き起こしたと言い、それゆえ自身の露出を確認しないかもしれません。ベンダーは顧客がシステムを誤設定したと言い、それゆえ安全なデフォルトの改善を怠るかもしれません。マネージドプロバイダーはパッチを適用したと言い、侵害を再確認したかどうかの説明を避けるかもしれません。公共の利益は、各当事者が何を管理していたか、その管理で何をしたかを述べたときにのみ果たされます。

セグメンテーションはインシデントと連鎖の境界である

セグメンテーションは、インシデントが限定されたままかどうかを決定します。この事例では、関連するセグメンテーションは、社内 IT と製品インフラの間、サポートツーリングと本番データの間、メタデータと顧客コンテンツの間、管理プレーンとトラフィックプレーンの間、ビルドサービスと署名キーの間、ハイパーバイザーホストとバックアップエステートの間かもしれません。正確な境界は主題によって変わりますが、アカウンタビリティの原則は安定しています。

セグメンテーションの主張は検証可能でなければなりません。ある環境が別の環境から分離されていると言うだけでは不十分です。記録は、どのアイデンティティが境界を越えることができたか、どのネットワーク経路が存在したか、どのログが失敗または不在の移動を確認するか、どのサービスアカウントがレビューされたか、どの緊急管理策が適用されたかを示すべきです。顧客はすべての機密詳細を必要としませんが、プロバイダー側のインシデントが自身のリスクを変化させたかどうかを知るのに十分な保証を必要とします。

最も強力な公的声明は二つの極端を避けます。依存するすべてのシステムが侵害されたと示唆して被害を誇張しません。また、接続されたリスクを無視しながら狭い技術的境界の背後に隠れません。本番データプレーンが影響を受けなかったと言うことは有益です。どのメタデータ、認証情報、証明書、添付ファイル、管理記録が影響を受けたかを言うことも同様に必要です。なぜならこれらの材料は後にデータプレーンを攻撃するために使用できるからです。

通知は受信者に何ができるかを伝えなければならない

通知は儀式ではありません。行動可能な証拠の移転です。有益な通知は、何が起こったか、どのようなデータや信頼マテリアルが関与する可能性があるか、組織がすでに行ったこと、受信者が今すぐ行うべきこと、何が未知のままか、そして後の更新がどこに現れるかを受信者に伝えます。通知が単にインシデントが発生したとだけ述べる場合、それは形式的なコミュニケーションの必要性を満たすかもしれませんが、運用上の必要性を満たしていません。

異なる受信者は異なるコンテンツを必要とします。セキュリティ管理者は指標、影響を受けたアカウント、リセット要件、ログレビューウィンドウ、設定ガイダンスを必要とします。消費者は平易な言葉でのアイデンティティリスクアドバイス、支払いとパスワードのガイダンス、サポート連絡先を必要とします。公共サービス利用者は、必要不可欠なサービスが継続するか、代替手段が存在するかの保証を必要とします。開発者はビルドの完全性ガイダンスとシークレットローテーション手順を必要とします。経営陣は露出、侵害、改善、残存リスクのマトリックスを必要とします。

したがって、記事はコミュニケーションを管理策として扱い、礼儀として扱いません。遅れた、または曖昧な通知は、最初の侵害が迅速に封じ込められても被害を増大させる可能性があります。段階的な通知は、すべての事実が確定する前でも被害を軽減できます。スコープが拡大した場合、修正された通知は責任あるものとなり得ます。鍵は、最初の公開バージョンが最終版であるかのように装う代わりに、不確実性を正直にラベル付けすることです。

悪用の表面は確認された侵入を超えて広がる

確認された侵入は最初のリスク表面にすぎません。攻撃者、犯罪者、日和見主義者は、インシデント情報をフィッシング、詐欺、認証情報の窃取、恐喝、偽のサポート電話、ソフトウェア更新の誘い、請求書詐欺、雇用ターゲティング、社会的圧力に再利用できます。ソフトウェアチーム、ベンダー、エンタープライズ顧客、オープンソース消費者、クラウドアカウント、セキュリティチームは、侵害されたビルドサーバーが後の攻撃の信頼できる配信経路になる可能性に直面しました。したがって、組織は侵入者が何をしたかだけでなく、露出した情報が他の者に何をさせるかを測定しなければなりません。

これは、露出した材料が管理者、サポート連絡先、支払い関係、特定のブランドの顧客、身分証明書を提出したユーザー、特定の技術を実行している組織を特定する場合に特に当てはまります。これらの記録は攻撃者の探索コストを削減します。それらはソーシャルエンジニアリングをより安価でより信憑性の高いものにします。また、犯罪者がタイミングをパーソナライズすることも可能にします。実際のインシデント後の偽のリセット通知は、通常のフィッシングメッセージよりも信じやすく見えます。

イベント後の悪用防止には、なりすましの監視、起こり得る誘いについて顧客に警告すること、サポート検証の強化、古くなったトークンの失効、露出したシークレットのローテーション、新規アカウント活動の監視、そしてより多くの情報を漏らさないスクリプトを最前線のサポートスタッフに提供することが含まれるべきです。組織はまた、サポートまたはサービス機能が本当に必要とする以上のデータを収集または保持したかどうかもレビューすべきです。

フォレンジックは信頼の決定を支えなければならない

フォレンジックレビューには特定の目的があります。それは信頼の決定を支えます。顧客はそのソフトウェアを使い続けられるか?組織はそのファイアウォールを信頼できるか?ビルドアーティファクトを信頼できるか?サポート記録を信頼できるか?アイデンティティプロバイダー、メタデータストア、ハイパーバイザー、証明書、バックアップ、リモートアクセスセッションを信頼できるか?パッチ適用、リセット、無効化は答えの一部にすぎません。

信頼の決定には、何がアクセスされたか、何がアクセスされた可能性があるか、何が変更されたか、どの認証情報やキーが存在したか、どのログが完全か、ログが変更された可能性があるかどうか、どの独立したシグナルが結論を確認するかについての証拠が必要です。証拠が不完全な場合、組織はその旨を述べ、高価値資産については保守的な決定を下すべきです。侵害された境界システムやビルドサーバーは、元のバグが修正された後でも再構築とシークレットのローテーションが必要になる場合があります。

弱いフォレンジック記録は二次的なアカウンタビリティ問題を生み出します。組織が信頼の対象が安全なままであったことを証明できない場合、より広範な修復のコストを負担する必要があるかもしれません。それは高価です。しかし、代替案は、プロバイダーの証拠を欠く顧客、市民、または下流のユーザーに不確実性を移転することです。成熟したインシデント管理は、プライベートログを、外部者が合理的に行動するのに十分な公的保証に変換します。

経済的インセンティブが過少投資を説明する

インシデント全体で繰り返されるパターンは謎ではありません。予防的管理策は、インシデントが発生する前にしばしば目に見えるコストを課します。セグメンテーションは利便性を遅くします。最小特権はサポートを阻害します。証明書のローテーションは互換性リスクを生み出します。ビルドサーバーの強化はデリバリーを遅くします。ハイパーバイザーのパッチ適用はメンテナンスウィンドウを必要とします。顧客データの最小化はマーケティングやサポートの詳細を減らす可能性があります。バックアップテストは時間を消費します。これらのコストは即時的です。回避される害はそれが到着するまで不確かです。

そのインセンティブギャップこそが、アカウンタビリティが裁判所の記録や確認された損失数値を待つことができない理由です。すべての組織が被害が証明されるまで待つならば、最も安価な経路は常に管理策を延期し、別の当事者が損失を吸収することを願うことです。顧客は、最善の予防管理策を持つ当事者がコストを外部として扱う間に、アイデンティティリスク、ダウンタイム、詐欺監視、緊急人員配置、契約の中断、公共サービスの不便を被るかもしれません。

より良いインセンティブモデルは、イベント前に最も低いコストでリスクを低減できる当事者に管理義務を結び付けます。ベンダーは安全なデフォルトと完全なログを普通にすべきです。顧客はインベントリ、パッチウィンドウ、リカバリテスト、クレデンシャル衛生を維持すべきです。マネージドプロバイダーは証拠パッケージを提供すべきです。規制当局と保険会社は、インシデントの後だけでなく前に、これらの管理策の証明を求めるべきです。

ガバナンス記録はニュースサイクルを生き延びるべきである

ガバナンス記録はニュースサイクルが去った後も有用であり続けるべきです。その記録は、トリガー、影響を受けた資産、影響を受けた人々、封じ込め措置、顧客アドバイス、証拠の質、残存リスク、ビジネスへの影響、改善責任者、フォローアップテストを記述すべきです。また、イベント後に何が変わったかも示すべきです:アクセスルール、保有期間、ベンダー監視、ログカバレッジ、パッチサービスレベル、シークレットローテーション、バックアップ隔離、顧客通知プレイブック。

その記録がなければ、組織は一時的にしか学びません。スタッフは異動します。緊急時の例外は残ります。一時的な緩和策が恒久化します。同じクラスのインシデントが異なる製品やベンダー関係で再発します。長期のアカウンタビリティ記録は、取締役会、規制当局、顧客、将来のオペレーターが、約束された修復が 6 ヶ月後も存在するかどうかを尋ねることを可能にします。

JetBrains, s. r. o. にとって、永続的な教訓は起こり得るすべての害が発生したことではありません。それは、公的なイベントが再発するであろう管理クラスを露出したことです。次の事例は、異なる製品、地域、攻撃者、データセットを伴うかもしれません。テストは同じです:組織は誰がリスクの高い経路を管理していたか、彼らが何をしたか、なぜ部外者がその結果を信頼すべきかを示せるか?

評価を変えるものは何か

より強力なまたは弱い証拠があれば、評価は変わるでしょう。より強力な証拠には、独立したフォレンジックサマリー、完全な顧客影響カテゴリ、最初の検知から封じ込めまでの明確なタイムライン、関連する信頼マテリアルがローテーションされたか決して露出しなかったことの証明、同じ経路がもはや機能しないことを示す後のテストが含まれるでしょう。より弱い証拠には、説明のないスコープの拡大、不明瞭なデータカテゴリ、欠落したログ、類似の繰り返し発生するインシデント、顧客の行動が必要なときに顧客の行動を任意として扱うパターンが含まれるでしょう。

また、影響を受けた当事者の証拠によっても変わるでしょう。露出がなく、迅速な更新、完全なログ、到達可能な信頼マテリアルがないことを示せる顧客は、古いバージョン、露出した管理面、不完全なログ、再利用されたクレデンシャル、機微なサポートファイルを持っていた顧客とは異なる評価を受けるべきです。安全なデフォルトと限定的な保持を持つプロバイダーは、広範な内部ツールに機密記録への永続的なアクセスを与えたプロバイダーとは異なる評価を受けるべきです。

これこそが、優れたアカウンタビリティ記事がパニックと免罪の両方に抵抗する理由です。公開記録は、すべての損失を証明せずに管理に関する結論を支持できます。事実を発明せずに証拠のギャップを特定できます。プロバイダーがインシデントの一部を責任を持って処理したことを認めつつ、インシデント前の設計が回避可能なリスクを生み出したかどうかを問うことができます。精度は軟弱さではなく、アカウンタビリティを信頼できるものにするものなのです。

記憶が薄れる前に顧客が保存すべき証拠

最も有用な顧客の証拠は、多くの場合、通知後の最初の数時間で収集されます。管理者は、認証ログ、サポートコミュニケーション、露出したアカウントリスト、ファイアウォールまたはエンドポイントのイベント、構成のエクスポート、パスワードリセット記録、証明書またはキーのインベントリ、当時のベンダー通知のスクリーンショットを保存すべきです。これらの資料は後に、なぜ組織が狭いリセット、広いリセット、再構築、開示、または監視対応を選択したのかを説明します。それがなければ、後のレビューは管理の記録ではなく、記憶に関する議論になります。

保存は、プロバイダーの通知が進化する可能性があるため重要です。最初の通知は調査が継続中であると言うかもしれません。後の通知は影響を受ける人口を狭めたり拡げたりするかもしれません。セキュリティアドバイザリは、インマワイルドでの悪用状態を追加するかもしれません。各バージョンを保存する顧客は、自身の意思決定をその時点で利用可能な事実にマッピングできます。これは、信頼できる通知後の遅い行動を暴露しつつ、不公平な後知恵から保護します。

証拠はセキュリティチームだけの中に留まってはいけません。法務、調達、プライバシー、サポート、事業継続、エンジニアリング、経営陣の各チームは、それぞれの役割に適したバージョンを必要とします。プライバシーチームは影響を受けたデータフィールドを必要とします。エンジニアリングは技術的指標とシステム所有者を必要とします。調達は契約義務を必要とします。サポートは顧客向けの言葉を必要とします。経営陣は残存リスクと所有者名を必要とします。一つのインシデントは、証拠が正しいが誤った機能に閉じ込められていると失敗する可能性があります。

