サイバー攻撃は依然として増加傾向にある
ベライゾンの2022年データ侵害調査報告書を読むと、2021年は再びサイバー攻撃がかなり成功した年であったことが明白になる:
- 私たちは、ゼロデイ脆弱性や重要なCVEを活用した侵害を目の当たりにし、その中にはMS Exchange(Hafnium)やLog4Jで複数のものがありました。
- SolarWindsの翌年、Kaseyaのようにサプライチェーンを狙った攻撃が再び多発した。
- しかし、単純なエラーや設定ミスによって多くの違反が引き起こされていることがまだ非常に多い。
このような侵害の結果、あるいは「最終目的」は、高度な持続的脅威 (Advanced Persistent Threat:APT) 、あるいは今日で言うところの「高度に回避的な」APTと連動することが非常に多く、データを盗むか、ランサムウェアを仕掛けることである。実際には、その両方が並行して活用されることが非常に多く、いわゆる「二重の恐喝」である。
ランサムウェアについて詳しく見てみると、ベライゾンは前年比13%の増加を観測しており、サイバーセキュリティインシデント全体の25%がランサムウェアによるものであることを示している。
APTの手口については、そのような攻撃は、常にではないにせよ、ほとんどの場合、段階的な作戦であることがわかる。このことは、なぜ "最終目的 "に至るまでに観察される類似点を議論するのではなく、攻撃の結果であるランサムウェアにいまだに多くの焦点が当てられているのかという疑問を引き起こす。
その上、侵入された企業はすべて、ネットワークからエンドポイントまで、シグネチャや「新たなゴールドスタンダード」であるAI/MLを活用したセキュリティソリューションをすでに導入している。
予防的サイバーセキュリティ戦略の問題点
では、なぜいまだにこのようなことが繰り返されているのだろうか?なぜ、このような攻撃が成功する前の早い段階で、検知 、防ぐことができないのだろうか?
ここで、背景を説明するために、いくつかの調査数字に注目してみよう。例えば、私たちが対処しなければならない「共通脆弱性・暴露 (CVE) 」の数を確認してみよう:
- 昨年は新たに2万件以上のCVEが開示され、前年から約10%増加した。
タニウム社によると、発見された中で最も古いものは21年前のもので、IPネットワーク上のデバイスを管理するために今でも広く使われているSNMPv2で表面化したものだという。 - これらのCVEの10%以上が「クリティカル」と評価されている。その数は2000以上!毎月165件以上だ。たとえそのすべてがあなたの環境に当てはまらなかったとしても、多くのCVEに対処しなければならない。
- 2022年第1四半期、CVEを観測するNational Vulnerability Database(NVD)はすでに8000を超えるCVEを保有している (前年同期比25%増) 。
上記の統計は、それぞれの環境でこれらすべてを調査し、検知し、パッチを適用することが不可能であることを示しており、印象的である。パッチを当てるために重要なシステムを長時間オフラインにするリスクもある。パッチを当てられないシステムについては言うまでもない。
これらのCVEを利用して実際に発生した攻撃を調べ始めると、予防策と是正策の問題はさらに明白になる:
- チェック・ポイントは2021年版サイバー・セキュリティ・レポートで、2020年の攻撃の75%が2年以上前の脆弱性を使用していたと報告した。
18%は少なくとも7年前のものであった。
Palo Alto Networksによると、CVEが公開される前に公開された公開エクスプロイトの約80%は、CVEが公開される前に武器化/悪用されていたという。
CVEが公開されるまでの平均日数は23日だった。
- 最後に、Edgescanによると、平均修復時間 (MTTR) はまだ約58日である。
、CVEが公表されるまでの平均23日を加えることを忘れてはならない。
これらのデータを冷静に見てみると、シグネチャベースのアプローチでは、脅威を防止したり (事後的に) 検知 、サイバー攻撃から財産を守るには不十分であることがわかる。
多くの初期違反は、主要な予防能力では検知できないことは明らかである。その理由は、それらが知られていないか、あるいは既存の予防能力を回避できるためである。
さらに、ベルリンを拠点とするSRLabsによる最近の調査で、EDR回避は現実の問題であり、今や合理化できることが明らかになった。彼らは、EDR回避はもはや "技巧 "ではないと指摘している。彼らの結論は極めて衝撃的であり、警鐘を鳴らすものとして読まれるべきである:「全体として、EDRは、レッドチームの典型的な演習の実行時間に基づき、大企業に侵入する際にハッキングの労力の約12%または1週間を追加します。
言い換えれば、EDRは聖杯ではない:重層的なセキュリティ戦略の必須要素に過ぎないのだ。
サイバーセキュリティのベストプラクティスを見直そう
この問題を軽減するためには、サイバーセキュリティのベストプラクティスを見直す必要がある:
- ゼロトラストのコンセプトだけでは不十分である。
- 層構造のセキュリティは必須だ。
- 予防能力だけでも不十分だ:ネットの中には常に少なくとも1つの迷路が存在する。
- 非侵略的なネットワーク検知能力に投資し、包括的なオーケストレーションの実践と組み合わせて対応しなければならない。
事業継続を懸念するすべての企業にとって、サイバーセキュリティの運用方法を拡大し、その有効性を確保するためのツールとして、効果的なデータサイエンスに注目することは必須である。
しかし、データサイエンスは、過剰な数の脅威指標を簡単に処理することはできない。経済的な実施方法は、データサイエンスを活用することで、多くの指標を迅速に処理できない状態から、非常に価値があり信頼できる限られた数のセキュリティインシデントのみを明らかにすることで真価を発揮できるようにすることである。
それが、違反になる前に意味のあるインシデントを見つける唯一の方法なのだ。実はとても簡単なことだ。
干し草の山から一本の針を見つけるという難題は誰もが知っている。たとえデータサイエンスがより多くの干し草を処理する手助けをしてくれるとしても、干し草の中から道を切り開くのは限界のあることだ。しかし、そもそも処理する干し草の山を作らない方が、目の前にある針が見えるのではないだろうか?
データ・サイエンスを活用するということは、ゼロデイ脆弱性の発見や、それを利用したエクスプロイトのようなビルディング・ブロックに焦点を当てないということだ。それらはあまりにも数が多く、終わりがない。より良い選択は、データサイエンスの可能性を利用して、攻撃者が脆弱性の1つを適用してシステムに侵入した場合に何ができるかを理解し、確認することである。言い換えれば、TTPを特定し、MITREのような優れたフレームワークと組み合わせて適用するために使うのだ。
ゼロデイ後に利用可能なアクションや戦術は数多くあるわけではないが、非常に着実である。
ヘンゼルが石畳を使ってヘンゼルとグレーテルのために家に帰る道を作ろうと努力したように、攻撃者もネットワーク内に道を作る。Vectra 、その道を特定し、石畳をパンくずにして、攻撃者が道に迷って特定できるようにすることができる。
結論
攻撃者の最終目的を阻止しようとするのではなく、最終目的が起こる前に、その道が作られるのを検知し、阻止することに集中するのだ。
情報源