による
の上
現代の敵対者は、より多くの組織に侵入し、より多くのデータを盗み出し、より多くの資金を獲得し、無数の悪意ある目的を達成するための新たな方法を常に模索しています。これは、必要な防御ツールを整備せずに自らを危険にさらしている防御者にとって大きな問題となります。
ナレンドラン・ヴァイディースワラン(プロダクトマーケティング、アイデンティティ、ゼロトラスト担当ディレクター)
攻撃者は戦術を絶えず変化させ、常に先手を打つことができます。これまで多くの攻撃者は、総当たり攻撃によって防御を突破し組織に侵入したり、境界ファイアウォール、ソフトウェア、ハードウェアの脆弱性を悪用して標的の環境への足掛かりを築いたりしてきました。
この種の攻撃チェーンは、攻撃者が影響を及ぼすまでに、初期アクセスから発見、権限昇格、認証情報へのアクセス、そしてラテラルムーブメントへと進む可能性があります。この種の侵入と攻撃の進行には複数のステップが含まれるため、完了までに時間がかかる可能性があり、結果として防御側が脅威について理解し、対応する時間が増えます。
今日の攻撃者は、攻撃を加速させるために戦術と手法を進化させています。彼らは現在、アイデンティティを利用して標的に侵入し、ラテラルムーブメントと権限昇格を通じて攻撃の進行を促進することに重点を置いています。これにより、攻撃チェーンのいくつかのステップが省略されます。既に正当な認証情報を持っている侵入者は、ラテラルムーブメントに直接アクセスし、被害者に悪意のある活動を気づかれることなく、より迅速に影響を与えることができるためです。アイデンティティベースの攻撃の検知と対応には、従来のマルウェアベースの攻撃の発見よりもはるかに長い時間がかかります。
攻撃者は、従来のウイルス対策ツールによる検出を回避するため、正規の認証情報と組み込みツールを用いて目的を達成しようとする傾向が強まっています。これは「Living Off the Land(環境寄生)」と呼ばれる手法です。この傾向はますます顕著になっています。2022年のCrowdStrikeグローバル脅威レポートによると、2021年第4四半期にCrowdStrike Security Cloudによってインデックス化されたすべての検出のうち、62%がマルウェアフリーでした。これは、攻撃者がエンドポイントにマルウェアを書き込むことなく成功しようとしていることを示す新たな兆候です。
認証情報への依存度が高まり、アクセスブローカーが電子犯罪の脅威環境における主要な構成要素として台頭しています。攻撃者は、犯罪活動を容易にするために、互いに連絡を取り合い、「アクセス」、つまりユーザー名とパスワードのペアを売買するケースが増えています。CrowdStrike Intelligenceチームは、アクセスブローカーの広告を分析した結果、少なくとも30の異なる業種の組織にアクセス権が販売されていることを発見しました。これは、あらゆる業界が標的になり得ることを示しています。
ブレイクアウトタイムは、攻撃者がいかに迅速かつ意図的に活動しているかを示す指標の一つです。この指標は、攻撃者が最初に侵入したホストから被害者の環境内の別のホストに水平移動するのにかかる時間を指します。CrowdStrikeによる2021年のeCrime侵入活動の実地分析では、平均ブレイクアウトタイムはわずか1時間38分であることが明らかになりました。これは、防御側が対応できる時間枠としては極めて短いものです。
昨年のnoPacエクスプロイトは、現代の攻撃がいかに加速しているかを如実に示しています。2021年12月中旬、Microsoft Active Directoryの重大な設計上の欠陥2つを組み合わせたエクスプロイトが公開されました。このエクスプロイトにより、通常のドメインユーザーの権限がドメイン管理者に昇格され、悪意のある攻撃者はドメイン乗っ取りやランサムウェア攻撃など、複数の攻撃を実行することが可能になります。noPacが公開された頃、Secureworksの研究者たちは、これらの欠陥を悪用してわずか16秒でドメイン権限を取得する方法を実証しました。
迅速で巧妙な攻撃からの防御
こうしたアイデンティティ中心の攻撃は、今日の侵害活動の中核を成しており、いくつかの注目を集めた攻撃もその一つです。この手法は、攻撃者が迅速に行動することを可能にするだけでなく、攻撃コストも削減します。正規の認証情報を入手する方が、ゼロデイエクスプロイトを購入したり、カスタムサプライチェーン攻撃を仕掛けたりするよりも大幅に安価だからです。
アイデンティティ攻撃は検知が非常に困難です。有効な従業員の認証情報が侵害され、攻撃者がそのユーザーになりすましている場合、従来のセキュリティツールや対策では、従業員の典型的な行動と攻撃者の行動を区別することが非常に困難になることがよくあります。
たとえ適切に設計されたIT環境であっても、強力なID保護のない認証情報への依存という弱点に陥る可能性があります。IT管理者、従業員、サードパーティベンダー、顧客のアカウントなど、あらゆるアカウントが攻撃経路となり得ます。多くの従業員がリモートワークに完全移行するにつれ、多くの組織で攻撃対象領域が拡大し、強力かつ柔軟なIDセキュリティソリューションの必要性が高まっています。
アイデンティティは、より広範なセキュリティプラットフォームを構成する要素の一つです。最高レベルの保護を実現するには、組織はアイデンティティ保護に加え、エンドポイントセキュリティ、ITセキュリティ、クラウドワークロード保護、コンテナセキュリティを網羅した戦略を策定する必要があります。アイデンティティセキュリティソリューションは、既存のアイデンティティおよびアクセス管理(IAM)ツールやプロセス、そしてゼロトラストアーキテクチャと統合する必要があります。
包括的なアイデンティティセキュリティ戦略は、ハイブリッド環境における組織の認証情報の可視性を向上させ、ユーザーの行動、リスク、逸脱に関するより深い洞察を提供します。また、ラテラルムーブメントの検出と防御を強化し、特権ユーザーのセキュリティを強化して、権限昇格やアカウント乗っ取りなどの攻撃から保護します。
スピードは成功と失敗を左右することが多く、特にサイバーセキュリティにおいては、ステルス性の高い攻撃が数時間で展開され、壊滅的な被害をもたらす可能性があります。あらゆる規模、あらゆる業種のセキュリティチームは、統合されたサイバー脅威インテリジェンスを活用し、予防、検知、調査、対応のワークフローを自動化することで、戦略的意思決定の俊敏性を高めるための投資を行う必要があります。
