サイバーセキュリティのリスクを理解することで回復力を高める: パート 4 — 現在の脅威をナビゲートする

news

セキュリティとビジネス目標およびリスクの調整に関するこのブログ シリーズのパート 3 では、セキュリティ リーダーが自分たちの使命を純粋に技術的な攻撃に対する防御と見なすことから、貴重なビジネス資産、データ、およびアプリケーション。

企業がパンデミック後の世界で未来を再考し始めているため、ほとんどの企業は技術革新を最大限に活用するためにデジタル ファーストのアプローチに移行しています (その多くは急いで採用されました)。パンデミックは、既存の 3 つの傾向とそれらの間の緊張を加速させました。それは、消費者と市場の要求を背景に関連性を維持する方法、進化するサイバー脅威にどのように反応して対応するか、複雑さとコストを削減しながらこれを確実に行う方法です。

回復力のある組織になるには、ビジネス リーダーとセキュリティ リーダーの間のコラボレーションと、継続的な改善へのライフサイクル アプローチが必要です。

インシデントのライフ サイクルの 4 つの段階 (インシデントの前、最中、後) と、得られた教訓を示すビジュアル チャート。

図 1. インシデントの循環段階。

このブログでは、最近のサイバー攻撃の傾向における特定のテーマ (どのように、なぜ効果的に機能するのか) と、それらを軽減するための戦略について詳しく説明します。

オンプレミスとクラウドのセキュリティ

このブログ シリーズで見出しを奪った攻撃の進行から見てきたように、今日の攻撃者には選択肢があります。それらはオンプレミスのままで、複数世代のレガシー テクノロジーの複雑さの中で目に見えないまま残る可能性が高くなります。または、特権を昇格させて、検出のリスクが高いクラウドに移行することもできます。最新の国家攻撃では、 HAFNIUM は抵抗が最も少ない方法を選択し、オンプレミスのMicrosoft Exchange Serverを介して組織を標的にし、ゼロデイ エクスプロイトを利用してデータ センターへのバックドア アクセスを取得しました。 Microsoft が重要なアウトオブバンド アップデートをリリースした後、攻撃者は、ドアが閉まる前に状況を利用しようと競争して、パッチが適用されていないサーバーをすばやく探し出して侵害しました。

Exchange への攻撃は、何世代にもわたるテクノロジーにまたがるオンプレミスとクラウドの複雑なハイブリッドを管理する際に企業が直面する課題を示しています。多くの組織にとって、システムのアップグレードはコストのかかる作業になる可能性があります。そのため、セキュリティ チームは、古いテクノロジーと新しいテクノロジーの両方を同時に保護するよう求められることがよくあります。攻撃者は常に脆弱性を探しているため、組織はこの複雑な組み合わせの管理を簡素化する必要があります。幸いなことに、クラウド セキュリティはもはやクラウド リソースだけのものではありません。 30 ~ 50 年前に改良されたコンピューター テクノロジによって制御される 50 ~ 100 年前の運用技術 (OT) 機器を含む、オンプレミスのリソースをカバーするように拡張されています。

セキュリティ チームは、セキュリティ テクノロジの優先ソースとしてクラウドを優先することで、リスクを軽減できます。これにより、採用が簡素化され、メンテナンスのオーバーヘッドが削減され、最新のイノベーションと機能が確保され、複数世代のテクノロジにわたって統一された可視性と制御が提供されます。もはや単にクラウド セキュリティを指すのではなく、クラウドから提供されるセキュリティを指します。

ランサムウェア

犯罪組織は、高報酬でリスクの低い (違法な) 事業として、サイバー犯罪にますます依存するようになっています。しかし、 人間が操作するランサムウェアの進化により、長年にわたるセキュリティ衛生とメンテナンスの問題に対処するビジネス ニーズが高まっています。ランサムウェアの進化は、WannaCry とNotPetya マルウェアまで遡ることができます。これらは、大規模な侵害技術と暗号化ペイロードを融合させ、復号化キーと引き換えに身代金の支払いを要求しました。 2019 年 6 月頃、人間が操作する新世代のランサムウェアがシステムに感染し始め、標的型攻撃と恐喝を組み合わせたエンタープライズ規模の操作に拡大しました。