顧客の行動ウィンドウは測定可能な義務である

プロバイダー側のイベントはしばしば顧客側の時計を開始します。通知が、ソフトウェアの更新、クレデンシャルのローテーション、ログの確認、露出したインターフェースの無効化、ユーザーへの警告を顧客に伝える場合、顧客の応答時間がアカウンタビリティ記録の一部になります。プロバイダーは通知と影響を受けたサービスを管理しました。顧客はローカルの行動を管理しました。どちらの側も単独でジョブを完了することはできません。

その行動ウィンドウは、リスクに合致する条件で測定されるべきです。重要な露出したエッジの欠陥は数時間を必要とするかもしれません。広範なメタデータ露出は同日中のフィッシング警告と管理者レビューを必要とするかもしれません。証明書の交換は更新の展開、許可リストのクリーンアップ、および古い署名付きパッケージがもはや信頼されなくなったことの証明を必要とするかもしれません。サポートチケットの露出は添付ファイルのレビューとユーザー通知を必要とするかもしれません。ハイパーバイザーへのランサムウェアの波は、通常のメンテナンスウィンドウが適用される前に、緊急の隔離とバックアップ検証を必要とするかもしれません。

ポイントは、すべての遅延を罰することではありません。一部の環境は複雑であり、公共サービスは軽々しく停止できず、緊急の変更は不可欠な運用を壊す可能性があります。ポイントは遅延を明示的にすることです。組織が遅延する場合、補償的管理策、ビジネス上の理由、所有者、有効期限、そしてリスクが無期限に開いたままにならなかったことの証拠を記録すべきです。記録されない遅延は、一時的な例外が次のインシデントになる方法です。

修復の主張には耐久性のある証拠が必要である

修復の主張は、変更された管理策とその変更が依然として保持されているという証拠を名指ししたときに、より強力です。アイデンティティインシデントについては、証拠には、無効化されたサービスアカウント、より短いセッション、より強力な管理者認証、アクセスレビュー、フィッシング耐性のあるリセットワークフローが含まれるかもしれません。サポートインシデントについては、証拠には、より狭いベンダーロール、添付ファイル保持制限、特権アクションのログ記録、顧客ファイルのサニタイゼーションが含まれるかもしれません。エッジデバイスのインシデントについては、証拠には、外部で検証された管理の隔離、修正バージョン、ログレビュー、シークレットのローテーション、再構築の決定が含まれるかもしれません。

公衆はすべての機密詳細を必要としませんが、修復の形を必要とします。セキュリティが強化されたと言うより、どのクラスのアクセスが取り除かれたか、どのクラスの記録が最小化されたか、どのクラスのクレデンシャルがローテーションされたか、どのクラスのデバイスが再構築されたか、どのテストが結果を検証するかを言う方がより強力です。具体的な修復言語は、顧客が対策を失敗経路と比較することを可能にします。

耐久性が難しい部分です。多くの修復は、インシデント直後は強力に見えますが、その後劣化します。一時的なファイアウォールルールが戻ります。古いサポート権限が元に戻ります。新しいログ記録はレビューされません。バックアップはテストされません。トレーニングは一度実行され、消えます。したがって、アカウンタビリティ記録には後の検証ポイントが含まれるべきです。通常の運用を生き延びられない修復は、リスクの一時停止にすぎず、閉鎖ではありません。

マネージドプロバイダーは義務の連鎖の中に座っている

影響を受けた多くの組織は、公的な通知で議論されるシステムを直接管理していません。マネージドプロバイダーは、リモートサポートツール、ビルドサーバー、メールプラットフォーム、ファイアウォール、データベースアカウント、ハイパーバイザー、ヘルプデスクワークフロー、または顧客通知を運用しているかもしれません。そのプロバイダーは、リスクを迅速に低減するか、顧客を盲目に保つことができます。したがって、その証拠義務はサービスの礼儀以上です。

マネージドプロバイダーは、影響を受けた製品またはサービスが存在したかどうか、露出していたかどうか、いつ更新されたか隔離されたか、ログが不審な活動を示したかどうか、クレデンシャルがローテーションされたかどうか、バックアップがテストされたかどうか、どのような残存リスクがあるかを顧客に伝える準備ができていなければなりません。「対応済み」というだけの声明では、自身のユーザー、規制当局、保険会社、取締役会に答えなければならない顧客にとって十分ではありません。

契約は、緊急事態の前にその期待を明確にすべきです。緊急通知のトリガー、証拠の提供、緊急メンテナンス権限、クレデンシャルの所有権、バックアップ責任、誰が多大な復旧費用を負担するかを指定すべきです。契約がセキュリティ証拠を任意として扱う場合、顧客はインシデント中にアップタイムは購入したがアカウンタビリティは購入していなかったことを発見するかもしれません。

データの最小化がブラスト半径を変える

保護するのが最も簡単な公開記録は、決して保持されない記録です。これこそが、技術的侵害に関すると思われるインシデントにおいてデータ最小化が重要な理由です。古い添付ファイルを保存するサポートツール、不要なメタデータを保持するアカウントポータル、広範な身元証拠を表示できる顧客サービスプロバイダー、管理者の連絡先を集約する社内システムのいずれも、攻撃者が到着する前に侵害の価値を増大させます。

最小化は、ビジネスが記録なしで運営できると見せかけることを意味しません。サポートチームは顧客の問題を解決するのに十分な情報を必要とします。セキュリティチームはログを必要とします。金融サービスは規制記録を必要とします。公共交通システムはアカウント、割引、払い戻し、支払い操作を必要とします。管理の問いは、組織がインシデント後に各機微フィールド、各保持期間、各ベンダー権限、各エクスポート経路を正当化できるかどうかです。

より小さな記録は通知も変えます。プロバイダーが狭いフィールドセットのみが保持され到達されたと言える場合、顧客は正確に行動できます。プロバイダーが広範な添付ファイルや豊富なメタデータを保持していた場合、通知はより困難になり、下流の悪用表面が拡大します。したがって、最小化はプライバシーのスローガンではありません。それはインシデントに巻き込まれる人々と決定の数を減らすため、レジリエンス管理策なのです。

取締役会の監督は、ステータスだけでなく管理の証拠を求めるべきである

経営陣はしばしば、インシデントの更新をステータスワードとして受け取ります:封じ込められた、改善された、重要な影響はない、調査継続中。これらの言葉はリスクをガバナンスするには広すぎます。取締役会レベルの監督は、どの管理策が失敗したか、またはストレスを受けたか、それをどの当事者が所有していたか、封じ込めを証明する証拠は何か、どの顧客やユーザーが引き続き害を受ける可能性があるか、どの修復が耐久性があるか、何が未知のままかを尋ねるべきです。

取締役会はまた、インシデントがパターンを明らかにしたかどうかを尋ねるべきです。これは以前のサポートツール露出、古いパッチギャップ、セグメンテーションの仮定、ベンダー監視の弱点、または信頼マテリアルのローテーションの繰り返しの失敗の繰り返しですか?一つのインシデントは不運かもしれません。繰り返される管理パターンはガバナンスの証拠です。それは組織が学習しているのか、単に反応しているのかを示します。

これは、ディレクターがインシデント対応者になることを要求するものではありません。彼らが決定レベルの証拠を要求することを求めます。露出数、行動ウィンドウ、顧客義務、法的トリガー、事業継続性への影響、フォローアップの所有者が必要です。取締役会が物語が終わったかどうかだけを尋ねるならば、経営陣は静かな閉鎖に対して報われます。取締役会がどの証拠が管理環境を変えたかを尋ねるならば、修復は可視的になります。

このインシデントは将来の調達質問を変えるべきである

顧客はこのインシデントクラスをより良い調達質問に変えるべきです。サポートアクセスがどのように制限されているか、顧客の添付ファイルがどのようにサニタイズされるか、社内 IT が本番サービスからどのように分離されているか、署名証明書がどのように保護されているか、ビルドシステムがシークレットをどのように保存するか、エッジ製品が管理活動をどのようにログ記録するか、古いバージョンがどのように退役させられるか、セキュリティイベント中に顧客が緊急の証拠をどのように受け取るかをベンダーに尋ねるべきです。

これらの質問は、危機の後だけでなく、更新前に行われるべきです。営業チームは単純な機能比較を好むかもしれませんが、インシデントは運用保証が製品能力と同じくらい重要であり得ることを示しています。広範なサポート特権、弱いログ、遅い通知、不明瞭な復旧義務を持つ安価なプラットフォームは、何かがうまくいかないときに高価になり得ます。より訓練されたプロバイダーは、何も失敗しなくても隠れたリスクを低減します。

調達はまた、紙だけの保証を避けなければなりません。質問票の回答は検証可能な証拠に接続すべきです:監査サマリー、保持設定、ロールモデル、パッチサービスレベル、顧客通知例、復旧演習、利用可能な場合は独立した評価。目標は不可能な透明性を要求することではありません。プロバイダーがリスク表面の一部になるときに顧客が無力にならないように、十分な証拠の権利を購入することです。

アカウンタビリティの教訓は再利用可能である

再利用可能な教訓は、現代の基盤インシデントが始まったシステムで止まることは稀であるということです。侵害されたサポートプロバイダーはアイデンティティ問題になる可能性があります。社内システムのインシデントは顧客メタデータ問題になる可能性があります。脆弱なビルドサーバーはソフトウェアサプライチェーン問題になる可能性があります。リモートアクセス製品は証明書信頼問題になる可能性があります。ファイアウォールやハイパーバイザーは継続性問題になる可能性があります。顧客が孤立したボックスではなく、結合されたサービスに依存しているため、カテゴリは重複します。

その重複こそが、対応計画が管理表面を中心に書かれるべき理由です。誰がアイデンティティの信頼を所有するか?誰が署名付きソフトウェアの信頼を所有するか?誰がサポートデータを所有するか?誰がエッジ管理を所有するか?誰がバックアップを所有するか?誰が顧客通信を所有するか?誰がベンダー証拠を所有するか?これらの所有者がイベント前に知られていれば、組織はより少ない混乱で対応できます。イベント中に発見されるならば、人々が権限を交渉する間にインシデントは拡大します。

成熟した組織は、このクラスの将来の通知を読んですぐにそれを所有者、行動、証拠にマッピングできるべきです。それがインシデントの認識と準備の違いです。認識は何かが起こったと言います。準備は誰が、何を、いつまでに、どの証拠で行わなければならないか、そして依存する人々がどのように知るかを言います。

公共の利益の結論

公共の利益の結論は、JetBrains TeamCity CVE-2023-42793 認証バイパスの悪用とサプライチェーンリスク(2023 年)は、管理のテストとして記憶されるべきだということです。このイベントは、組織とその顧客が技術的封じ込めと信頼回復を区別できるかどうかをテストしました。通知が行動可能かどうかをテストしました。機密記録や信頼対象が最小化されていたかどうかをテストしました。依存する当事者が自らを守るのに十分な証拠を受け取ったかどうかをテストしました。

このクラスのインシデントへの最も強力な応答は、より大きな安心感の表明ではありません。それはより狭いリスク経路、より迅速な封じ込め経路、より完全な証拠経路、より明確な顧客行動経路です。すなわち、不必要なデータの削減、より少ない広範なサポート特権、より厳格な管理境界、ビジネスとサービス環境のより強い分離、より良いログ記録、テストされた復旧、信頼が不確かな場合のクレデンシャルまたは証明書のより迅速な失効を意味します。

JetBrains TeamCity はビルドサーバーをソフトウェアサプライチェーンのアカウンタビリティ表面にしました。なぜなら、組織は他の多くがその証拠に依存しなければならない地点に座っていたからです。それが真実であるとき、アカウンタビリティは実質的な管理表面に従います。最も明確な可視性と害を低減する最善の能力を持つ当事者は、イベントが終わったと言う以上のことを行わなければなりません。信頼関係が安全に継続できる理由を示さなければなりません。

タイポグラフィ

タイポグラフィは、書き言葉を見やすく、読みやすく、視覚的に魅力的にするために文字を配置する技術および技法です。書体の選択、ポイントサイズ、行長、行間、文字間隔の調整が含まれます。

  • タイポグラフィは、15 世紀に Johannes Gutenberg によって活版印刷が発明されたことに端を発します。
  • 主要な要素には、フォントの選択、カーニング、トラッキング、行送りがあります。
  • 優れたタイポグラフィは読みやすさを向上させ、デザインにおけるムードやトーンを伝えます。