CrowdStrike Blog:アイデンティティ保護の重要性:最近注目されたサイバー侵害から学ぶ重要なポイント
昨今、悪意ある攻撃者は、アイデンティティ中心の攻撃を好む傾向にあります。正当なクレデンシャルの使用は一般的な方法であり、検知がかなり難しく、他の種類の攻撃に比べて、コストを大幅に低く抑えることができるためだと考えられます。
国際
海外情報
昨今、悪意ある攻撃者は、アイデンティティ中心の攻撃を好む傾向にあります。正当なクレデンシャル(認証情報)の使用は一般的な方法であり、検知がかなり難しく、ゼロデイ攻撃やカスタムメイドのサプライチェーン攻撃のような他の種類の攻撃に比べて、コストを大幅に低く抑えることができるためだと考えられます。クレデンシャルの不正使用により、従業員のクレデンシャル、特権ユーザーアカウントやサービスアカウントといったリソースへのアクセスが可能となります。このように適切な役割に基づいたロールベースのアクセス制御を実装しているIT 環境であっても、リアルタイムのコンテキストに基づいたアイデンティティの確認なくクレデンシャルに信頼をおくことが弱点をもたらし、被害を受ける可能性があります。サービス間に残る信頼情報とロールベースのアクセス制御の割り当ても、単なるクレデンシャルの検証を超え、意味のある方法でアイデンティティが検証されなければ、リソースを脆弱なまま放置することになります。
SolarWindsでのサンバースト:リアルタイムでのラテラルムーブメントの検知と防御
SolarWindsを悪用したサプライチェーン攻撃は、トロイの木馬化されたソフトウェアアップデートを介して開始されましたが、それに続くミッション実行のための攻撃は、ラテラルムーブメント(水平移動/侵入拡大)によるものでした。有効なクレデンシャルを利用したラテラルムーブメントは、「より小さい」フットプリントで被害者の環境にアクセスすることができると考えられ、好まれました。事実、攻撃者は被害者のネットワークに侵入した後、複数のクレデンシャルを使用し、検知をより困難にしました。ラテラルムーブメントは非常に速く行われる可能性があるため、ログや事後分析だけではセキュリティアナリストへの警告を発信し、侵害を軽減させるには遅すぎます。攻撃者は、悪意のあるコードを介してネットワークへのアクセスを得ることもできたはずですが、ネットワークをナビゲートしようと試みた時に検知されたはずです。
これらの最近の攻撃を阻止するために必要となるアイデンティティ中心型アプローチでは、リアルタイムでのトラフィック認証分析と機械学習(ML)分析を組み合わせて使用し、アイデンティティ攻撃が行われようとしているとき、もしくはすでに進行中の攻撃を迅速に特定して対応します。このアプローチで検知・阻止できる、ラテラルムーブメントを利用するその他の攻撃には、最近のMazeランサムウェアのようなランサムウェア攻撃があります。さらに、特にゆっくりと進む複数のクレデンシャル攻撃などは、明らかに悪意のあるものとしてフラグが立てられない可能性があります。認証トランザクションの正当性をリアルタイムに検証するため、リスクベースの条件付きアクセスを自動的に動作させる自己適応型のポリシーメカニズムを組み合わせる必要があります。
アイデンティティ特化型攻撃ツールの検知と対応
企業を確実に保護するため、CrowdStrikeは、関連するホスト名やIPアドレス、URL、バイナリハッシュ、レジストリキー、その他のIOC(侵害の痕跡)や戦術、技術、および手順(TTP)をさまざまなデータベースに更新し、該当するバイナリやコマンド&コントロール(C2)のホスト名を悪意のあるものとしてタグ付けしています。
FireEyeへの侵害によって窃取されたツールのうち、以下のものは悪意ある攻撃者が使用した場合に検知される必要があります。
●Active Directoryの予備調査および悪用
●クレデンシャルダンピングおよび盗用
●ケルベロス認証の悪用および搾取
●SharpHoundやADPassHuntなどを含む、引用された特定のオープンソースツール
Falcon Identity Protection ソリューションを使用されている CrowdStrike のお客様は、以下3つの方法で最近報告されている脅威から既に保護されています。
1.プロトコルの脆弱性(NTLM など)の把握、古い特権アカウントの識別、すべてのサービスアカウントのマッピング、およびアイデンティティストアに関する他のリスクを通じて、IT ハイジーンを改善し、アタックサーフェスを縮小して、プロアクティブに保護
2.SolarWindsの侵害における被害者に使用されたラテラルムーブメントの技術を含む、アイデンティティベースの攻撃ベクトルをリアルタイムで検知することにより、進行中の攻撃を軽減
3.FireEyeへの侵害により盗まれた攻撃テストツールの一部を含む、アイデンティティ特化型攻撃に対する自動対応による保護
またCrowdStrikeのお客様には、最近公開されたSolarWindsインシデントへの防御に役立つ機能を既に提供済みです。
●CrowdStrike Threat Graphが侵害されたホストを識別:
・新たなSolarWinds Vulnerability Dashboardは、SolarWindsの脆弱性に関連するIOCのあるホストを識別し、また過去90日間に遡って侵害されたファイルが書き込まれたデバイスを確認
・The Indicator Graphは、過去1年間にファイルやホストに侵害の証拠があるかを特定することが可能
●特定のML検知による新たなインシデントの識別:
・Cloud ML検知オプションを有効にしたホスト上で、SolarWindsの脆弱性に関連するIOCの検知・表示
最近のインシデントによって、セキュリティに対するアイデンティティ中心型アプローチの重要性が注目されています。セキュリティ対策が常にお客様のコアビジネスではないからこそ、CrowdStrikeはお客様を保護することをコアビジネスとして支援に取り組んでまいります。
FireEyeへの称賛
FireEyeからの情報開示と透明性に感謝します。FireEyeは、組織や防御を行う方々が盗まれたツールから自らと組織を保護するために使用できる重要な情報を提供しています。 この情報は、FireEyeのブログで入手できます。
私たちは皆、同じ攻撃者と戦っています。FireEyeのサイバー攻撃に関する情報公開と対策共有の迅速さは、称賛に値します。
SolarWindsのサイバー攻撃の詳細については、SolarWindsがインシデントに関しSolarWinds Security Advisoryを公開しており、これにはSolarWinds Orionプラットフォームの使用に関連する詳細な推奨事項が含まれています。
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/identity-security-lesson-from-recent-high-profile-breaches/
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
国際
クレムリンへ DDoS攻撃 露技術者 流刑
技術的なノウハウはそれほど必要ではない。ハクティビストが組織のネットワークにジャンクのトラフィックを殺到させるために使用できるオープンソースの DDoSツールは巷にあふれており、洗練されていなくとも比較的簡単に誰でも成功させることができる。
-
サイバー攻撃に乗じ雇い主を脅迫 セキュリティアナリスト逮捕
警察や同僚、雇用主に隠れてライルスは会社に二次的に攻撃を仕掛ける。
-
今日もどこかで情報漏えい 第11回「2023年4月の情報漏えい」誤送信 三度あることは四度ある ほか
今日もどこかで情報漏えいは起きている。
-
ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
「Smishsmash」とは、SMSを利用した2FAをバイパスする攻撃手法のこと。セキュリティの専門家でありハッカーでもあるトーマス・オロフソン氏、マイケル・ビストロム氏が命名した。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ

みずほ信託銀行がフィッシングメールに注意喚起

Starlette にディレクトリトラバーサルの脆弱性

ESS REC Agent Server Edition for Linux 等にディレクトリトラバーサルの脆弱性

Proofpoint Blog 第25回「2023年 中小企業を標的とするAPT攻撃分析:サプライチェーンへの攻撃インフラとなる中小企業」

Wacom Tablet Driver インストーラー (macOS) にファイルアクセス時のリンク解釈が不適切な脆弱性

キヤノン製スモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターに複数の脆弱性
インシデント・事故 記事一覧へ

送付を希望しない相手に通知文書を2度にわたり誤送付、「市からの補償」名目で私金を渡す不適切な事務も発覚

モンテディオ山形で誤送信、送信先リストを「宛先に追加」ではなく「メールに添付」

屋根に柏崎刈羽原子力発電所6号機に関する書類80枚載せ自家用車発進し紛失 ~ 市長「極めてむなしい。」

溶岩ドーム情報配信システムの登録者情報96名分が流出

国土交通省から流出したと考えられるデータをダークネット上で確認 無料公開に切り替え

申込者のマイナンバーカードに別人の決済サービスが紐付く
調査・レポート・白書・ガイドライン 記事一覧へ

中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023

ランサムウェア攻撃の 93%がバックアップストレージを標的に

IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説

「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料

AI は脅威インテリジェンスを生成できるか、NEC技術者検証

日経225企業の6割がDMARC導入、調査開始から27%増加 ~ TwoFive調査
研修・セミナー・カンファレンス 記事一覧へ

NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催 ~ TwoFive 桐原氏講演

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣

ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」

テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催

サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート
