まとめ
- MOVEit は、影響を受けた製品が組織、サプライヤー、顧客、公共プログラム間で機密ファイルを移動するために特に使用される管理ファイル転送システムであったため、信頼境界の説明責任問題となった。
- Progress の 5月31日付アドバイザリ:MOVEit Transfer Critical Vulnerability CVE-2023-34362、同社のカスタマー FAQ、および 2023年7月のForm 10-Qは、ベンダーの経緯とオンプレミス可視性の限界を示している。
- CISA の既知の悪用された脆弱性カタログエントリ、CISA と FBI の#StopRansomware アドバイザリ、そして NIST のNVD 記録は、これが単なるベンダーサポートの問題ではなく、公共の防御上の緊急事態に急速になった理由を示している。
- 影響を受けた組織の記録(ノバスコシア州の公開報告書、NYC 公立学校のインシデントページ、CMS の請負業者違反通知、CalPERS の第三者違反通知)は、1つの転送欠陥がどのように多くの個別の通知義務に連鎖したかを示している。
- 修復のテストは、Progress がパッチを発行したかどうかではない。製品所有者、オペレーター、データ管理者が、露出したインスタンスを発見し、迅速にパッチを適用し、漏洩を調査し、保持された転送データを最小化し、下流の人々に通知し、機密転送システムがもはや露出したままになっていないことを証明できるかどうかである。
転送製品は境界に関する約束である
管理ファイル転送には明確なビジネス上の約束がある。機密ファイルが管理可能で監査可能な信頼できる方法で組織間を移動できるという約束である。その約束こそが、MOVEit インシデントがこれほど損害を与えた理由である。この製品は単なる付随的なウェブサイトではなかった。それは境界システムだった。組織がこれを利用したのは、通常の電子メール、アドホックなファイル共有、管理されていない転送チャネルでは、移動されるデータの機密性、容量、ワークフローに十分でなかったからである。
Progress の 2023年5月31日付アドバイザリ(MOVEit Transfer Critical Vulnerability)は、公開記録におけるその境界障害の出発点となった。同社の後のMOVEit Transfer および MOVEit Cloud Patch FAQは CVE-2023-34362 と後続の脆弱性をまとめ、Progress の6月5日更新(MOVEit 顧客を保護するための措置)は、クラウドシャットダウン、パッチ検証、監査ログレビュー、顧客ガイダンスを説明した。これらのベンダー記録は、最初の修復層である通知、緩和、パッチ適用を示している。
説明責任の問題は、最初の修復層が終わるところから始まる。パッチは脆弱性を閉じることができるが、オペレーターにデータがすでに盗まれたかどうかを教えない。年金制度にどの退職者が露出したかを教えない。学校システムにどの生徒ファイルがコピーされたかを教えない。政府請負業者に連邦機関にどのように通知するかを教えない。ウェブシェルを消去しない。古いファイルをそもそも転送サーバーに保持すべきだったかどうかを判断しない。
だからこそ、MOVEit は信頼境界の崩壊として読まれるべきである。機密転送システムはしばしば当事者間に位置する。企業がサーバーを運用するかもしれない。サプライヤーが使用するかもしれない。公的機関が基盤データを管理するかもしれない。個人は自分たちの記録がそれを通過したことを決して知らないかもしれない。転送層が失敗すると、責任はきれいに一箇所に収まらない。ベンダーは製品セキュリティとアドバイザリを管理する。オペレーターはパッチ適用、露出、保持、調査を管理する。データ管理者は通知と最小化の義務を管理する。影響を受けた個人がリスクを負う。
難しいのは、すべての当事者が部分的な境界を指摘できることである。Progress は顧客が自分たちの導入環境をパッチ適用し調査しなければならないと言うことができる。オペレーターは信頼できる製品に依存していたと言うことができる。データ管理者はベンダーまたは請負業者がファイルを処理したと言うことができる。個人は自分たちはこれを決して選んでいないと言うことができる。説明責任はそれらの部分的な境界を再び機能する連鎖に結び付けなければならない。
ベンダーのテレメトリ制限は公共リスクの一部であった
Progress の 2023年7月のForm 10-Qは重要である。なぜなら、5月28日の顧客電話、5月30日の発見、クラウドシャットダウン、5月31日のパッチ、顧客通知、そして同社のオンプレミス顧客導入に対する継続的なテレメトリの欠如を説明していたからである。最後の点はそれ自体批判ではない。多くのオンプレミス製品は意図的に顧客運用されている。しかし、大規模な悪用中、テレメトリの限界は公共リスクになる。なぜなら、ベンダーはすべての顧客に自分たちのインスタンスが侵害されたかどうかを直接伝えることができないからである。
オンプレミス管理は分割された説明責任モデルを生み出す。顧客は導入、インターネット露出、パッチウィンドウ、ログ、バックアップ、保持、調査を管理する。ベンダーはセキュア開発、開示、パッチ品質、製品ドキュメント、サポートを管理する。通常の運用では、この分割は受け入れられるかもしれない。ゼロデイ悪用中は、最も露出した人々が十分に速く知ることができないため、苦痛になる。
Progress の 6月13日更新(パートナーシップと透明性を通じて MOVEit Transfer セキュリティを強化)は、追加のコードレビュー、CVE-2023-35036 の発見、Huntress との協力を説明した。Progress のMOVEit Transfer 2023 の新機能と2023 年の修正済み問題に関するリリースドキュメントは、パッチシーケンスを明確にするのに役立つ。これらの記録が重要なのは、ベンダーがすべての顧客サーバーを見ることができない場合、パッチの明確さが持つ数少ないツールの1つだからである。
しかし、パッチの明確さは依然として顧客のインベントリに依存する。組織はすべての MOVEit インスタンスを知っているか?インターネットに露出しているか?どのバージョンが動作しているか?誰が所有しているか?どのファイルがそこにあるか?どのログが保持されているか?どの請負業者が使用しているか?漏洩が疑われる場合、どの下流データ管理者に通知しなければならないか?悪用が公になる瞬間、それらの質問は緊急になる。
MOVEit の記録は、ソフトウェアの説明責任はコードの品質だけではないことを示している。コードのエコシステム(アップデート配布、顧客検出ガイダンス、テレメトリ設計、インスタンスインベントリ、インターネット露出管理、インシデント処理手順)でもある。機密転送製品を販売するベンダーには、危機の前(最中だけでなく)にそれらのエコシステムの責任を読み取り可能にする強い義務がある。
既知の悪用によりパッチ時間が圧縮された
CISA は CVE-2023-34362 を既知の悪用された脆弱性カタログに追加した。CISA KEV エントリで確認できる。CISA と FBI はその後、CL0P による CVE-2023-34362 悪用に関する #StopRansomware アドバイザリを発行し、指標と防御的推奨事項を示した。NIST のNVD 記録は脆弱性の記録と悪用状況を文書化した。これらの政府情報源は、このインシデントがどのようにして通常のパッチ管理テンポを急速に置き去りにしたかを示している。
英国国家サイバーセキュリティセンター(NCSC)のMOVEit 脆弱性とデータ恐喝インシデントおよび英国金融行動監視機構(FCA)のMOVEit 脆弱性に関する声明は、規制環境および公共利益環境において同じ点を強化している。組織はこの問題を四半期ごとのメンテナンスタスクとして扱うことができなかった。圧縮された時間内に露出を特定し、ベンダーガイダンスに従い、ログをレビューし、侵害を評価し、通知分析を開始しなければならなかった。
圧縮されたパッチ時間は組織の弱点を露呈する。多くの組織は定期的なアップデートを適用する方法を知っている。しかし、本番環境、レガシー環境、テスト環境、ベンダーホスト環境全体で緊急発見を実行できる組織は少ない。さらに、関連する期間にどの機密ファイルがシステムを通過したか、ファイルが不必要に保持されていなかったか、どの個人または機関に通知しなければならないかを判断できる組織はさらに少ない。パッチは証拠の連鎖の1ステップに過ぎない。
信頼境界の問題は特に深刻である。なぜなら、MOVEit システムはしばしば複数の当事者からのデータを保持していたからである。1つのサーバーには、ある機関がアップロードし、請負業者が処理し、別のエンティティに送信され、管轄区域を超えて個人に結びつけられたファイルが含まれている可能性がある。攻撃者がファイルをコピーした場合、通知義務はサーバー所有者だけを追跡しないかもしれない。データ管理者、影響を受ける人口、契約上の義務を追跡する可能性がある。これが、転送製品の大量悪用が多くの個別の通知を生み出す理由である。
パッチ時間は公的なコミュニケーションとも相互作用する。組織が迅速にパッチを適用しても、盗難が発生したかどうかわからない場合、誤った安心感を与えてはならない。ファイルレビューが完了するまでコミュニケーションを遅らせると、影響を受けた人々は何ヶ月も待つ可能性がある。説明責任のある中間は段階的通知である。即時の露出緩和、明確な調査状況、後日のデータ範囲の発見、そして事実が裏付ける場合の個別通知である。
セキュリティ企業の可視性は役立ったが、オペレーターの証明を置き換えなかった
