概要

  • 2023 年 2 月、政府や対応機関は、ESXiArgs ランサムウェアキャンペーンにおいて、攻撃者が VMware が 2021 年に対処済みの脆弱性を悪用し、未パッチの VMware ESXi システムを侵害していると警告した。
  • 中心的な説明責任の問いは、ハイパーバイザーのパッチ債務、インターネット露出、サポート終了バージョン、バックアップの分離、復旧スクリプト、顧客コミュニケーション、仮想化サービスの継続性について、誰が実質的な管理権限を持っていたのか、である。
  • この事例の実際の根本原因は、侵害、停止、脆弱性、ベンダー障害といった単一のラベルではない。記録の中心は、古い VMware ESXi OpenSLP の露出、パッチ適用の失敗、インターネットに面したハイパーバイザー、構成ファイルのランサムウェア暗号化、復旧ガイダンス、バックアップの品質、そして仮想化クラスタ内部に隠れたビジネス依存性である。
  • ホスティングプロバイダー、公的機関、中小企業、大企業、アプリケーション所有者、エンドユーザーは、パッチ状況と復旧準備が最新に保たれていないハイパーバイザーに仮想マシンが依存していたためにサービス停止に直面した。
  • 記録は、管理義務と証拠の欠落について高い信頼性の説明責任の所見を裏付けている。しかし、個々のログエントリ、すべての顧客影響、すべての内部決定、すべての下流の損失など、非公開の事実を前提とすることは支持されない。

証拠記録とその使用方法

本記事は公開記録を単一のマスターアカウントとしてではなく、階層的な証拠として扱う。企業の通知は、Vmware International Unlimited Company が発見、変更、助言した内容について使用される。政府、規制当局、脆弱性、セキュリティ研究の資料は、インシデントに関する管理義務の枠組みを定めるために使用される。二次報告は、公開声明、時系列、または安定した一次文書では利用できない影響を受けた当事者のコンテキストを保持する場合にのみ使用される。

#公開記録この分析での使用
1VMware VMSA-2021-0002 アドバイザリCVE-2021-21974 および修正バージョンに関する一次ベンダーアドバイザリ
2NVD CVE-2021-21974 エントリ公開脆弱性メタデータとリファレンス
3CISA ESXiArgs ランサムウェアアドバイザリキャンペーンと修復コンテキストのために使用される政府アドバイザリ
4CISA ESXiArgs 復旧ガイダンス復旧スクリプトと対応コンテキストのために使用される政府ガイダンス
5CISA ESXiArgs 復旧スクリプトリポジトリ公開復旧ツールコンテキスト
6CERT-FR ESXiArgs アラートキャンペーンコンテキストのために使用されるフランス政府アラート
7BleepingComputer ESXiArgs 報道進化するランサムウェアと復旧コンテキストのために使用される二次報告
8The Register ESXiArgs 報道公開キャンペーンの規模コンテキストのために使用される二次報告
9Rapid7 ESXiArgs 分析古いパッチと露出コンテキストのために使用される防御側の分析
10Tenable ESXiArgs 分析未パッチの ESXi サーバーのためのセキュリティベンダーコンテキスト
11VMware ESXi パッチ適用ドキュメントvSphere と ESXi のライフサイクル管理のためのベンダードキュメントコンテキスト
12CISA StopRansomware ガイドランサムウェア防御と復旧コンテキスト
13NCSC ランサムウェア軽減ガイダンスバックアップと継続性管理コンテキスト
14CIS 重要セキュリティ管理策インベントリ、脆弱性管理、復旧管理コンテキスト
15NIST サイバーセキュリティフレームワークリスク管理用語
16MITRE ATT&CK 影響のためのデータ暗号化ランサムウェア暗号化の影響のための技術コンテキスト

このインシデントの本質は管理にある

VMware ESXiArgs は、古いハイパーバイザーパッチがどのように継続性の義務になるかを示した。なぜなら、この出来事は実際の管理を見出しよりも明るい光の下に置いたからだ。公開記録はVMware VMSA-2021-0002 アドバイザリから始まり、NVD CVE-2021-21974 エントリCISA ESXiArgs ランサムウェアアドバイザリによって補強されている。これらの記録は、曖昧なセキュリティストーリーと一連の運用上の義務との違いを示すため重要である:影響を受けたシステムを特定し、どのデータまたは信頼材料にアクセス可能であったかを判断し、行動すべき人々に通知し、古いリスク経路が閉じられたことを証明することである。

重要な分析上の動きは、トリガーと説明責任を分離することだ。トリガーは、2023 年に未パッチの VMware ESXi OpenSLP 脆弱性 CVE-2021-21974 を悪用した ESXiArgs ランサムウェアキャンペーンである。説明責任はより広範である。それには、事象以前の設計選択、異常な活動を検出すべきだった監視、それを封じ込めるための緊急時の権限、確認された侵害と可能性のある露出を区別する証拠、依存する当事者が自らの決定を行えるようにするコミュニケーションが含まれる。プロバイダーは狭い技術的トリガーについては正確でありながらも、顧客がリスクの自陣側を管理するのに十分な証拠を提供せずに終わることがある。

Vmware International Unlimited Company にとって、したがって公的な問題は管理面にある:古い ESXi パッチの債務、OpenSLP の露出、ランサムウェアの波、ハイパーバイザーの復旧、バックアップの分離、サポート終了バージョン、そして継続性の証拠。これらは広報の詳細ではない。それらは被害が拡大または縮小するメカニズムである。短い侵入が長期にわたるアイデンティティリスクを生み出すことがある。古い脆弱性が現実の継続性障害になりうる。ベンダーアカウントが顧客アカウントの問題になりうる。プラットフォームのサポートチケットが本番サービスそのものよりも機微な情報を含むことがある。本記事は全体を通してそのレンズを使用している。

タイムラインは証拠の一部である

タイムラインが重要なのは、顧客が行動するのに十分な情報を得た後でしか行動できないからだ。この場合、公開された時系列は上記のトリガーから始まり、封じ込め、顧客ガイダンス、フォローアップ報告、その後の分析へと進む。初期段階は検知とエスカレーションをテストする。中間段階は一時的な管理策が永続的な修復になったかどうかをテストする。後期段階は、組織が注意が薄れた後に単にインシデントを終了させるのではなく、類似の経路を防ぐのに十分な学習をしたかどうかをテストする。

優れたインシデントタイムラインはいくつかの疑問に答えるべきである。異常な活動はいつ始まったのか?防御側はそれをいつ最初に確認したのか?防御側はその重要性をいつ理解したのか?組織はその経路をいつ封じ込めたのか?どの顧客、記録、サービス、資格情報、システムが影響を受ける可能性があるかをいつ把握したのか?組織外の人々が身を守るのに十分な情報をいつ受け取ったのか?公開通知がこれらの疑問すべてに答えられることは稀だが、それでもこれらの疑問は適切な説明責任の枠組みである。

内部イベントと公開通知の間のギャップは自動的に不正行為を意味するわけではない。インシデント対応者は事実を検証するのに時間を必要とする。時期尚早の通知は誤ったアドバイスを広める可能性がある。しかし、そのギャップは説明可能でなければならない。顧客がパスワード、トークン、エンドポイント、サポートファイル、銀行口座、管理者、下流ユーザーを管理している場合、遅延はリスクを顧客に転嫁することになる。説明責任の基準は即時の完璧さではない。それは、確認された事実、起こりうるリスク、推奨される行動、未解決の不確実性を区別した、迅速かつ段階的なコミュニケーションである。

データまたは信頼オブジェクトは偶然ではなかった

このケースで露出または危険にさらされたオブジェクトは、ビジネスにとって偶然のものではなかった。記録の中心は、古い VMware ESXi OpenSLP の露出、パッチ適用の失敗、インターネットに面したハイパーバイザー、構成ファイルのランサムウェア暗号化、復旧ガイダンス、バックアップの品質、そして仮想化クラスタ内部に隠れたビジネス依存性である。つまり、このインシデントは、組織が管理するために存在する、または顧客が依存するよう招いた信頼オブジェクトに触れた。そのオブジェクトが資格情報、署名証明書、サポート添付ファイル、顧客メタデータセット、ビルドサーバー、ファイアウォール、ハイパーバイザー、公共サービス ID レコードである場合、組織はそれを通常のオフィスシステムの詳細として扱うことはできない。

信頼オブジェクトには特別な説明責任プロファイルがある。それらは他のシステムが決定を下すことを可能にする。コード署名証明書はエンドポイントにソフトウェアが正当かどうかを伝える。サポート資格情報は、担当者が顧客記録を見ることができるかどうかをプラットフォームに伝える。ビルドサーバーは下流のユーザーに、アーティファクトが期待されたプロセスから来たことを伝える。ファイアウォールやリモートアクセスゲートウェイは、ネットワークにどのセッションが入ってもよいかを伝える。顧客メタデータレコードは詐欺師に誰を標的にすべきかを伝える。害はしばしば後になって、誰かが別の設定でその信頼オブジェクトを再利用したときに発生する。

これが、スコープ分析がテーブル名やサーバー名だけでなく機能をカバーする必要がある理由である。データベーステーブルがコピーされたかどうかを尋ねるだけでは、コピーされたフィールドが管理者を特定する場合には不十分である。本番データプレーンが侵害されたかどうかを尋ねるだけでは、企業記録が後でそのデータプレーンを攻撃する方法を明らかにする場合には不十分である。サービスがオンラインのままだったかどうかを尋ねるだけでは、資格情報、証明書、添付ファイルがイベント後も使用可能なままだった場合には不十分である。

プロバイダーの責任は最も影響力の大きい管理策に従う

この話のプロバイダーは、公的なイベントが始まった環境を管理していたが、その言明だけでは不十分である。より正確な問いは、どのような影響力の大きい管理策がプロバイダー側にあったかである。多くのインシデントにおいて、これらの管理策には、アーキテクチャ、特権アクセス、サービスセグメンテーション、証明書または鍵の取り扱い、ログ記録の網羅性、顧客データ最小化、安全なデフォルト設定、緊急失効、リリースエンジニアリング、信頼できるガイダンスを公開する権限が含まれる。

プロバイダーは、リスクのある経路を容易にしたか困難にしたかによって判断されるべきである。特権ツールが強力な認証と厳格な役割を必要としたか?機微なサポート添付ファイルやメタデータが必要以上に保持されていたか?本番システムは企業システムから分離されていたか?露出したサービスはフェイルクローズするように設計されていたか?アクセスを再構築するのに十分なログがあったか?組織は信頼材料を迅速に失効させることができたか?顧客は安全なバージョンをインストールしたか、適切な封じ込め措置を講じたかを検証できたか?

公開記録はその管理態勢の一部しか示さないかもしれない。通知が出されたこと、パッチがリリースされたこと、パスワードリセットが要求されたこと、ベンダーアカウントが無効化されたこと、証明書が交換されたこと、公的機関がサービスを継続したことを示すことができる。しかし、内部アクセスレビュー、取締役会の議論、フォレンジックの確信度、すべての顧客メッセージを示すことはできないことが多い。完全な可視性の欠如は推測で埋めるべきではない。それは証拠の限界として明示され、将来のより明確な保証への要求に変換されるべきである。

顧客とオペレーターの責任は消えなかった

顧客とオペレーターにも義務があった。これは責任転嫁ではない。それは多くのテクノロジーインシデントが組織の境界を越えるという認識である。顧客はエンドポイントの更新、パスワードの再利用、特権アカウント、ファイアウォール露出、サポートアップロード、管理者の行動、バックアップの分離、アラートレビュー、ユーザー教育を管理しているかもしれない。公的機関は身分証明と市民への通知を管理しているかもしれない。マネージドサービスプロバイダーは顧客が決して見ることのないコンソールを管理しているかもしれない。

適切な配分は能力に依存する。どのサポート記録がアクセスされたかを特定できるのがプロバイダーだけなら、その証拠はプロバイダーが所有する。下流の秘密をローテーションし、自身のログを確認できるのが顧客だけなら、顧客は信頼できる通知を受け取った後にその行動を所有する。影響を受けたツールをマネージドプロバイダーが運用しているなら、マネージドプロバイダーは顧客に対して行動と証拠の両方を負う。説明責任はブランドの可視性ではなく、実質的な管理に従う。

これが重要なのは、過小反応がしばしば他者の過失の背後に隠れるからだ。顧客はベンダーが問題を引き起こしたと言って、自身の露出を確認しないかもしれない。ベンダーは顧客がシステムを誤設定したと言って、安全なデフォルトの改善を怠るかもしれない。マネージドプロバイダーはパッチを適用したと言って、侵害を確認したかどうかの説明を避けるかもしれない。公益は、各当事者が何を管理し、その管理で何をしたかを明言した場合にのみ満たされる。

セグメンテーションはインシデントと連鎖の境界である

セグメンテーションがインシデントが限定されたままかどうかを決定する。このケースでは、関連するセグメンテーションは、企業 IT と製品インフラの間、サポートツールと本番データの間、メタデータと顧客コンテンツの間、管理プレーンとトラフィックプレーンの間、ビルドサービスと署名キーの間、またはハイパーバイザーホストとバックアップ環境の間かもしれない。正確な境界は主題によって変わるが、説明責任の原則は安定している。

セグメンテーションの主張は検証可能でなければならない。ある環境が別の環境から分離されていると言うだけでは不十分である。記録は、どのアイデンティティが境界を越えることができたか、どのネットワーク経路が存在したか、どのログが失敗または不在の移動を確認するか、どのサービスアカウントがレビューされたか、どの緊急管理策が適用されたかを示すべきである。顧客はすべての機微な詳細を必要としないが、プロバイダー側のインシデントが自身のリスクを変えたかどうかを知るのに十分な保証を必要とする。

最も強力な公開声明は二つの極端を避ける。依存するすべてのシステムが侵害されたと暗示することで被害を誇張しない。また、接続されたリスクを無視しながら狭い技術的境界の背後に隠れない。本番データプレーンが影響を受けなかったと言うことは有用である。どのメタデータ、資格情報、証明書、添付ファイル、管理記録が影響を受けたかを言うことも同様に必要である。なぜなら、これらの材料は後でデータプレーンを攻撃するために使用される可能性があるからだ。

通知は受信者が何をできるかを伝えなければならない

通知は儀式ではない。それは行動可能な証拠の移転である。有用な通知は、何が起こったか、どのデータまたは信頼材料が関与している可能性があるか、組織がすでに何をしたか、受信者が今何をすべきか、何がまだ不明か、後続の更新がどこに現れるかを受信者に伝える。通知が単にインシデントが発生したと言うだけなら、形式的なコミュニケーションの必要性を満たしながら、運用上の必要性を満たさないかもしれない。

異なる受信者は異なる内容を必要とする。セキュリティ管理者は指標、影響を受けたアカウント、リセット要件、ログレビューウィンドウ、構成ガイダンスを必要とする。消費者は平易な言葉でのアイデンティティリスクアドバイス、支払いとパスワードのガイダンス、サポート連絡先を必要とする。公共サービスのユーザーは、重要なサービスが継続するか、代替手段が存在するかの保証を必要とする。開発者はビルド整合性ガイダンスと秘密ローテーション手順を必要とする。経営幹部は露出、侵害、修復、残存リスクのマトリックスを必要とする。

したがって、本記事はコミュニケーションを管理策として扱い、礼儀としてではない。遅れたまたは曖昧な通知は、最初の侵害が迅速に封じ込められたとしても、被害を増大させる可能性がある。段階的な通知は、すべての事実が確定する前に被害を減らすことができる。修正された通知は、スコープが拡大した場合に責任あるものとなりうる。鍵は、最初の公開バージョンが最終であるかのように装うのではなく、不確実性を正直にラベル付けすることである。

悪用の表面は確認された侵入を超えて広がる

確認された侵入は最初のリスク表面に過ぎない。攻撃者、犯罪者、日和見主義者は、インシデント情報をフィッシング、詐欺、資格情報窃取、脅迫、偽のサポートコール、ソフトウェアアップデートの誘惑、請求書詐欺、雇用標的化、社会的圧力に再利用することができる。ホスティングプロバイダー、公的機関、中小企業、大企業、アプリケーション所有者、エンドユーザーは、パッチ状況と復旧準備が最新に保たれていないハイパーバイザーに仮想マシンが依存していたためにサービス停止に直面した。したがって、組織は侵入者が何をしたかだけでなく、露出した情報が他者が後で何をすることを可能にするかを測定しなければならない。

これは、露出した情報が管理者、サポート連絡先、支払い関係、特定ブランドの顧客、身分証明書を提出したユーザー、特定のテクノロジーを実行している組織を特定する場合に特に当てはまる。これらの記録は攻撃者の探索コストを削減する。それらはソーシャルエンジニアリングをより安価で信頼できるものにする。また、犯罪者がタイミングをパーソナライズすることを可能にする:実際のインシデント後の偽のリセット通知は、通常のフィッシングメッセージよりも信憑性が高く見える。

イベント後の悪用防止には、なりすましの監視、起こりうる誘惑について顧客に警告すること、サポート検証の強化、古くなったトークンの失効、露出した秘密のローテーション、新しいアカウント活動の監視、より多くの情報を漏らさないスクリプトを最前線のサポートスタッフに与えることが含まれるべきである。組織はまた、サポートまたはサービス機能が本当に必要とした以上のデータを収集または保持したかどうかをレビューすべきである。

フォレンジックは信頼の決定をサポートしなければならない

フォレンジックレビューには特定の目的がある:それは信頼の決定をサポートする。顧客はそのソフトウェアを使い続けられるか?組織はファイアウォールを信頼できるか?ビルドアーティファクトを信頼できるか?サポート記録を信頼できるか?アイデンティティプロバイダー、メタデータストア、ハイパーバイザー、証明書、バックアップ、リモートアクセスセッションを信頼できるか?パッチ適用、リセット、無効化は答えの一部に過ぎない。

信頼の決定には、何がアクセスされたか、何がアクセスされた可能性があるか、何が変更されたか、どのような資格情報やキーが存在したか、どのログが完全か、ログが変更された可能性があるか、どの独立したシグナルが結論を確認するかについての証拠が必要である。証拠が不完全な場合、組織はそう述べ、高価値資産については保守的な決定を下すべきである。侵害された周辺システムやビルドサーバーは、元のバグが修正された後でも、再構築と秘密のローテーションが必要かもしれない。

弱いフォレンジック記録は二次的な説明責任問題を生み出す。組織が信頼オブジェクトが安全なままだったことを証明できない場合、より広範な修復のコストを負担する必要があるかもしれない。それは高価である。しかし、代替案は、プロバイダーの証拠を欠く顧客、市民、下流ユーザーに不確実性を転嫁することである。成熟したインシデント管理は、私的なログを、部外者が合理的に行動するのに十分な公開保証に変換する。

経済的インセンティブが過小投資を説明する

インシデント全体にわたる繰り返しのパターンは神秘的ではない。予防的管理策は、インシデントが発生する前に目に見えるコストを課すことが多い。セグメンテーションは利便性を遅くする。最小権限はサポートを苛立たせる。証明書ローテーションは互換性リスクを生み出す。ビルドサーバーの強化は配信を遅くする。ハイパーバイザーのパッチ適用はメンテナンスウィンドウを必要とする。顧客データ最小化はマーケティングやサポートの詳細を減らすかもしれない。バックアップテストは時間を消費する。これらのコストは即時的である;回避された害はそれが到来するまで不確実である。

そのインセンティブギャップが、説明責任が裁判記録や確認された損失額を待つことができない理由である。すべての組織が害が証明されるまで待つなら、最も安価な経路は常に管理策を延期し、他の当事者が損失を吸収することを期待することである。顧客は、最も優れた予防的管理策を持つ当事者がコストを外部扱いする間に、アイデンティティリスク、ダウンタイム、詐欺監視、緊急人員配置、契約混乱、公共サービスの不便を被るかもしれない。

より良いインセンティブモデルは、管理義務を、イベント前に最も低いコストでリスクを削減できる当事者に結び付ける。ベンダーは安全なデフォルトと完全なログを普通にすべきである。顧客はインベントリ、パッチウィンドウ、復旧テスト、資格情報衛生を維持すべきである。マネージドプロバイダーは証拠パッケージを提供すべきである。規制当局と保険会社は、インシデント前のこれらの管理策の証拠を、事後の物語だけでなく求めるべきである。

ガバナンス記録はニュースサイクルを生き延びるべきである

ガバナンス記録はニュースサイクルが消えた後も有用なままでいるべきである。その記録は、トリガー、影響を受けた資産、影響を受けた人々、封じ込め措置、顧客アドバイス、証拠の質、残存リスク、ビジネス影響、修復担当者、フォローアップテストを記述すべきである。また、イベント後に何が変わったかを示すべきである:アクセスルール、保持期間、ベンダー監視、ログ記録範囲、パッチサービスレベル、秘密ローテーション、バックアップ分離、顧客通知プレイブック。

その記録なしでは、組織は一時的にしか学習しない。スタッフは入れ替わる。緊急例外は残る。一時的な緩和策が恒久的になる。同じクラスのインシデントが異なる製品やベンダー関係で再発する。長期の説明責任記録により、取締役会、規制当局、顧客、将来のオペレーターは、約束された修復が 6 か月後もまだ存在するかどうかを問うことができる。

Vmware International Unlimited Company にとって、永続的な教訓は、起こりうるすべての害が発生したことではない。公的なイベントが再発する管理クラスを露呈させたことである。次のケースは異なる製品、地域、攻撃者、データセットを含むかもしれない。テストは同じである:組織は誰がリスクのある経路を管理していたか、彼らが何をしたか、なぜ部外者が結果を信頼すべきかを示すことができるか?

評価を変えるもの

評価はより強い証拠またはより弱い証拠によって変わる。より強い証拠には、独立したフォレンジックサマリー、完全な顧客影響カテゴリ、最初の検知から封じ込めまでの明確なタイムライン、関連する信頼材料がローテーションされたか決して露出しなかったことの証明、同じ経路がもはや機能しないことを示す後のテストが含まれる。より弱い証拠には、説明のないスコープの遅延拡大、不明確なデータカテゴリ、欠落したログ、繰り返される類似インシデント、顧客の行動が必要な時に顧客行動を任意として扱うパターンが含まれる。

また、影響を受けた当事者の証拠によっても変わる。露出がなく、迅速な更新、完全なログ、到達可能な信頼材料がないことを示すことができる顧客は、古いバージョン、露出した管理面、不完全なログ、再利用された資格情報、機微なサポートファイルを持つ顧客とは異なる評価を受けるべきである。安全なデフォルトと狭い保持を持つプロバイダーは、広範な内部ツールに機微な記録への永続的なアクセスを与えたプロバイダーとは異なる評価を受けるべきである。

これが、優れた説明責任記事がパニックと免罪の両方に抵抗する理由である。公開記録は、すべての損失を証明しなくても、管理の所見を裏付けることができる。事実を発明することなく、証拠のギャップを特定できる。プロバイダーがインシデントの一部を責任を持って処理したと認識しつつ、インシデント前の設計が回避可能なリスクを生み出したかどうかを問うことができる。正確さは弱さではない;それは説明責任を信頼できるものにするものである。

記憶が薄れる前に顧客が保存すべき証拠

最も有用な顧客証拠は、通知後最初の数時間で収集されることが多い。管理者は、認証ログ、サポートコミュニケーション、露出したアカウントリスト、ファイアウォールまたはエンドポイントイベント、構成エクスポート、パスワードリセット記録、証明書またはキーインベントリ、当時存在したベンダー通知のスクリーンショットを保存すべきである。その資料は後で、組織がなぜ狭いリセット、広範なリセット、再構築、開示、監視対応を選択したかを説明する。それがなければ、後のレビューは管理の記録ではなく、回想をめぐる議論になる。

保存が重要なのは、プロバイダーの通知が進化する可能性があるからでもある。最初の通知は調査が継続中であると言うかもしれない。後の通知は影響を受ける集団を狭めたり広げたりするかもしれない。セキュリティアドバイザリは実環境で悪用されたステータスを追加するかもしれない。各バージョンを保存する顧客は、自身の決定を当時利用可能な事実にマッピングできる。これは、不公平な後知恵から守りつつ、信頼できる通知後の遅い行動を暴露する。

証拠はセキュリティチームだけの内部に留まるべきではない。法務、調達、プライバシー、サポート、事業継続、エンジニアリング、経営チームはそれぞれ、自身の役割に適したバージョンを必要とする。プライバシーチームは影響を受けたデータフィールドを必要とする。エンジニアリングは技術的指標とシステム所有者を必要とする。調達は契約義務を必要とする。サポートは顧客向けの文言を必要とする。経営幹部は残存リスクと担当者名を必要とする。証拠が正しくても、間違った機能に閉じ込められていると、単一のインシデントが失敗する可能性がある。

顧客の行動ウィンドウは測定可能な義務である

プロバイダー側のイベントはしばしば顧客側の時計を開始する。通知が顧客にソフトウェアの更新、資格情報のローテーション、ログのレビュー、露出したインターフェースの無効化、ユーザーへの警告を指示する場合、顧客の応答時間は説明責任の記録の一部になる。プロバイダーは通知と影響を受けたサービスを管理していた。顧客はローカルな行動を管理していた。どちらの側も単独で仕事を完了させることはできない。

その行動ウィンドウはリスクに合った条件で測定されるべきである。クリティカルな露出したエッジの欠陥は数時間を要するかもしれない。広範なメタデータ露出は同日のフィッシング警告と管理者レビューを要するかもしれない。証明書交換は更新の展開、許可リストのクリーンアップ、古い署名付きパッケージがもはや信頼されていないことの証明を要するかもしれない。サポートチケット露出は添付ファイルのレビューとユーザー通知を要するかもしれない。ハイパーバイザーランサムウェアの波は、通常のメンテナンスウィンドウが適用される前に、緊急の隔離とバックアップ検証を要するかもしれない。

ポイントはすべての遅延を罰することではない。一部の環境は複雑であり、公共サービスは気軽に停止できず、緊急変更は重要な運用を中断させる可能性がある。ポイントは遅延を明示的にすることである。組織が遅延する場合、補償的管理策、ビジネス上の理由、担当者、有効期限、リスクが無期限にオープンなままでなかったことの証拠を記録すべきである。記録されていない遅延は、一時的な例外が次のインシデントになる経路である。

修復の主張には永続的な証拠が必要である

修復の主張は、変更された管理策とその変更がまだ有効である証拠を挙げる場合により強力になる。アイデンティティインシデントの場合、証拠には、無効化されたサービスアカウント、短縮されたセッション、強化された管理者認証、アクセスレビュー、フィッシング耐性のあるリセットワークフローが含まれるかもしれない。サポートインシデントの場合、証拠には、狭められたベンダーの役割、添付ファイル保持制限、特権アクションのログ記録、顧客ファイルのサニタイズが含まれるかもしれない。エッジデバイスインシデントの場合、証拠には、外部検証された管理分離、修正バージョン、ログレビュー、秘密ローテーション、再構築決定が含まれるかもしれない。

一般の聴衆はすべての機微な詳細を必要としないが、修復の形を必要とする。セキュリティが強化されたと言うことは、どのクラスのアクセスが削除されたか、どのクラスの記録が最小化されたか、どのクラスの資格情報がローテーションされたか、どのクラスのデバイスが再構築されたか、どのテストが結果を検証するかを言うことよりも弱い。具体的な修復言語により、顧客は救済策を障害経路と比較できる。

永続性は難しい部分である。多くの修復はインシデント直後には強力に見えるが、その後劣化する。一時的なファイアウォールルールが戻る。古いサポート権限が再び拡大する。新しいログ記録がレビューされない。バックアップがテストされない。トレーニングが一度だけ行われ消える。したがって、説明責任の記録は、後の検証ポイントを含むべきである。通常の運用を生き延びられない修復は、リスクの一時停止に過ぎず、終了ではない。

マネージドプロバイダーは義務の連鎖の中に位置する

影響を受けた組織の多くは、公開通知で議論されるシステムを直接管理していない。マネージドプロバイダーは、リモートサポートツール、ビルドサーバー、メールプラットフォーム、ファイアウォール、データベースアカウント、ハイパーバイザー、ヘルプデスクワークフロー、顧客通知を操作するかもしれない。そのプロバイダーはリスクを迅速に削減することも、顧客を盲目に保つこともできる。したがって、その証拠義務はサービスの礼儀以上のものである。

マネージドプロバイダーは、影響を受けた製品またはサービスが存在したか、露出していたか、いつ更新または隔離されたか、ログが疑わしい活動を示したか、資格情報がローテーションされたか、バックアップがテストされたか、どのような残存リスクが残っているかを顧客に伝える用意があるべきである。問題が処理されたというだけの表明は、自身のユーザー、規制当局、保険会社、取締役会に答えなければならない顧客にとっては不十分である。

契約は、緊急事態の前にその期待を明確にすべきである。緊急通知のトリガー、証拠の提供、緊急メンテナンス権限、資格情報の所有権、バックアップ責任、特別な復旧の費用負担者を指定すべきである。契約がセキュリティ証拠を任意と扱うなら、顧客はインシデント中に、アップタイムは購入したが説明責任は購入しなかったことに気付くかもしれない。

データ最小化が爆発範囲を変える

保護するのが最も容易な露出記録は、決して保持されなかった記録である。これが、技術的侵害に関するように見えるインシデントにおいてデータ最小化が重要である理由である。古い添付ファイルを保存するサポートツール、不要なメタデータを保持するアカウントポータル、広範な身分証明を閲覧できるカスタマーサービスプロバイダー、管理者連絡先を集約する企業システムはすべて、攻撃者が到着する前に侵害の価値を高める。

最小化は、ビジネスが記録なしで運営できるふりをすることではない。サポートチームは顧客の問題を解決するのに十分な情報を必要とする。セキュリティチームはログを必要とする。金融サービスは規制された記録を必要とする。公共交通システムはアカウント、割引、払い戻し、支払い業務を必要とする。管理の問いは、組織がインシデント後に、各機微フィールド、各保持期間、各ベンダー許可、各エクスポート経路を正当化できるかどうかである。

より小さな記録は通知も変える。プロバイダーが狭いフィールドセットのみが保持され到達されたと言えるなら、顧客は正確に行動できる。プロバイダーが広範な添付ファイルや豊富なメタデータを保持していたなら、通知はより困難になり、下流の悪用表面が拡大する。したがって、最小化はプライバシースローガンではない。インシデントに引きずり込まれる人々と決定の数を減らすため、それはレジリエンス管理策である。

取締役会の監督はステータスだけでなく管理の証拠を求めるべきである

経営幹部はしばしばインシデントの更新をステータスワードとして受け取る:封じ込められた、修復された、重大な影響なし、調査継続中。これらの言葉はリスクを統治するには広すぎる。取締役会レベルの監督は、どの管理策が失敗したか、ストレスを受けたか、どの当事者がそれを所有していたか、封じ込めを証明する証拠は何か、どの顧客またはユーザーがまだ害を受ける可能性があるか、どの修復が永続的か、何がまだ不明かを問うべきである。

取締役会はまた、インシデントがパターンを明らかにしたかどうかを問うべきである。これは以前のサポートツール露出、古いパッチギャップ、セグメンテーションの仮定、ベンダー監視の弱点、信頼材料のローテーションの繰り返しの失敗の繰り返しか?一つのインシデントは不運かもしれない。繰り返される管理パターンはガバナンス証拠である。それは組織が学習しているのか、単に対応しているのかを示す。

これは取締役がインシデント対応者になることを要求しない。決定グレードの証拠を要求することを要求する。露出数、行動ウィンドウ、顧客義務、法的トリガー、事業継続効果、フォローアップ担当者を必要とする。取締役会が物語が終わったかどうかだけを問うなら、経営陣は静かな終結で報われる。取締役会がどの証拠が管理環境を変えたかを問うなら、修復は可視化される。

このインシデントは将来の調達の質問を変えるべきである

顧客はこのインシデントクラスをより良い調達の質問に変えるべきである。ベンダーに、サポートアクセスがどのように制限されているか、顧客添付ファイルがどのようにサニタイズされているか、企業 IT が本番サービスからどのように分離されているか、署名証明書がどのように保護されているか、ビルドシステムが秘密をどのように保存するか、エッジ製品が管理活動をどのようにログ記録するか、古いバージョンがどのように廃止されるか、セキュリティイベント中に顧客が緊急の証拠をどのように受け取るかを問うべきである。

これらの質問は、危機の後だけでなく、更新の前に問われるべきである。商業チームはシンプルな機能比較を好むかもしれないが、インシデントは運用保証が製品能力と同じくらい重要でありうることを示している。広範なサポート特権、弱いログ、遅い通知、不明確な復旧義務を持つ安価なプラットフォームは、何かがうまくいかなくなったときに高価になりうる。より規律あるプロバイダーは、何も失敗しなくても隠れたリスクを削減する。

調達はまた、紙だけの保証を避けなければならない。アンケートの回答は、可能な場合は監査サマリー、保持設定、役割モデル、パッチサービスレベル、顧客通知例、復旧演習、独立した評価に接続すべきである。目標は不可能な透明性を要求することではない。顧客がプロバイダーがリスク表面の一部になったときに無力でないように、十分な証拠権を購入することである。

説明責任の教訓は再利用可能である

再利用可能な教訓は、現代のインフラストラクチャインシデントが始まったシステムで止まることは稀であるということだ。侵害されたサポートプロバイダーはアイデンティティ問題になりうる。企業システムインシデントは顧客メタデータ問題になりうる。脆弱なビルドサーバーはソフトウェアサプライチェーン問題になりうる。リモートアクセス製品は証明書信頼問題になりうる。ファイアウォールやハイパーバイザーは継続性問題になりうる。カテゴリーは重複する。なぜなら、顧客は孤立した箱ではなく、組み合わされたサービスに依存しているからだ。

その重複こそが、対応計画が管理表面を中心に書かれるべき理由である。誰がアイデンティティ信頼を所有するか?誰が署名付きソフトウェア信頼を所有するか?誰がサポートデータを所有するか?誰がエッジ管理を所有するか?誰がバックアップを所有するか?誰が顧客コミュニケーションを所有するか?誰がベンダー証拠を所有するか?これらの所有者がイベント前に知られているなら、組織はより少ない混乱で対応できる。イベント中に発見されるなら、人々が権限を交渉する間にインシデントは拡大する。

成熟した組織は、このクラスの将来の通知を読み、即座にそれを所有者、行動、証拠にマッピングできるべきである。それがインシデントの認識とインシデントの準備の違いである。認識は何かが起こったと言う。準備は誰が何を、いつまでに、どのような証拠で行わなければならないか、依存する人々がどのように知るかを言う。

公益の結論

公益の結論は、2023 年の未パッチの VMware ESXi OpenSLP 脆弱性 CVE-2021-21974 を悪用した ESXiArgs ランサムウェアキャンペーンは、管理のテストとして記憶されるべきであるということだ。このイベントは、組織とその顧客が技術的封じ込めと信頼の回復を区別できるかをテストした。通知が行動可能かをテストした。機微な記録や信頼オブジェクトが最小化されていたかをテストした。依存する当事者が身を守るのに十分な証拠を受け取ったかをテストした。

このクラスのインシデントへの最も強力な対応は、より大きな安心感ではない。それは、より狭いリスク経路、より速い封じ込め経路、より完全な証拠経路、より明確な顧客行動経路である。つまり、不必要なデータを減らし、広範なサポート特権を減らし、管理境界を厳しくし、ビジネス環境とサービス環境の間のより強力な分離、より良いログ記録、テストされた復旧、信頼が不確かな場合の資格情報や証明書のより迅速な失効を意味する。

VMware ESXiArgs は、多くの他者がその証拠に依存しなければならない地点に組織が座っていたため、古いハイパーバイザーパッチがどのように継続性の義務になるかを示した。それが真実である場合、説明責任は実質的な管理表面に従う。最も明確な可視性と被害を減らす最善の能力を持つ当事者は、イベントが終わったと言う以上のことをしなければならない。信頼関係が安全に継続できる理由を示さなければならない。