グローバルなMicrosoft Compromise Recovery Security Practice (CRSP) では、破壊的なセキュリティ インシデントを経験したお客様と協力して、ID システムの信頼を回復し、敵対者による制御を取り除きます。 2020 年中、チームはランサムウェアと仮想通貨マイニング ツールの展開に関連する多くのインシデントに対応しました。ランサムウェアは、低コストで高収益のビジネス モデルであるため、組織やホーム ユーザーに対する脅威が増大しています。これらの攻撃は複雑ではなく、長年にわたって存在し、いまだに修復されていないツールやソフトウェア エクスプロイトに依存しています。彼らはまだ単純な理由で求められています: 彼らはまだ働いています.
この投稿では、私たちのサービスを必要としない最も実用的で費用対効果の高い方法を皆さんと共有したいと考えています.
基本的なセキュリティを更新して維持する
荒野を歩いていた 2 人のハイカーが、自分たちに向かってくるクマを見たという古い話があります。ある人がランニング シューズに手を伸ばすと、その友人は「クマを追い越すことは決してないだろう」と言います。最初のハイカーは、「その必要はありません。あなたを追い越す必要があるだけです」と答えます。
この話の背後にあるテーマは、現在のサイバーセキュリティの脅威の状況に反映されています。ニュースはサイバー攻撃の話でいっぱいですが、そのほとんどは「非常に巧妙」と表現されています。しかし、実際のところ、サイバー インシデントの大部分は特に洗練されたものではありません。ほとんどの攻撃者は十分な資金を備えた国家ではありません。彼らはただの金儲けを目的とした犯罪者です。直接的な金銭的利益は、2020 年のサイバー攻撃の背後にある主な動機です。これは、被害者が中小企業や、学校や慈善団体などの非営利セクターである場合に特に当てはまります。セキュリティ体制を改善する簡単な方法は、パッチをすばやく効率的に適用することです。
2020 年初頭、 Microsoft の検出と対応チーム(DART) は、オーストラリアの公共部門組織からサイバー攻撃の調査を受けました。 DART の調査により、攻撃者が外部の IP アドレスから発信されていることが判明しました。インシデント対応 (IR) の調査により、敵対者はインターネットに接続されたインフラストラクチャをスキャンして、攻撃対象のポートを公開することから攻撃を開始したことが判明しました。この例では、ソフトウェア ベンダーがサポートを提供できるように、インターネットへのリモート デスクトップ接続が直接開かれました。脆弱な管理パスワードがすぐに強制されました。公開されたサーバーへの管理アクセス権を使用して、一般に入手可能なハッキング ツールを利用して、適度にノイズの多いネットワーク偵察を実行しました。攻撃者は、ネットワーク全体を横方向にすばやく移動し、ドメイン コントローラにエスカレートしました。
DART の調査に続いて、CRSP チームは、ID システムの信頼を再確立し、防御を強化し、敵対者の制御を取り除くことで、環境の回復に取り組みました。知名度が高く十分なリソースがあるにもかかわらず、公共部門の組織は約 500 人のスタッフの小規模な組織であり、残念ながら近年のセキュリティ対策では遅れをとっていました。
最初のブルート フォース攻撃から、攻撃者は数時間でドメインの支配を達成しました。この攻撃では、攻撃者はすべてのサーバーとワークステーションに仮想通貨マイニング ツールを展開することで、金銭的な動機を示しました。週末だったので、攻撃はしばらくの間発見されませんでした。
攻撃が特定の組織を対象としていたことを示すものはなく、攻撃者の動機は純粋に金銭的なものであると思われました。仮想通貨マイニングは、低リスク、低リターンのペイロードであり、被害者側で支払いを明示的に選択する必要はありません。報酬は少なくなりますが、即時であり、大量の低価値の攻撃に最適です.