Mandiant のゼロデイ MOVEit データ盗難に関する報告は、5月27日には観測された悪用、ウェブシェルと盗難行動、インフラ観測、属性コンテキストを説明した。Rapid7 のCVE-2023-34362 イベントのタイムラインは、パッチと悪用の経緯を相互検証した。Huntress の迅速対応分析は、エクスプロイトチェーンの機能、ホストアーティファクト、ローカル調査のヒントを追加した。
これらの情報源は、インシデントが展開する中で防御者に実用的な指標とコンテキストを提供したため有用だった。しかし、それらはローカルの証明を置き換えることはできなかった。組織は依然として自社のサーバー、ログ、ファイル、保持履歴、バックアップ、ネットワークトレース、下流のデータ所有権を調査する必要があった。公開された指標リストは疑わしいアーティファクトを見つけるのに役立つが、特定の環境での盗難の不在を証明するものではない。
Censys のMOVEit Transfer 露出分析とその後の業界分析は、露出測定が有用であるが限定的である理由を示した。スキャナー観測はインターネットに面したサービスと傾向を特定できる。各サービスのバージョン、脆弱性、所有権、侵害状況、データ感度を確実に証明できるわけではない。露出数は可能性のあるリスクの地図であり、評決ではない。
Emsisoft の公開分析「MOVEit 違反を解き明かす」は、公開通知、提出書類、開示、犯罪リークサイトから収集した既知の組織と個人の広範な集計を提供した。それは規模の証拠として価値がある。公式の国勢調査ではない。下流の顧客は重複する可能性があり、個人のカウントは異なる方法で定義される可能性があり、犯罪者の主張は信頼性にばらつきがある。
したがって、この記事は証拠の層を分離しておくべきである。ベンダーアドバイザリは顧客に何をすべきかを伝える。政府アドバイザリは既知の悪用を確認し、防御ガイダンスを提供する。セキュリティ企業は観測された技術と露出を説明する。影響を受けた組織は自社の影響を開示する。これらの層だけでは全体の説明責任の質問に答えることはできない。修復記録は、それらが調整されたときにのみ現れる。
タイポグラフィに関する注記
下流の通知は障害の本当の姿を示す
影響を受けた組織の記録は、信頼境界の問題が人間的になるところである。ノバスコシア州のノバスコシア州の MOVEit システムへのサイバーセキュリティ攻撃に関する公開報告書は、詳細な対応経緯とその環境での盗難の期間を説明した。ノバスコシア州プライバシーコミッショナーの調査報告書 IR25-01は、プライバシー影響評価、過剰保持、リポジトリの誤用、通知、推奨事項について独立した調査結果を出した。それらの調査結果はノバスコシア州に適用され、すべての被害者に適用されるわけではない。しかし、それらは転送インシデントが必要とする一種のローカル説明責任を示している。
NYC 公立学校のMOVEit データセキュリティインシデントページは、コピーされたファイル、データカテゴリ、他の部門のネットワーク領域がアクセスされなかった境界を説明した。CMS の請負業者におけるデータ違反への対応に関する通知は、Maximus 請負業者のコンテキストと Medicare 受益者の露出を説明した。CalPERS の第三者違反通知は、サプライヤーチェーンを通じた退職者情報の露出を説明した。各通知は狭い。一緒に、それらは障害の形状を示す。製品層の脆弱性が多くのローカルなデータガバナンス問題になった。
ローカルな問題はしばしばデータ範囲である。サーバー上にどのファイルがあったか?それらは最新だったか?一時的な転送ファイルか、長期保持されたリポジトリか?健康、年金、学生、従業員、財務、または識別データを含んでいたか?ファイルはアップロード前に暗号化されていたか?誰が削除を管理していたか?どの下流エンティティに通知しなければならなかったか?技術的な悪用がドアを開ける。保持とデータガバナンスの選択が、攻撃者が持ち去ることができるものを決定する。
ノバスコシア州のプライバシー調査結果は特に有用である。なぜなら、それらは「MOVEit の影響を受けた」から、プライバシー影響評価と保持に関する質問に移行するからである。それは正しい方向である。転送サーバーは、組織に明確な目的と保護計画がない限り、永久的な倉庫になるべきではない。転送ゾーンに残る機密データが多ければ多いほど、製品脆弱性は広範なプライバシーイベントになる。
他の組織はより強いまたは弱い慣行を持っていたかもしれない。公開記録は、1つのオペレーターの調査結果を普遍的な法的結論として一般化することを許さない。しかし、一般的な説明責任基準を支持する。管理転送の悪用後、すべてのオペレーターは、各ファイルがなぜ存在していたか、どのくらい留まる必要があったか、誰がアクセスできたか、盗難の範囲がどのくらい迅速に決定されたかを示すことができるべきである。
転送チェーンが不透明な場合、データローカリティはより困難になる