人間が操作するランサムウェアの危険性とは?ほとんどのサイバー脅威とは異なり、これらは事前にプログラムされた攻撃ではありません。人間の攻撃者は、ネットワークの弱点とそれを悪用する方法を知っています。攻撃は多段階で日和見的です。リモート デスクトップ プロトコル (RDP) のブルート フォースまたはバンキング トロイの木馬を介してアクセスし、どのネットワークが最も収益性が高いかを判断します。国家への攻撃と同様に、これらの侵害は数分から数か月続く可能性があります。人間のオペレーターは、他の悪意のあるペイロードを配信したり、資格情報を盗んだり、データを盗んだりすることもあります。マイクロソフトが積極的に監視している既知の人間が操作するランサムウェア キャンペーンには、REvil、Samas、Bitpaymer、Ryuk などがあります。

人間が操作するランサムウェアの攻撃経路。

図 2: 人間が操作するランサムウェア — 攻撃経路

人間が操作するランサムウェアは、複数の攻撃ベクトルのいずれかを使用できる恐喝モデルです。これらの攻撃は、多くの場合、次の組み合わせにより、組織に非常に損害を与え、破壊します。

  1. ビジネスに不可欠な資産への広範なアクセス:攻撃者は、クレデンシャルの盗難を通じて、企業の広範なアクセスと制御を急速に獲得します。
  2. 事業運営の混乱:恐喝ビジネス モデルでは、身代金の支払いを魅力的にするために、組織に最大の苦痛を与える必要があります (回復は可能ですが)。

企業全体でビジネスに不可欠なデータやシステムへのアクセスを拒否することで、攻撃者が利益を得る可能性が高くなり、組織が重大または物質的な影響を受ける可能性が高くなります。

COVID-19 が、BYOD (Bring Your Own Device) ポリシーとリモート ワークに関する業界の認識を変えたのと同じように、人間が操作するランサムウェアは、サイバーセキュリティに劇的な変化を引き起こす準備ができています。これらの進化する脅威に備えていない組織は、システムとデータの大規模な復元を実行したり、身代金を支払ったりする可能性に直面します (推奨されません)。

これは、一般的に信じられている (そして危険な) 誤った信念のいずれかを持っている場合に特に当てはまります。

  • 攻撃者は私たちに興味を持っていません。なぜなら、私たちは小さな組織であり、秘密を持っておらず、政府や、その他の一見関連する特性を持っていないからです。
  • ファイアウォールがあるので安全です。
  • 管理者にとってはパスワードで十分です。そのため、多要素認証 (MFA) を延期できます。
  • 攻撃者は、パッチが適用されていない VPN やオペレーティング システムを見つけることができません。そのため、メンテナンスを延期できます。
  • 可用性やパフォーマンスへの影響を避けるため、ドメイン コントローラーなどの内部システムにはセキュリティ更新プログラムを適用しません。
  • セキュリティ オペレーション (SecOps) は、すべてのアラートを手動で作成し、SIEM とファイアウォールを使用して応答できます。そのため、高品質の XDR 検出と SOAR によるモダナイゼーションは後回しにすることができます。

あなたの組織が標的にされた場合、将来の攻撃を助長することになるため、身代金を支払うことは強くお勧めしません。また、支払いによって約束された復号化キーが得られるという保証はなく、攻撃者がダーク Web でデータを販売しないという保証さえありません。ランサムウェアに対処する具体的な計画については、 ダウンロード可能なランサムウェアに関する推奨事項の PowerPointを参照してください。

良い面として、 ビジネス継続性とディザスター リカバリー(BCDR) ソリューションを使用することで、重要なセーフティ ネットを提供できます。 Datto のグローバル ランサムウェア レポート 2020は、マネージド サービス プロバイダー (MSP) の 4 分の 3 が、BCDR ソリューションを使用するクライアントが 24 時間以内にランサムウェア攻撃から回復したと報告していることを示しています。ただし、BCDR 計画を立てるだけでは十分ではありません。攻撃者がこれらのバックアップを破壊しようとするため、破壊または削除できない不変のバックアップが必要です。