この事件からの教訓は次のとおりです。平均よりも困難にすることができれば、スキルの低い攻撃者はすぐにあきらめて次のターゲットに移動することがよくあります。基本的に、クマではなく、友達を追い越します。基本を修正することに焦点を当てることは、ほとんどの中小企業を保護するのに大いに役立ちます。以下は、すぐに攻撃対象になりにくくなる 7 つの領域 (すべてを網羅しているわけではありません) です。これらはすべて、事後対応型プロジェクトでお客様と関わる際に実装するものです。
1. すべてに迅速にパッチを適用する
48 時間以内にパッチを完全に適用することを目指すと、セキュリティ体制が著しく改善されます。ドメイン コントローラーや Microsoft Azure Active Directory Connect などの Tier 0 システムに重点を置いて、できるだけ早くサーバーにパッチを適用してください。
アプリケーションのパッチ適用も同様に重要です。特に、電子メール クライアント、VPN クライアント、Web ブラウザなどのビジネス生産性アプリケーションは重要です。 Edge、Chrome、Firefox などの Web ブラウザーの自動更新を有効にします。古いブラウザは、ユーザー データとデバイスを危険にさらします。クラウドと Windows Update for Business を使用すると、組織の従業員が分散している場合、特にパンデミック スタイルの従業員が分散している場合に、パッチ適用を自動化し、メンテナンスの負担の一部を取り除くことができます。
侵害復旧の一環として、お客様が最も重要な資産に数時間以内にパッチを適用できるように取り組んでいます。これには通常、重要なワークロードの迅速なパッチ承認プロセスとテスト サイクルの実装が含まれます。ドメイン コントローラー専用の更新管理ツールを実装するなど、パッチ適用システムを主要なワークロードごとに分離することには大きなメリットがあります。
2. デバイスを積極的に保護する
Microsoft Defender for Endpointまたは別の拡張された検出と応答 (XDR) ソリューションを実行している適切に構成された最新の Windows デバイスが、防御の最前線となる必要があります。重要かつ主要なビジネス システム用のセキュリティ インシデント イベント管理(SIEM) システムと組み合わせることで、重要な資産を可視化できます。人々がアラートを見て活動を追跡していることを確認してください。
お客様と時間を過ごした後、お客様の重要なビジネス システム内で発生するすべてのことが適切に監視および管理されていることを確認したいと考えています。この環境で発生する可能性のあるあらゆることに対応できることは、環境で継続的な保証を維持するために不可欠です。
3.露出を減らす
サービスをインターネットに公開することには、固有のリスクが伴います。リスクの 1 つは、インターネットに接続されているものはすべて定期的かつ定期的にスキャンされることです。最近のHAFNIUM エクスプロイトで見たように、脆弱性が見つかったものはすべて、オンラインになってから数分以内にエクスプロイトされる可能性があります。
さらに、オンラインで利用できるサービスの公開リソースがあります。これらの結果は、リソースを悪用しようとしているハッカーにとって興味深いものであるだけでなく、セキュリティ体制を強化しようとしているハッカーにも役立つ可能性があります。
定義された送信元アドレス へのアクセスを制限するファイアウォールは、 VPN 接続、特に2 要素認証を必要とする VPN 接続の背後に配置する場合と同様に、リスクをいくらか軽減します。
サーバーが Azure または別のクラウドにある場合は、 ネットワーク セキュリティ グループを使用して特定の IP へのアクセスを制限するか、 ジャスト イン タイム アクセスとMicrosoft Azure Bastionを使用することをお勧めします。
お客様の例では、リモート デスクトップ プロトコルがインターネットに直接公開されており、軽減策はありませんでした。
お客様と協力して、環境内のインターネットに接続されたサービスの露出を正当化し、削減します。私たちは、管理者がシステムを完全に維持しながら、より安全な方法で維持できるようにするために、管理慣行と協力しています。
4. 特権を減らす
ほとんどの攻撃は、攻撃者が管理アクセスを取得することに依存しています。露出を制限できれば、多くの攻撃を阻止することができます。共通のローカル管理者パスワードを使用すると、横移動と権限の昇格が攻撃者にとって簡単なタスクになります。
システムのローカル管理者アカウントを管理するLocal Administrator Password Solution (LAPS) は、6 年近く無料で提供されています。それにもかかわらず、多くのエンゲージメントでは、それが展開されていないことがわかります.今すぐネットワークに導入してください。
公共部門の例では、攻撃者はアプリケーション サーバーから高度な権限を持つ資格情報を抽出することができました。権限管理とジャストインタイムの管理ソリューションを導入すると、大きな価値が得られますが、複雑で時間がかかる場合があります。ドメイン管理者やエンタープライズ管理者などの重要なセキュリティ グループのメンバーシップを確認し、本当に必要な人だけに絞り込むことで、迅速な勝利を得ることができます。大規模な環境を除くすべての環境では、片手の指でドメイン管理者の数を数えることができるはずです。