MOVEit キャンペーンは、特定の通知が国境を越えた保管を証明しなかったとしても、データ主権とローカリティの問題も提起した。転送製品は、機関、請負業者、年金管理者、学校、健康プログラム、給与処理業者、ベンダー間でファイルを移動できる。サーバーの物理的な場所は1つの質問に過ぎない。より実用的な質問は、各瞬間にどの組織がファイルを管理していたか、ファイルがコピーされた後にどの法的体制が通知を支配したかである。
データローカリティはしばしばクラウド地域の問題として議論される。管理ファイル転送は異なるローカリティ問題を示す。経路は一時的であり、契約に基づき、複数当事者である可能性がある。年金記録は公的エンティティからサプライヤーに移動するかもしれない。学校の記録は請負業者の転送フォルダにあるかもしれない。健康給付ファイルはプログラム管理者によって処理されるかもしれない。転送システムが侵害されると、影響を受ける個人は自分たちが決して見たことのない連鎖を知るかもしれない。
英国 NCSC と FCA の資料は、規制当局が組織に直接的および第三者の露出の両方を理解することを期待していることを示している。それは正しい基準である。組織は、自社のデータがサプライヤーのインスタンスを通過した場合、「MOVEit を運用していない」で止まることはできない。また、サプライヤーは、必要な期間より長くファイルを保持したり、データ管理者への通知を遅らせたりした場合、「製品に脆弱性があった」で止まることはできない。
グローバル組織にとって、連鎖は国境を越える可能性がある。1つの通知の公開証拠は、すべてのファイルがどこにあったかまたは移動したかを明らかにしないかもしれない。責任ある分析は、データの場所をでっち上げることを避けるべきである。しかし、説明責任はでっち上げられた場所を必要としない。組織に、インシデントが発生したときにローカリティの質問に迅速に答えるのに十分なほど転送経路を文書化することを要求する。
したがって、修復記録には転送チェーンのマッピングを含めるべきである。どのビジネスプロセスが転送製品を使用しているか?どのカウンターパーティがファイルをアップロードまたはダウンロードするか?どの管轄区域のデータが現れるか?どの契約が通知、削除、暗号化、調査の義務を割り当てるか?どのファイルが自動的にパージされるか?どの例外がレビューされるか?そのマップのない転送システムは、記憶に基づいて構築された信頼境界である。
パッチリリースはクリーンアップを証明しなかった
MOVEit からの最も強い教訓の1つは、パッチリリースとクリーンアップは異なる義務であることである。Progress はアドバイザリとパッチを発行した。顧客はそれらを適用しなければならなかった。しかし、パッチ適用前に悪用が発生した場合、オペレーターは依然として悪意のあるファイルを削除し、ログをレビューし、データアクセスを特定し、証拠を保存し、影響を受けた関係者に通知し、保持を再考する必要があった。パッチは1つのドアを閉じる。閉じる前に何が通り抜けたかを示さない。
この区別はインシデント対応者にはおなじみだが、公の議論ではしばしば欠けている。取締役会は「パッチは適用したか?」と尋ねるかもしれない。それは必要である。次の質問は「パッチ適用前に侵害されていたか?」である。次に「どのデータが存在していたか?」「証明できるか?」「誰に通知しなければならないか?」「次回のデータリスクを減らすためにどのような変更を行うか?」そのシーケンスがなければ、パッチコンプライアンスは偽りのゴールラインになる可能性がある。
MOVEit は問題をより困難にした。なぜなら、悪用は広範囲であり、製品はしばしばインターネットに面していたからである。CISA の KEV カタログは修復の期待を圧縮したが、多くの組織はストレス下でフォレンジックレビューを実施しなければならなかった。ログが不足している組織もあった。第三者にインスタンスを運用させていた組織もあった。転送フォルダに古いファイルがあった組織もあった。多くの下流グループに通知する必要があった組織もあった。技術的なパッチは組織的修復の始まりに過ぎなかった。
Progress の後の2024年のリリースでSEC 調査の結論が発表されたが、それは他のすべてのトラックを閉じるわけではない。SEC スタッフの決定、私的訴訟、規制当局のレビュー、顧客通知、データ管理者の義務は異なる範囲を持つ。企業は1つの執行勧告を回避できるが、影響を受けた組織は依然として人々に明確な通知を負い、オペレーターは依然として保持を改善する必要がある。
この階層的な閉鎖は重要である。製品ベンダーの説明責任、カスタマーオペレーターの説明責任、データ管理者の説明責任は異なる時計で動く。公衆はどの時計が議論されているかを知る必要がある。「Progress がパッチを適用した」は「すべてのオペレーターがクリーンアップした」ではない。「SEC の執行勧告なし」は「顧客への害なし」ではない。「通知が郵送された」は「保持が修正された」ではない。この記事の中心的な仕事は、それらの声明がぼやけるのを防ぐことである。
