セキュリティアナリストが、内部の脆弱性スキャナから発信されたと思われる攻撃に関する通知を受け取った場合、スキャナ自体が侵害されている可能性があることを示唆しています。侵害されたスキャナは、不正なスキャンを実行したり、機密情報を漏洩したり、ネットワーク内で悪意のあるアクションを実行したりする可能性があるため、この状況は深刻です。適切な最初のアクションは、脅威を封じ込めてさらなる被害を防ぎ、徹底的な調査を可能にすることです。
スキャナー センサーを隔離することが最善の即時アクションである理由は次のとおりです。
* 封じ込めと隔離：スキャナーを隔離することで、悪意のあるアクティビティやスキャンの継続を即座に阻止できます。この封じ込めは、ネットワークの残りの部分を潜在的な被害から保護するために不可欠です。
* フォレンジック分析：スキャナーを隔離することで、フォレンジック分析を実施し、スキャナーがどのように侵害されたか、どのようなアクションが実行されたか、そしてどのようなデータやシステムが影響を受けた可能性があるかを把握できます。この分析は、攻撃の性質に関する貴重な洞察を提供し、適切な是正措置を講じるのに役立ちます。
* さらなる攻撃の防止：スキャナーの動作が継続されると、不正なアクションがさらに実行され、被害が拡大する可能性があります。隔離により、脅威が速やかに無効化されます。
* 根本原因の特定：フォレンジック分析は、スキャナーの設定、ソフトウェア、または基盤システムの脆弱性を特定し、侵入を許した原因を特定するのに役立ちます。この情報は、将来のインシデントを防ぐために不可欠です。
その他のオプションは、長期的には有用である可能性がありますが、このシナリオでは即時のアクションとしては適切ではありません。
* A. 脆弱性スキャナー IP の許可リストを作成して誤検知を回避する: このアクションは誤検知に対処しますが、侵害されたスキャナーによってもたらされる直接的な脅威を軽減するものではありません。
* B. 範囲外のホストをターゲットにしないようにスキャン ポリシーを構成する: この手順は将来のスキャンを予防するものですが、スキャナーがすでに侵害されている現在のインシデントには対処しません。
* C. ネットワーク動作分析ルールを設定する: 継続的な監視と検出には役立ちますが、侵害されたスキャナーの活動を直ちに停止する必要があることには対応していません。
結論として、まず最初に最も重要なアクションは、スキャナーセンサーを隔離して悪意のあるアクティビティを阻止し、フォレンジック分析を実施して侵害の範囲と性質を把握することです。このステップにより、脅威が封じ込められ、さらなる修復活動の基盤が確保されます。
参考文献:
* CompTIA SecurityX 学習ガイド
* NIST特別刊行物800-61改訂第2版「コンピュータセキュリティインシデント対応ガイド」

責任を軽減し、顧客環境のセキュリティを確保する最善の方法は、従業員所有のノートパソコンすべてに、企業ライセンスを取得し管理されたエンドポイント検知・対応（EDR）ソリューションのインストールを義務付けることです。これにより、機密性の高い顧客インフラにアクセスするデバイスにおいて、マルウェア、不正なプロセス、不審な動作がないか監視されます。EDRはエンドポイントのセキュリティ状況を可視化し、企業のセキュリティ基準を強化します。これは、管理されていない個人所有デバイスでは通常見落とされがちです。
オプションA（認証付きMDM）は企業所有デバイスには有効ですが、個人所有のラップトップに確実に適用するのは困難です。オプションC（証明書認証付きVPN）は暗号化されたアクセスを保証しますが、デバイスの安全性は検証しません。オプションD（ジャンプボックスへのホストチェック）はリスクを軽減しますが、管理されていないエンドポイントからの間接的な接続は依然として可能です。

表は、ユーザー「SALES1」が MFA 要件を満たしているにもかかわらず、一貫してブロックされていることを示しています。
これらのブロックされた試行に共通する点は、送信元IPアドレス（8.11.4.16）がドイツからのものと識別されている一方で、ユーザーはフランスに割り当てられていることです。この矛盾は、認証サーバーによってネットワークの位置情報が誤って識別され、正当なアクセス試行がブロックされていることを示唆しています。
ネットワークの地理位置情報の誤認はなぜ起こるのでしょうか?
* 地理位置情報の精度：認証システムでは、アクセス試行の位置を確認するためにIP地理位置情報を使用することがよくあります。地理位置情報データが正しくない場合、正当なリクエストが予期しない場所から送信されたと判断され、拒否される可能性があります。
* セキュリティポリシー：企業のセキュリティポリシーでは、不正アクセスを防ぐために特定の場所からのアクセスをブロックする場合があります。位置情報が誤っていると、正当なユーザーが誤ってブロックされてしまう可能性があります。
* 一貫したパターン: IP アドレス 8.11.4.16 のユーザー「SALES1」は常にブロックされており、地理位置情報に関する一貫した問題があることを示しています。
その他のオプションは、観察されたパターンと一致しません。
* A. MFA の要件をバイパスする: MFA は満たされているため、MFA をバイパスすることは問題ではありません。
* C. 管理者アクセス ポリシー: これは特定の管理者アクセスではなく、ユーザー アクセスに関するものです。
* D. OTP コード: ユーザーは MFA を満たしているため、OTP コードの構成に問題はありません。
参考文献:
* CompTIA SecurityX 学習ガイド
* 「地理位置情報と認証」、NIST特別出版物800-63B
* 「IPジオロケーション精度」、Ciscoドキュメント

電子メールのヘッダーを確認し、フィッシング攻撃を軽減するためのアクションを決定する際には、セキュリティ アナリストは疑わしい動作のパターンと送信元ドメインの評判に重点を置く必要があります。
疑わしいメッセージの送信を繰り返し試みるベンダーcomをブロック：このオプションは、疑わしいメッセージを送信するパターンが見られるドメインを対象とするため、最も適切です。過去に通信履歴がないにもかかわらず、フィッシング攻撃を繰り返し送信するドメインをブロックすることで、同じ送信元からの将来の攻撃を防止し、フィッシングリスクの軽減という目標に合致しています。

BEAST（Browser Exploit Against SSL/TLS）などのオンパス復号攻撃や関連する脆弱性は、CBC（Cipher Block Chaining）モードの実装における脆弱性を悪用することがよくあります。これらの攻撃を軽減するために、以下の対策が推奨されます。
* B. CBCベースの鍵交換および署名アルゴリズムのサポート削除：CBCモードは、BEASTなどの特定の攻撃に対して脆弱です。CBCベースの暗号のサポートを削除することで、これらの攻撃の主な攻撃経路の1つを排除できます。代わりに、より優れたセキュリティ特性を持つGCM（ガロア/カウンタモード）などの最新の暗号モードを使用してください。
* C. TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256 の追加: この暗号スイートは、鍵交換に楕円曲線ディフィー・ヘルマン・エフェメラル (ECDHE) を使用し、完全な前方秘匿性を実現します。
また、GCM モードでは AES を使用するため、CBC と同様の攻撃を受けにくくなっています。SHA-256 は、データの整合性を保証する強力なハッシュ関数です。
参考文献:
* CompTIA Security+ 学習ガイド
* NIST SP 800-52 Rev. 2、「トランスポート層セキュリティ（TLS）実装の選択、構成、および使用に関するガイドライン」
* 暗号化と安全な通信に関する OWASP (Open Web Application Security Project) ガイドライン