RSAカンファレンス2024におけるVectra AI
15分間のデモを予約する

攻撃者の心理に入り込む

2021年5月13日
ヘンリク・ダビッドソン
グローバルパートナー戦略、プログラム、イネーブルメント担当シニアディレクター、Vectra
攻撃者の心理に入り込む

サイバー攻撃は世界中のヘッドラインを賑わせており、その騒々しさはとどまるところを知らない。もちろん、騒々しさよりも深刻なのは、これらの攻撃が影響を受けた組織に与えている損害である。彼らは明らかに、ギャップを埋めるために行動や戦略の一部を変える必要がある。

このことを念頭に置き、組織が情報漏洩に見舞われる可能性をどのように高めるかをよりよく理解するために、いくつかの考えをまとめてみた:

  • 新しいタイプのエンドポイントやcloud 接続で複雑な環境を増やすことに集中しましょう。ネットワークはどこから始まるのか?ネットワークの終点は?誰が接続できるのか?自分のデバイスを持ち込む (BYOD)?多様なデバイス。COVID-19。クラウド、データが交換されるSaaSサービスとともに、数多くのエントリー・ポイントがある。
  • 組織犯罪シンジケートからの金銭的インセンティブ、政治的動機によるハクティビズム、国家による知的財産の窃盗など、より洗練されたハッカーたち。無限の時間とリソースを持つ国家を標的にした攻撃者からどう守るか?彼らは侵入してくる!
  • 強度が低く、高度な技術を要する攻撃は、検知が難しいことで有名です。マルウェアのトランスポート・メカニズムや攻撃元をさまざまに曖昧にすることで、全体像を把握することが難しくなります。セキュリティポスチャを全体的に把握していますか?
  • マルウェアを振り返って解読しようとしたり、攻撃の新しいパターンを学ぼうとしたりするのは反応的なことだ。サンドボックスやログ分析でさえ、既知のパターンと何を探すべきかの指示を必要とする。私たちは、SolarWinds/SUNBURST、Hafnium、Sodinikibi、Stuxnetのような画期的な新しいタイプの攻撃を、オンプレミス、クラウド、SaaS環境にまたがる全く新しいアプローチで見てきました。
  • 不正に書かれた/脆弱なコード、未公開のバックドア、盗まれた/クラックされた署名証明書。ルート証明書が盗まれ、正規のパッケージとしてマルウェアの署名に使われている。Windows Updateさえも破損している。

攻撃者の心理に入り込む

こんなシナリオを考えてみよう:攻撃者が組織内のランダムなエンドポイントに侵入します。攻撃者の最初の目的は何でしょうか?まず、組織内のどこにいるのかを特定し、エンドポイントにキャッシュされている情報をかき集める必要があります。これには以下が含まれます:

  • 認証情報は一時的にメモリに保存され、ブラウザに保存される。
  • 接続されたファイル共有
  • 接続ドメインコントローラー
  • SharePointリソースへの閲覧履歴(保存された認証情報を含む場合がある)
  • ローカル管理者になるために悪用すべき脆弱性

彼らが次の行動を起こす前に、もちろんアンチウイルスを作動させたり、何らかの痕跡を残さないようにする必要がある。

ステルスがゲームの名前だが、次はどこに行くのか?

彼らは横方向に移動するために、企業ネットワーク内にとどまる複数の方法を確立する必要がある。また、ネットワークやハイブリッド・インフラ(クラウド) を攻撃することは、永続性を維持するために非常に効果的であることも注目に値する。これが確立されれば、いよいよ本番だ!彼らは次のことができるようになる:  

  • 資格証明書、特に管理者資格証明書を取得する。
  • ユーザーが利用しているサービスへの接続を試みる
  • 特にファイアウォールのあるセグメント間ではスキャンを避けること
  • 利用しやすい脆弱なサービスを見つける
  • リモートデスクトップ、SSH、PowerShellなど、通常のITツールで移動するために盗んだ認証情報を使用する。Azure ADなどのオフラインおよびオンラインの認証情報をブルートフォースする。

さて、見て学ぶことによる偵察だが、攻撃側の主な目的は何か?  

  1. インフラ、オンプレネットワーク、クラウド、SaaSへの特権アクセスを獲得する。これによって、フィッシング詐欺やソーシャル・エンジニアリング詐欺を仕掛ける機会が提供され、他の従業員やパートナーへのアクセスを確立される可能性さえある。
  2. つまり、マルウェアの拡散、高位アクセス権の獲得、侵害されたアカウントのさらなるコントロールの確立を意味する。
  3. 目的を実行し、重要な資産を盗むか破壊する。重要な資産を突き止めるだけでなく、データを集約したり、知的財産を盗んだり、資金を送金したり、あるいはDDoS攻撃やランサムウェア攻撃を仕掛けて事業継続を妨害したりする。また、ネットワークからトンネルを抜ける前に、チャンスがあればビットコインを採掘することもある。

最終段階でのダメージが大きいのは分かっている。しかし、良いニュースは、検知 、この時点までに攻撃者を止めることができれば、実際の被害が発生しない可能性が非常に高いということだ。  

しかし、攻撃者が発見されなかったり、目的を達成していたらどうだろう?

さて、彼らは証拠、バックアップ、ログ、悪意のあるファイルを消去することができます。ランサムウェアは注意をそらし、証拠を暗号化するのに有効であることを覚えておいてほしい。それだけでなく、将来のアクセス権をダークウェブで売ることもできる。

ヘッドラインでも目にしたように、多くの場合、それは「遅すぎた」のであり、残されたのは多くの疑問だけである。

  • エントリーポイントは?
  • 盗み、妨害、恐喝が目的だったのか?
  • 誰が私を攻撃しているのか、彼らはどんなリソースを持っているのか、何が彼らを突き動かしているのか。
  • このような事態を避けるために、プロテクション、検知、ルーチン、ユーザーの意識を改善することはできますか?

では、何が必要なのか?

セキュリティ・オペレーションは、次世代のセキュリティ・オペレーション・センター(SOC)、いわばSOC v2.0の構築に着手する必要がある。SOC v2.0のコンセプトの背景には、現在の対策や、重要なリソースの継続的な入れ替わり、情報の過負荷、サイロ化したテクノロジー・ツールによって構築されているSecOpsのあり方が、たとえ一部のツールが適切であったとしても、セキュリティリスクであるという理論的根拠がある。

SOC v2.0の構築とは、より手頃な価格で、多くの人に依存せず、より迅速に攻撃を検知し、自動化、新しい分析技術を導入し、これまでにない攻撃との戦いに備えるアプローチを意味します。SOC v2.0の詳細については、今後の投稿をお楽しみに。

お客様の組織がコストのかかる侵害を回避する方法について詳しくお知りになりたい場合は、ランサムウェア対策に関する当社のリソースをご活用ください。また、Vectra 、SOCの可視性を高める方法についてご覧いただくか、当社までお問い合わせの上、デモをご予約ください。