サイバーセキュリティは常に競争だったが、その歴史の大半において、少なくとも両陣営は同じ時計で動いていた。攻撃者は素早く動き、防御側は可能な限り迅速に対応し、すべては人間の速度で進行していた。
この前提はもはや成立しない。
今日の攻撃者は機械速度で動く。自動化とAIにより、彼らは広大な攻撃対象領域を継続的にスキャンし、調査し、適応することができる。仮説を検証し、弱点を連鎖させることを休むことなく続ける。一方、多くの組織では、防御的なセキュリティ検証は依然としてカレンダーベースで実施されている。四半期ごとのスキャン。年次のペネトレーションテスト。現実を凍結してレポートを生成するのに十分な時間だけ行われる、特定時点での評価。
この時間差──攻撃がどのように発生するかと、防御がどのように検証されるかの間の速度の不一致──は、サイバーセキュリティにおける最も重大な課題の1つになりつつある。
ほとんどの組織は、自分たちがテストされていないとは言わないだろう。スキャナーを実行している。ペネトレーションテストを委託している。修復を追跡している。書類上では、カバレッジは妥当に見える。実際には、それらのテストが検証した環境は、調査結果がレビューされる頃にはもはや存在していない可能性がある。コードは変更されている。設定は変わっている。新しい依存関係が追加されている。サービス全体が登場し、消えているかもしれない。
これらはそれほど新しいことではない。脅威環境の速度と規模は、人間の速度で防御する能力を何年も前から上回っている。しかし、AIはこの問題を指数関数的に拡大させた。
時間が脆弱性になるとき
不都合な真実は、防御側がテストサイクルの間にドアを開けたままにしておけば、攻撃者はゼロデイ脆弱性を必要としないということだ。エクスプロイトが自動化されている場合、数時間または数日間存在する脆弱性で十分である。検証結果を数週間待つこと──あるいは次の定期テストまで数カ月待つこと──は、攻撃者が悪用する準備が整った露出期間を生み出す。
防御的検証は長い間、システムはゆっくりと変化し、リスクは徐々に蓄積されると想定してきた。この想定は、継続的デプロイメント、クラウドの弾力性、広範なサードパーティ統合の上に構築された環境では崩壊する。
その結果、目に見えないリスクという新たなクラスが増加している。評価の間に現れては消える脆弱性、一見些細な変更によって導入されるビジネスロジックの欠陥、特定の方法で組み合わされたときにのみ悪用可能になる設定ミスなどだ。これらの問題は従来のスキャンでは表示されないことが多く、コンプライアンス主導のテストで検出されることはほとんどない。
もちろん、攻撃者はリスクがどのように分類されるかを気にしない。彼らが気にするのは、経路が存在するかどうか、そして誰かが気づく前にそれを通過できるかどうかだ。
カバレッジの幻想
セキュリティにおける最も誤解を招く指標の1つがカバレッジである。アプリケーションがテストされたことを知っても、それが今日安全であるかどうかについては何も語らない。コントロールが存在することを知っても、それが現在のコンテキストで効果的であることを意味しない。
これは誤った安心感を生み出す。セキュリティチームは、チェックボックスがチェックされているためリスクが管理されていると信じる。エンジニアリングチームは、何か問題があればセキュリティが問題を指摘すると想定する。リーダーシップは進捗を示唆するレポートを見る。その間、攻撃者は稼働中のシステムを調査し、リアルタイムで適応し、小さな弱点を有意義なアクセスに連鎖させている。
問題は、チームが気にしていないことではない。より遅い時代のために設計された計器を使って、より速い世界を測定しようとしていることだ。
時間差を埋めるには検証の再考が必要
速度の不一致を解決するには、攻撃者とインフラストラクチャの両方が継続的に動作する場合の検証がどのようなものかを再考する必要がある。
防御的セキュリティには、変化のペースに合ったフィードバックループが必要だ。検証は継続的で、文脈に即し、実際の攻撃がどのように展開するかに基づいている必要がある──コントロールがどのように文書化されているかではなく。理論的に何かが脆弱である可能性があるかどうかを問うのではなく、より関連性の高い質問は、システムが実際にどのように接続されているかを考慮して、この環境で今すぐ悪用できるかどうかだ。
これはまた、セキュリティチームがエンジニアリングとどのように相互作用するかも変える。調査結果は正確で、実行可能で、証明可能な関連性がある必要がある。ノイズは修復を遅らせる。曖昧さは無視される。急速に変化する環境では、調査結果への信頼は検出そのものと同じくらい重要になる。
セキュリティ環境の変化
この変化は、サイバーセキュリティ市場自体がどのように進化しているかに現れ始めている。Noveeは5150万ドルの資金調達を得てステルスモードから登場した。この迅速な資金調達は、人間のペースではなく機械速度で動作できる攻撃的セキュリティに対する緊急性の高まりを反映している。
注目すべきは資金調達ラウンド自体ではなく、その根底にある前提だ。従来の断続的なペネトレーションテストは、自動化された攻撃者に追いつけないという前提である。NoveeのCEOであるイド・ゲフェン氏は最近の会話で私にこう語った。「攻撃者はあなたの年次ペネトレーションテストを待たない。あなたの防御も待つべきではない」
民間部門に移る前にサイバー作戦の攻撃側で長年過ごしたゲフェン氏は、AI駆動の攻撃者がエクスプロイトの経済性を根本的にどのように変えるかを説明した。自動化は攻撃を速くするだけでなく、敵対者がどの人間チームも管理できるよりもはるかに多くの経路を、はるかに一貫して試すことを可能にする。「人間が異なるすべての実装にわたってそこまで深く入り込む可能性は世界中にない」と彼は述べ、自動化エージェントがほとんどのテスターが到達する時間がない攻撃経路をどのように探索できるかを説明した。
ここでの重要性は、業界全体で定着しつつあるより広範な認識についてだ。セキュリティ検証は、定期的な保証から継続的な証明へと進化しなければならない。
保証から証明へ
サイバー防御の未来は、より厚いレポートやより多くのアラートについてではない。実際のリスクが現れるのと同じ速さで除去されていることを、継続的に証明することだ。
攻撃者はすでにこの方法で動作している。彼らは一度テストして立ち去るのではない。適応し、再テストし、条件が整った瞬間に悪用する。防御側は攻撃者を真似る必要はないが、そのテンポに合わせる必要はある。
セキュリティ検証が現代の攻撃と同じ速度で動くまで、組織は今日の脅威に対して昨日のシステムを防御し続けることになる。そしてサイバーセキュリティにおいて、昨日はすでに遅すぎる。