価値の高いタスクに専用の管理者ワークステーションを使用すると、管理者の資格情報が盗まれるリスクが軽減されます。どんなに慎重な人でも、間違ったリンクをクリックすることがあります。電子メールを読んだり Web を閲覧したりするのと同じ PC で管理者アカウントを使用することは、特権にリスクが生じるため、お勧めできません。
パスワードを自動的にローテーションする管理されたサービス アカウントを使用します。アプリケーション ベンダーがサービス アカウントを管理者にする必要があると言った場合は、強く押し返すときです。
特権アクセスの保護に関するガイダンスの詳細をお読みください。
管理者専用の強化されたデバイスを用意することは、戦術的にセキュリティを強化するための優れた費用対効果の高い方法です。電子メールや Web ブラウジングのないスタンドアロン マシンを使用すると、攻撃者が直面する問題が大幅に増加します。
公共部門のお客様の場合、特権の使用を制限することで、攻撃者が公開されたサーバーの最初の橋頭堡から環境の残りの部分に移動することがはるかに困難になります。
5. クラウドの力を活用する
オンプレミスで実行する必要があるサービスを検討してください。自分で行う必要性が明確にない場合は、他の人に任せてください。クラウドでの共有責任モデルにより、露出を減らし、プラットフォームのセキュリティをクラウド プロバイダーに委任する機会が得られます。 クラウドは、従来の IT ができないところを自動的に拡張できます。 クラウド内のセキュリティ サービスについても同じことが言えます。
実行しているものを確認し、可能な場合はサービスとしてのプラットフォーム (PaaS) またはサービスとしてのソフトウェア (SaaS) アプリケーションに置き換えます。
たとえば、オンプレミスの Exchange サーバーは優れた製品ですが、メンテナンス、パッチ適用、および構成が必要です。メールボックスをExchange Onlineに移行すると、ほとんどの悪意のあるリンクやフィッシング リンクがメールボックスに到達する前にブロックされるため、多くの作業が不要になり、攻撃対象領域が減少します。
長期的には、Azure または別のクラウドのクラウドベースのソリューションに移行できる場合、環境内で安全なWeb サーバーを実行するのは難しい場合があります。これはこの例では関係ありませんでしたが、一般的な攻撃ベクトルです。
Azure Security CenterやAzure Defenderなど、クラウドを利用した最新のセキュリティ ツールを利用します。サーバーがオンプレミスまたは別のクラウドにある場合でも、セキュリティ センターに報告するように構成して、セキュリティ体制の全体像を把握できます。 Microsoft Azure Sentinelなどの SIEM システムを使用すると、潜在的な攻撃の可視性が向上します。
攻撃を受けた顧客がクラウド セキュリティ ソリューションを使用していた場合、攻撃が行われるのを目にしたでしょう。
6. 技術的負債を返済する
レガシー オペレーティング システムを実行すると、長期にわたる脆弱性を悪用する攻撃に対する脆弱性が高まります。可能であれば、従来の Windows オペレーティング システムの廃止またはアップグレードを検討してください。レガシー プロトコルはリスクを高める可能性があります。古いファイル共有テクノロジは、ランサムウェアの攻撃ベクトルとしてよく知られていますが、多くの環境でまだ使用されています。
このインシデントでは、最近パッチが適用されていないドメイン コントローラーを含む多くのシステムがありました。これは、攻撃者が環境全体を移動するのに大いに役立ちました。お客様を支援する一環として、最も重要なシステムを調べ、環境をさらに強化するためにできる最新のプロトコルを実行していることを確認します。
7. ログを見てアラートに対処する
ことわざにあるように、「収集は検出ではありません」。多くの関与において、攻撃者の行動はイベント ログで明らかです。共通の問題は、誰もそれらを日常的に見ていないこと、または通常がどのように見えるかを理解していないことです.削除や保持の変更など、イベント ログに対する説明のつかない変更は、疑わしいと見なして調査する必要があります。
この事件では、攻撃者の行動は事後ログから簡単に追跡できました。多くのソースからのログを照合する SIEM システムは、従来は大きな投資であり、大企業以外には手の届かないものでした。Azure Sentinelを使用すると、オンプレミス インフラストラクチャの要件や先行投資を必要とせずに、誰もが利用できるようになりました。システムにエージェントをデプロイするだけです (オンプレミス、Azure、または別のクラウドのいずれであってもかまいません)。
もっと詳しく知る
あなたを攻撃しにくくする魔法のテクノロジーソリューションはありません。 Microsoft DARTおよびCSRP チームは、フレンドリーで親切な大勢の人々ですが、実際に会う必要はありません。
決断力があり、十分なリソースを備えた攻撃者は、やがて最高のサイバー防御を突破します。要約すると、クマを追い越すことはできませんが、最初の一歩を踏み出すことで自分自身をより困難なターゲットにすることで、攻撃者がより簡単なターゲットに移動する可能性がはるかに高くなります.
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments