CrowdStrike Blog:アイデンティティ保護の重要性:最近注目されたサイバー侵害から学ぶ重要なポイント
昨今、悪意ある攻撃者は、アイデンティティ中心の攻撃を好む傾向にあります。正当なクレデンシャルの使用は一般的な方法であり、検知がかなり難しく、他の種類の攻撃に比べて、コストを大幅に低く抑えることができるためだと考えられます。
国際
海外情報
昨今、悪意ある攻撃者は、アイデンティティ中心の攻撃を好む傾向にあります。正当なクレデンシャル(認証情報)の使用は一般的な方法であり、検知がかなり難しく、ゼロデイ攻撃やカスタムメイドのサプライチェーン攻撃のような他の種類の攻撃に比べて、コストを大幅に低く抑えることができるためだと考えられます。クレデンシャルの不正使用により、従業員のクレデンシャル、特権ユーザーアカウントやサービスアカウントといったリソースへのアクセスが可能となります。このように適切な役割に基づいたロールベースのアクセス制御を実装しているIT 環境であっても、リアルタイムのコンテキストに基づいたアイデンティティの確認なくクレデンシャルに信頼をおくことが弱点をもたらし、被害を受ける可能性があります。サービス間に残る信頼情報とロールベースのアクセス制御の割り当ても、単なるクレデンシャルの検証を超え、意味のある方法でアイデンティティが検証されなければ、リソースを脆弱なまま放置することになります。
SolarWindsでのサンバースト:リアルタイムでのラテラルムーブメントの検知と防御
SolarWindsを悪用したサプライチェーン攻撃は、トロイの木馬化されたソフトウェアアップデートを介して開始されましたが、それに続くミッション実行のための攻撃は、ラテラルムーブメント(水平移動/侵入拡大)によるものでした。有効なクレデンシャルを利用したラテラルムーブメントは、「より小さい」フットプリントで被害者の環境にアクセスすることができると考えられ、好まれました。事実、攻撃者は被害者のネットワークに侵入した後、複数のクレデンシャルを使用し、検知をより困難にしました。ラテラルムーブメントは非常に速く行われる可能性があるため、ログや事後分析だけではセキュリティアナリストへの警告を発信し、侵害を軽減させるには遅すぎます。攻撃者は、悪意のあるコードを介してネットワークへのアクセスを得ることもできたはずですが、ネットワークをナビゲートしようと試みた時に検知されたはずです。
これらの最近の攻撃を阻止するために必要となるアイデンティティ中心型アプローチでは、リアルタイムでのトラフィック認証分析と機械学習(ML)分析を組み合わせて使用し、アイデンティティ攻撃が行われようとしているとき、もしくはすでに進行中の攻撃を迅速に特定して対応します。このアプローチで検知・阻止できる、ラテラルムーブメントを利用するその他の攻撃には、最近のMazeランサムウェアのようなランサムウェア攻撃があります。さらに、特にゆっくりと進む複数のクレデンシャル攻撃などは、明らかに悪意のあるものとしてフラグが立てられない可能性があります。認証トランザクションの正当性をリアルタイムに検証するため、リスクベースの条件付きアクセスを自動的に動作させる自己適応型のポリシーメカニズムを組み合わせる必要があります。
アイデンティティ特化型攻撃ツールの検知と対応
企業を確実に保護するため、CrowdStrikeは、関連するホスト名やIPアドレス、URL、バイナリハッシュ、レジストリキー、その他のIOC(侵害の痕跡)や戦術、技術、および手順(TTP)をさまざまなデータベースに更新し、該当するバイナリやコマンド&コントロール(C2)のホスト名を悪意のあるものとしてタグ付けしています。
FireEyeへの侵害によって窃取されたツールのうち、以下のものは悪意ある攻撃者が使用した場合に検知される必要があります。
●Active Directoryの予備調査および悪用
●クレデンシャルダンピングおよび盗用
●ケルベロス認証の悪用および搾取
●SharpHoundやADPassHuntなどを含む、引用された特定のオープンソースツール
Falcon Identity Protection ソリューションを使用されている CrowdStrike のお客様は、以下3つの方法で最近報告されている脅威から既に保護されています。
1.プロトコルの脆弱性(NTLM など)の把握、古い特権アカウントの識別、すべてのサービスアカウントのマッピング、およびアイデンティティストアに関する他のリスクを通じて、IT ハイジーンを改善し、アタックサーフェスを縮小して、プロアクティブに保護
2.SolarWindsの侵害における被害者に使用されたラテラルムーブメントの技術を含む、アイデンティティベースの攻撃ベクトルをリアルタイムで検知することにより、進行中の攻撃を軽減
3.FireEyeへの侵害により盗まれた攻撃テストツールの一部を含む、アイデンティティ特化型攻撃に対する自動対応による保護
またCrowdStrikeのお客様には、最近公開されたSolarWindsインシデントへの防御に役立つ機能を既に提供済みです。
●CrowdStrike Threat Graphが侵害されたホストを識別:
・新たなSolarWinds Vulnerability Dashboardは、SolarWindsの脆弱性に関連するIOCのあるホストを識別し、また過去90日間に遡って侵害されたファイルが書き込まれたデバイスを確認
・The Indicator Graphは、過去1年間にファイルやホストに侵害の証拠があるかを特定することが可能
●特定のML検知による新たなインシデントの識別:
・Cloud ML検知オプションを有効にしたホスト上で、SolarWindsの脆弱性に関連するIOCの検知・表示
最近のインシデントによって、セキュリティに対するアイデンティティ中心型アプローチの重要性が注目されています。セキュリティ対策が常にお客様のコアビジネスではないからこそ、CrowdStrikeはお客様を保護することをコアビジネスとして支援に取り組んでまいります。
FireEyeへの称賛
FireEyeからの情報開示と透明性に感謝します。FireEyeは、組織や防御を行う方々が盗まれたツールから自らと組織を保護するために使用できる重要な情報を提供しています。 この情報は、FireEyeのブログで入手できます。
私たちは皆、同じ攻撃者と戦っています。FireEyeのサイバー攻撃に関する情報公開と対策共有の迅速さは、称賛に値します。
SolarWindsのサイバー攻撃の詳細については、SolarWindsがインシデントに関しSolarWinds Security Advisoryを公開しており、これにはSolarWinds Orionプラットフォームの使用に関連する詳細な推奨事項が含まれています。
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/identity-security-lesson-from-recent-high-profile-breaches/
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績
彼は英国王立協会のフェローでもあり、ニュートン、ダーウィン、ホーキング、チューリングが名を連ねる「知の殿堂」入りを果たしていた。
ピアツーピアシステムとハードウェアの耐タンパー性における草分け的存在である彼は、チップや銀行の暗証番号カードなどの安全な設計に長年取り組み大きな影響を与えた。そして、ATM におけるセキュリティ上の欠陥を公表するというアンダーソンの取り組みにより、世界中で ATM の設計が変更されることとなった。 -
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
最後に、ハンキンス氏はクラウドセキュリティ全体像を戦略メニューとして図示した。上記で説明したソリューションやツール、各種フレームワークやプラットフォームが、機能や用途ごとに俯瞰できるものだ。この図は、ガートナーのクラウドセキュリティのコンサルティングの戦略ベースを示したものといってもよい。自社のセキュアクラウドを構築するときの「レシピ」として利用することができるだろう。
-
OWASP データブリーチ
幸いなことに、これらの履歴書の情報はほとんどの場合少なくとも 10 年前のものだが、それでも個人情報が多く含まれていることには変わりない。