転送システムには保持の規律が必要
最も重要な非パッチの教訓は保持である。管理ファイル転送はしばしば安全な導管として扱われるが、実際には転送フォルダはリポジトリになる可能性がある。ファイルが残るのは、削除が不便だから、クリーンアップを担当する人がいないから、統合に再試行機能が必要だから、監査人が履歴を望むから、カウンターパーティが忘れるから、またはシステムが静かにストレージとして使用されるからである。その漂流は、転送脆弱性をデータ最小化の失敗に変える。
保持の規律は製品とプロセスに組み込まれるべきである。ファイルにはデフォルトの有効期限があるべきである。例外は明示的であるべきである。機密転送フォルダはレビューされるべきである。ログはペイロードを必要以上に保持せずに十分な証拠を保存するべきである。契約は削除とデータ返却のルールを指定するべきである。データ管理者はサプライヤーが転送コピーを保持しているかどうかを知るべきである。オペレーターは数時間以内に、侵害期間中にどのデータカテゴリが存在していたかを答えられるべきである。
ノバスコシア州のプライバシー報告書は、これが抽象的でない理由を示している。MOVEit インシデント後に、ローカルなプライバシーガバナンスの問題と推奨事項を特定した。他の組織は同じ調査結果を持っていないかもしれないが、すべての組織はパターンから学ぶことができる。製品の脆弱性が引き金であり、保持されたデータが爆風半径を決定した。
暗号化も注意深い枠組みが必要である。転送前にファイルを暗号化することで露出を減らすことができるが、それはキーが同じ侵害された経路からアクセス可能でなく、ビジネスプロセスが依然として機能する場合に限る。トランスポート暗号化は、攻撃者がアップロード後に保存された平文に到達した場合には役立たない。トークン化、最小化、フィールドレベルの制御は害を減らす可能性があるが、ワークフローに設計されている場合に限る。転送製品は、セキュリティに焦点を当てた製品であるという理由だけで自動的にデータを安全にするわけではない。
したがって、説明責任の基準は退屈で厳格である。ファイルを知れ、ファイルを最小化せよ、ファイルを期限切れにせよ、アクセスを記録せよ、削除をテストせよ、通知経路をリハーサルせよ。信頼境界の製品では、退屈な制御が封じ込められた悪用と大量開示の違いである。
顧客はアドバイザリだけでなく証拠を必要とする
インシデント中、顧客は自分たちが露出していたか、脆弱だったか、悪用されたか、データが盗まれたか、パッチが完了していたか、後続の脆弱性が影響したかを知る必要があった。アドバイザリは一般的な指示を提供できる。顧客は依然として環境固有の証拠を必要とする。その証拠は、ログ、ファイル、ウェブシェルスキャン、ネットワーク記録、ベンダーサポート、第三者フォレンジック、またはデータレビューチームから得られる可能性がある。
ベンダーは証拠経路を明確にすることで支援できる。どのログが重要か?指標はどこにあるか?どのバージョンにどのパッチが必要か?どのアーティファクトが侵害を示唆するか?どの緩和策が一時的か?顧客はクラウド導入とオンプレミス導入をどのように扱うべきか?悪用について何が既知で何が未知か?どの後続脆弱性に悪用が観測され、どれにないか?Progress の FAQ とアップデートはこれらの質問のいくつかに答えようとした。説明責任の質問は、顧客がそれらの回答を十分迅速に運用化できたかどうかである。
顧客は危機の前に準備することで自分自身を助けることができる。転送システム、露出状況、バージョン、所有者、データカテゴリ、保持ルール、カウンターパーティ、ログ保持の現在のインベントリを維持すべきである。誰が転送システムをシャットダウンできるか、誰がカウンターパーティに通知するか、誰がファイルをレビューするか、誰が通知を処理するか、誰が法執行機関や規制当局と調整するかを定義すべきである。インベントリが正確かどうかをテストすべきである。
サプライヤー契約も証拠の義務を定義すべきである。公的機関のために MOVEit を運用する請負業者は、どのくらい迅速に機関に通知しなければならないか、どのログを提供しなければならないか、データ範囲がどのようにレビューされるか、誰が通知の費用を支払うか、保持がどのように管理されるかを知るべきである。それらの条件がなければ、インシデント対応は影響を受ける人々が待つ間の交渉になる。
MOVEit のエピソードは、データ共有インフラが無関係な組織間で共通の障害経路になる可能性があることを示した。それは管理転送を放棄する理由ではない。それを高リスクの境界として管理する理由である。製品の約束が強ければ強いほど、それが失敗したときの証拠義務も強くなる。
耐久性のある教訓は境界の証明である
最終的な説明責任の質問は、境界が証明できるかどうかである。インシデント前、多くの組織は MOVEit を機密ファイルを移動するための信頼できる場所として扱っていた。インシデント後、信頼は証拠(パッチ状況、ログ、指標、ファイルリスト、保持スケジュール、通知、是正措置)から再構築されなければならなかった。信頼はもはや製品の主張ではなかった。それは監査証跡だった。
Progress にとって、耐久性のある修復記録は、セキュア開発レビュー、明確なアドバイザリ、パッチ品質、顧客ガイダンス、そしてより安全な運用を容易にする製品機能である。オペレーターにとっては、インベントリ、緊急パッチ能力、露出管理、ロギング、保持規律、侵害評価、下流通知である。データ管理者にとっては、機密ファイルがどこに移動するかを知り、契約が可視性を維持することを確実にすることである。影響を受ける人々にとっては、自分たちのデータが侵害された境界を越えたときに、正確でタイムリーで理解可能な通知を受け取ることである。
単一の当事者がエコシステム全体を単独で修復することはできない。しかし、各当事者は他の背後に隠れることをやめることができる。ベンダーは、製品が機密転送用に設計されている場合に、顧客がパッチを適用すべきだとだけ言うことはできない。オペレーターは、データを保持しサービスを露出させた場合に、ベンダーに欠陥があったとだけ言うことはできない。データ管理者は、影響を受ける人々が管理者のプログラムを信頼していた場合に、請負業者がファイルを処理したとだけ言うことはできない。説明責任はそれらの部分的な真実を結合する規律である。
MOVEit は、最新のデータ共有がどのように機能するかを明らかにするため、リスクと説明責任の記録に属する。機密情報は、専門化されたツールを通じて、組織間で、人々が決して見ることのない契約の下で、ファイル内のデータを持つ個人から遠く離れて運用される可能性のあるシステムを越えて移動する。転送境界が失敗したとき、公衆はパッチの見出し以上のものを必要とする。何が越えたか、誰が知っていたか、誰が通知したか、何が変わったか、なぜ次の転送境界が信頼されるべきかの証明が必要である。
通知のカスケードには独自の証拠連鎖が必要
MOVEit インシデントは多くの公開通知を生み出した。なぜなら、データ関係が階層化されていたからである。製品ベンダーが脆弱性を開示した。オペレーターがサーバーを評価した。請負業者が顧客に通知した。公的機関と年金制度が影響を受ける人口に通知した。個人は転送製品を直接運用していない可能性のある組織から手紙を受け取った。その通知カスケードは正当であり得るが、第二の説明責任問題を生み出す。各通知は別の当事者からの証拠に依存している。
ノバスコシア州の公開インシデント報告書は有用である。なぜなら、単一のオペレーターがどのように経緯を再構築し、ファイルアクセスを特定し、パッチを適用し、シャットダウンし、再開し、報告しなければならなかったかを示しているからである。後のノバスコシア州プライバシーコミッショナーの調査報告書は、プライバシーガバナンスと対応品質を調査することにより、異なる層を追加している。これら2つの文書は一緒に、通知が単なるメールマージではないことを示している。それは証拠の連鎖である。
同じパターンが他の影響を受けた記録にも現れている。NYC 公立学校のデータインシデントページは、家族と従業員に、コピーされたファイルとデータカテゴリについて部局が理解していることを伝えた。CMS の請負業者におけるデータ違反への対応に関する通知は、連邦プログラムが請負業者の使用を通じてどのように影響を受ける可能性があるかを示している。CalPERS の第三者違反通知は、年金とサプライヤーチェーンのバージョンの同じ問題を示している。各組織は、上流の証拠を自社の人口のための通知義務に翻訳しなければならなかった。
その翻訳は微妙な方法で失敗する可能性がある。請負業者はサーバーが悪用されたことを知っているが、どの顧客ファイルがコピーされたかはまだわからないかもしれない。データ管理者はファイル名を知っているが、ファイル内の完全な人口を知らないかもしれない。ベンダーは脆弱性が悪用されたことを知っているが、オンプレミス顧客のログを見ることができないかもしれない。規制当局は、影響を受ける人の数が安定する前に初期通知を受け取るかもしれない。すべての引き継ぎが不確実性を生み出す。
したがって、修復基準は通知証拠連鎖を要求すべきである。各機密転送ワークフローについて、オペレーターは誰がデータを所有しているか、誰に通知しなければならないか、どのログがアクセスを証明するか、どのファイルがどの人口にマッピングされるか、誰が内容をレビューするか、誰が最終通知を承認するかを知るべきである。連鎖はインシデントの前にリハーサルされるべきである。公的機関が MOVEit ファイルを影響を受ける個人にマッピングする最初の機会が大量悪用後である場合、転送システムは高リスク境界として管理されていなかったことになる。
製品設計は残留物の量を減らすことができる
最も強力な転送システムの修復は、より速いパッチ適用だけではない。攻撃者が盗むための残留物を減らすことである。管理ファイル転送製品は、製品機能とデフォルトを通じてこれをサポートできる。自動ファイル期限切れ、明確なフォルダ所有権、保持警告、検索可能な監査証跡、暗号化制御、異常なダウンロード行動に関するアラート、古い機密ファイルを示す管理ダッシュボードなどである。オペレーターは依然としてそれらの機能を設定して使用しなければならないが、製品設計はより安全な運用をより簡単な経路にすることができる。
Progress のMOVEit Transfer 2023と2023 年の修正済み問題に関するリリースノートは、パッチとリリースの記録であり、完全な製品設計監査ではない。それでも、より広い期待を指している。大規模な悪用後、顧客は特定のセキュリティアップデートだけでなく、将来の悪用をより害の少なくする製品変更を探すべきである。転送製品は、顧客が転送スペースにまだ何があるかを理解するのに役立つべきである。
オペレーターは残留物のメトリクスも必要とする。ビジネスニーズより古いファイルがいくつ転送フォルダに残っているか?そのうち規制データを含むものはいくつか?かつてのプロジェクトや退職した従業員が所有しているものはいくつか?どのカウンターパーティがまだそれらを取得できるか?保存時に暗号化されているがアプリケーションを通じて読み取り可能なものはいくつか?一度もダウンロードされていないものはいくつか?異常に頻繁にダウンロードされているものはいくつか?これらは平凡な質問だが、爆風半径を決定する。
Censys の露出分析、MOVEit TransferとMOVEit: 業界分析は、外部から露出を説明する。残留物メトリクスは内部から露出を説明する。両方が必要である。サーバーはインターネットに面して空である可能性があり、それはまだパッチリスクであるがデータ開示イベントではない。別のサーバーは遅れてパッチされ、何年もの機密ファイルを含んでいる可能性があり、それははるかに深刻になる。外部スキャンと内部ファイルインベントリが出会わなければならない。
したがって、説明責任のある製品とオペレーターのパートナーシップは率直である。ベンダーは、古い機密ファイルを可視化し削減可能にする制御を提供すべきである。オペレーターは、文書化されたニーズが存在しない限り、ファイルを速やかに削除するデフォルトを設定すべきである。データ管理者は、保持と保護のストーリーが明示的でない限り、転送フォルダがアーカイブになることを禁止すべきである。目標は次の悪用を防ぐことだけでなく、次の悪用をより小さくすることである。
調達は証拠とクリーンアップを価格に含めるべき
組織はしばしば、信頼性、セキュリティ、利便性のために管理転送を購入する。MOVEit インシデントは、調達が証拠とクリーンアップも価格に含めるべきであることを示している。購入者は、製品が有用なログを生成できるか、それらのログが十分に長く存続するか、ベンダーが緊急フォレンジックをサポートできるか、保持制御が容易に実施できるか、サポートが危機においてクラウドホストと自己管理の責任を区別できるかを尋ねるべきである。
公的機関にとって、これは書類作業ではない。学校システム、年金基金、健康プログラム、または請負業者は、何十万人もの人々に通知しなければならないかもしれない。転送システムがどのファイルがアクセスされたか、各ファイルに何が含まれていたかを迅速に特定できない場合、公的通知プロセスはより遅くより高価になる。便利な転送ワークフローからの節約は、違反後の手動ファイルレビューによって圧倒される可能性がある。
契約は証拠の義務を明記すべきである。疑わしい悪用後、オペレーターはどのくらい迅速にデータ管理者に通知しなければならないか?どのログとファイルリストを提供しなければならないか?レビューの費用は誰が負担するか?証拠を保存するのは誰か?ベンダーと通信するのは誰か?請負業者がデータ所有者に知らせずに転送製品を使用した場合はどうなるか?転送後、どの保持ルールがデータに適用されるか?これらの契約条項は法的装飾ではない。次の危機のための作業指示書である。
英国 FCA のMOVEit 脆弱性声明は、規制された企業に直接的および第三者の露出を理解するよう求めた。その期待は、脆弱性が現れる前に調達に組み込まれるべきである。企業は、契約とインベントリがファイルの移動先を明らかにしない限り、第三者の露出を理解できない。
最終的な調達の教訓は、信頼できる転送はサービス成果であり、製品ラベルではないことである。製品は安全な転送のために設計されているが、顧客がそれを管理されていないストレージとして使用する可能性がある。請負業者はパッチ適用されたインスタンスを運用しながら、あまりにも多くのデータを保持する可能性がある。ベンダーはアドバイザリを発行するが、購入者にはインベントリが不足している可能性がある。購入者は証拠連鎖全体を購入し管理すべきである。なぜなら、境界が失敗したときに影響を受ける人々がそれを必要とするからである。
規模の証拠はローカルな義務を平坦化すべきでない
広範な公開集計は読者が MOVEit キャンペーンの規模を理解するのに役立ったが、個々のオペレーターの義務を平坦化する可能性もある。Emsisoft の公開分析は、公開通知、提出書類、開示、犯罪者の主張から既知の組織と影響を受ける個人を集計した。その規模のシグナルは、インシデントが孤立していないことを示すため有用である。しかし、ローカルな説明責任の代わりになるべきではない。
集計内のすべての組織は、依然として自社の質問に答える必要があった。どのサーバーが影響を受けたか?インスタンスは内部で管理されていたか、サプライヤーによって管理されていたか?どのファイルがコピーされたか?それらの中にどのデータフィールドがあったか?ファイルはまだ必要だったか?どの規制当局または契約上のカウンターパーティに通知しなければならなかったか?どの影響を受ける個人が身分証明保護または他のサポートを必要としたか?グローバルなカウントはそれらのローカルな質問に答えることができない。
規模の証拠は時間を曖昧にすることもある。一部の組織は迅速に開示した。他の組織はファイルをレビューし個人を特定するのに何ヶ月も必要とした。通知の遅延は、無責任な遅さ、本物のデータレビューの複雑さ、サプライヤーの引き継ぎの遅延、または法的慎重さを反映する可能性がある。公衆は証拠なしに1つの原因を仮定することはできない。しかし、成熟したオペレーターは、ファイルインベントリ、保持ルール、データ所有者マッピングを最新に保つことにより、次のインシデント前にその遅延を減らすことができる。
したがって、大規模悪用後の最も強力な公的報告は2つのビューを組み合わせるべきである。第一はキャンペーンビューである。ベンダーアドバイザリ、政府警告、悪用指標、露出測定、広範な影響を受ける人口推定。第二はローカルビューである。特定のオペレーターの経緯、データ範囲、通知根拠、保持の教訓、是正措置。MOVEit は両方のビューが必要であることを教えた。キャンペーンの規模は問題が重要だった理由を説明する。ローカルの証拠は各影響を受ける人に誰が責任を持っていたかを説明する。
取締役会の監督は境界の証拠を求めるべきである
MOVEit からの取締役会の教訓は、役員がファイル転送エンジニアになるべきだということではない。経営陣に機密データを運ぶ境界に関する証拠を求めるべきだということである。取締役会リスク委員会は、簡単で具体的な質問をすることができる。どの管理転送システムがインターネットに面しているか、誰がそれらを所有しているか、どの機密データカテゴリがそれらを通過するか、ファイルはどのくらい残るか、どのサプライヤーがそれらを運用しているか、どのログがアクセスを証明するか、侵害後どのくらい迅速に組織は影響を受ける人口を特定できるか。これらの質問は、転送システムが信頼境界として理解されれば、通常のガバナンス質問である。
同じ質問は調達と内部監査に届くべきである。調達はベンダーと管理サービスプロバイダーに、パッチタイミング、緊急通知、ログ配信、データ削除、顧客固有の証拠を説明するよう要求できる。内部監査は、転送フォルダが実際に保持ルールに従っているか、システム所有者がファイルインベントリを生成できるかをサンプリングできる。セキュリティチームは、露出スキャン、脆弱性アラート、インシデントプレイブックが転送環境をカバーしているかをテストできる。プライバシーチームは、ファイルが境界を越えたときにどの法律または契約が適用されるかをマッピングできる。
この証拠は劇的である必要はない。現在のインベントリ、保持レポート、最近の図上訓練、サプライヤー通知条項、アクセスログサンプル、未解決の例外のリストであり得る。重要なのは、組織が攻撃者がテストする前に境界が管理されていることを証明できることである。MOVEit は、信頼された転送製品が非常に迅速に共有される露出経路になり得ることを示した。したがって、取締役会は信頼された転送をインフラとして扱うべきであり、事務的な配管としてではない。
管理ファイル転送を使用する組織にとっての最終的な質問は、数週間の再構築なしに影響を受ける個人の基本的な懸念に答えられるかどうかである。私のデータはシステムにあったか、コピーされたか、なぜまだそこにあったか、誰が管理していたか、他に誰がそれを受け取ったか、インシデント後に何が変わったか。それらの答えが即興を必要とする場合、境界はまだ説明責任を果たしていない。
そのローカルな証拠は、取締役会が完了したパッチタスクと完了した信頼修復を区別できるようにもする。