この制御は、オンプレミスとクラウドを含むすべての世代のテクノロジにわたって効果的に実装する必要があります。 情報保護とファイルの暗号化により、データが盗み出されたとしても判読不能になる可能性があります。

インサイダーの脅威

多くのデータ漏洩は内部関係者による事故に起因する可能性がありますが、意図的な内部脅威によってもたらされるリスクも同様に増加しています。 組織の 68% は、あらゆる種類の内部関係者の攻撃に対して「中程度から非常に脆弱」であると感じています。同じ割合で、インサイダー攻撃がより頻繁になっていることが確認されています。組織の機密データ、IT、またはネットワーク リソースにアクセスできる人は誰でも、危害を加える意図があるかどうかにかかわらず、潜在的なリスクになります。これには、従業員、コンサルタント、ベンダー、元従業員、ビジネス パートナー、さらには取締役会のメンバーが含まれる場合があります。

最近の例には、140 万ドルのインサイダー取引スキームで起訴された元 Amazon 財務マネージャー、2 人の従業員によって実行されたShopify のデータ侵害、元財務担当副社長によって実行された Stradis Healthcareでのインサイダー攻撃が含まれます。世界的な大流行の真っ只中にある保護具。」意図的な内部関係者の脅威は、物理的なワークスペースとデジタル ワークスペースの両方にまたがっていますが、組織は次のような兆候を探すことで身を守ることができます。

デジタル警告標識

  • 職務に関連しないデータへのアクセス。
  • 無許可のストレージ デバイスの使用。
  • 機密データのネットワーク クロールと検索。
  • 機密ファイルのデータ ホーディングまたはコピー。
  • 機密データを組織外に電子メールで送信する。

行動警告サイン

  • セキュリティをバイパスしようとします。
  • 営業時間外はオフィスにいることが多いです。
  • 不機嫌そうな態度を見せる。
  • 企業ポリシーに違反します。
  • 辞任または新しい機会について話し合います。

内部関係者の脅威を防止するための鍵は、違反が発生する前に違反を検出することです。これは、組織の変化する環境に共感し、異常な行動につながる可能性のある潜在的なストレス要因を管理することを意味します。従業員の健康状態を認識することは、スタッフにとって最善の利益になるだけでなく、組織に対する内部関係者による脅威の発生を大幅に減らします。 Microsoft は、 インサイダー リスク管理ポリシー ヒントなどを使用して、偶発的および意図的なインサイダーの脅威を軽減することに投資しています。

アナリストの疲労を克服する

ノーベリウム攻撃とハフニウム攻撃の二重の影響の後、ほこりが落ち着くにつれて、攻撃の影響、量、および巧妙さが着実に増加している「通常のベースライン」に戻りつつあります。この救済の欠如は、セキュリティの専門家、特にこれらのインシデントに対応するセキュリティ運用のアナリストに最も大きな打撃を与えます。

攻撃者の利益モデルの重荷を黙って負う有能なセキュリティ プロフェッショナルは、しばしば燃え尽きる可能性が高くなります。 PsyberResilience によると、セキュリティ プロフェッショナルの間で燃え尽き症候群になる理由は数多くあります。毎日何千もの脅威の中から 1 つの脅威を見逃すことで組織を失望させることへの恐れです。仕事のスケジュールを使い果たします。新しい脅威やテクノロジーに遅れずについていくための疲労。犯罪者に立ち向かい、彼らの道徳の欠如を目の当たりにすることの感情的な犠牲。

セキュリティ チームは本当の助けを必要としており、サポートされていると感じ、ミッションとつながっていると感じる必要があります。長い道のりを歩むことができるいくつかのヒントを次に示します。

  • 感謝の気持ちを示す:ビジネス リーダーにとって最初の最低限のステップは、これらの勤勉な人々に感謝し、これらの攻撃を地上から経験することがどのようなものかを基本的に理解することです。 CEO やビジネス リーダーが時間を割いて事業運営に携わる人々 (工場労働者、トラック運転手、看護師、医師、料理人、エンジニア、科学者など) に会う必要があるのと同様に、セキュリティ オペレーション担当者にも同じことをして、組織を毎日安全に保つための作業の重要性を示します。
  • 自動化とオーケストレーションを有効にする:これは、冗長で反復的なワークフローや、作業時間を浪費し、従業員を疲弊させるステップを取り除くために重要です。 Azure SentinelMicrosoft 365 Defenderは、多くのインシデントの調査と修復タスクを自動化し、アナリストの反復作業の負担を軽減します。企業内のさまざまなセキュリティ ソリューションは、 脅威インテリジェンスを確認して共有し、オンプレミス環境とマルチクラウド環境全体で統一された対応を推進する必要があります。
  • 助けを求める:多くの企業、特にセキュリティ チームが小規模な組織では、セキュリティ専門家の採用と維持が難しいと感じています。チームにサービス プロバイダーの専門家を補充することで、必要な限られた時間だけ優秀な人材を採用したり、大量の最前線のアナリストの仕事をサービス プロバイダーに移すことで専門家の規模を拡大したりすることができます。
  • 協力的なアプローチを取る:他の業界の同業者に連絡を取り、彼らの課題について学びます。病院は患者データをどのように保護していますか?小売業、航空会社、または官公庁でのサイバーセキュリティはどのように行われていますか?さまざまな業種に目を向けると、新しいアイデアやインスピレーションが得られるかもしれません。相互に接続された防御者の軍隊は、単一の組織が維持できるよりも明確さと監視を提供します。これがどのように機能するかについての技術的な情報については、情報セキュリティに対するコミュニティベースのアプローチについて学んでください。

拡張知能とディープフェイク

機械学習と自動化を使用することは、防御側が脅威をより迅速に検出して対応するための優れたツールであることが証明されています。ただし、攻撃者も同様のテクノロジーにアクセスしており、これを有利に利用しています。サイバー世界と物理世界が融合した別の例では、サイバー犯罪者がディープフェイク テクノロジーを使用して最高経営責任者の声のほぼ完全ななりすましを作成し、会社をだまして24 万 3,000 ドルを銀行口座に送金させました。攻撃者は、機械学習と AI をソーシャル エンジニアリングと組み合わせて、人々にお金を動かすよう説得しました。

まだまれではありますが、このような AI や機械学習による攻撃はより一般的になりつつあります。攻撃者は、収支報告、インタビュー、演説からターゲットの公の録音を使用してディープフェイクを作成し、彼らの癖を模倣し、テクノロジーを一種の仮面として使用することができます。これらの攻撃の 1 つに高度な技術が必要であるにもかかわらず、防御は驚くほど単純で技術的ではない場合があります。高価値のトランザクションに二次認証を使用すると、承認プロセスに追加の安全な手順が提供されるため、攻撃者がすべてのチャネルを一度に予測して偽造することが困難になります。

AI と機械学習の使用が防御側のキット バッグでより多用されるようになると、サイバー犯罪者は、異常を検出するために使用されるアルゴリズムを攻撃して汚染することにも取りかかります。多くの場合、アルゴリズムをデータであふれさせて、結果をゆがめたり、誤検知を生成したりします。要するに、ヒューマン インテリジェンス レイヤーは、新しいサイバー脅威のコンテキスト認識と理解を提供し、検出を回避するために設計された進化する戦術と技術を解読するのに依然として重要です。

乞うご期待

このシリーズの次の投稿では、組織がこれらすべての概念を、ビジネスの優先事項、リスク フレームワーク、およびプロセスと統合するセキュリティ戦略にまとめる方法に焦点を当てます。

先を読みたい場合は、クラウド導入フレームワークで安全な方法論を確認できます。

もっと詳しく知る

このシリーズの以前のブログを読む:

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してくださいセキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

参照: https://www.microsoft.com/en-us/security/blog/2021/05/26/becoming-resilient-by-understanding-cybersecurity-risks-part-4-navigating-current-threats/

Comments

タイトルとURLをコピーしました