コロニアル・パイプラインが大規模なランサムウェア攻撃でシャットダウンされてからわずか1週間後、攻撃者は再び攻撃を仕掛けている。金曜日にはアイルランドの医療サービスが 標的型ランサムウェア攻撃を受けてITシステムをシャットダウンし、同日にはドイツの化学会社が440万ドルの身代金を支払わなければならなかったと報じられている。
コロニアル州への攻撃は、複数の州でアメリカのドライバーが燃料不足のためにガソリンを満タンにすることができないなど、すでに最初の影響を目の当たりにしており、これが近い将来、旅行や海運などの業界にどのような影響を与えるかは誰にもわからない。今、国全体の医療システムがサイバー犯罪者によって影響を受けている。これはもはやテクノロジーだけの問題ではなく、もっと大きな問題なのだ。
ヘルスケア分野におけるランサムウェアは、物理的な生活とデジタルな生活が融合していることのさらなる証拠であり、人々が生きるために必要な生活やケアの質を低下させる可能性のある影響である。しかし、侵害や攻撃の兆候があるたびに、ベッドから飛び起きて圧倒されたセキュリティ・オペレーション・センター(SOC)を指差すことに慣れる前に、非難合戦はちょっと保留にしておこう。
組織内でこのようなことが起こることを望まない組織があるとすれば、それはSOCです。また、SOCが仕事の一環としてセキュリティ・アラートのノルマを課し、その達成状況を報告しなければならないほど、セキュリティの予防とアラートを優先させるという約束を、組織の最高責任者に押し付けている可能性も高い。アラートが攻撃とイコールでないことを考えれば、おかしなことである。
この問題の大部分は、あまりにも多くのセキュリティ・ベンダーが、アラートが解決策であると指摘することで、会場を熱気で満たしていることだ。そうではない。
答えを探す
Director of Security Researchネイサン・アインヴェクターは最近、次のようなインタビューに応じた。 セキュリティ・ブルバードコロニアル・パイプライン攻撃について、攻撃の背後にいるグループは「その洗練されたレベルと意図的でゆっくりとした進行でよく知られている」としながらも、攻撃で使用されたツールや戦術の中には特に目新しいものはなかったと述べた。
そして、これこそが本当に憂慮すべきことなのだ。使用されている手口は目新しいものではない。しかし、セキュリティチームは、より良いSOCサポートを提供することに焦点を当てるべきなのに、機能していないことがわかっている同じツールを活用することを期待されている。適切なサポートがあれば、検知と対応に対する全体的なアプローチを適切に調整することができるだろう。
真に前進し、狂気から脱却するためには、こうしたインシデントから学び、異なるアプローチを適用する必要がある。組織は、情報漏えいが起こることを想定すべきであり、そうなった場合、エンドポイント・アラートだけに頼って情報漏えいを阻止することはできないことを改めて証明することになる。Security Boulevardの記事で触れられているように、コロニアル攻撃の背後にいるグループは、その進行が遅いことで知られており、破壊的な攻撃を受けるまでに数週間から数カ月を要することが多い。
ハッカーがいつから内部にいたのかはわからないが、攻撃者がエンドポイントを遠隔操作し、アクセスを拡大するために横方向に移動し、情報を収集し、データを流出させ、あるいは彼らが到達しようと決意しているどんな目的に向かって作業しているのか。
既存の管理サービスを利用するための認証情報を盗むだけで十分な場合、彼らは騒々しいエクスプロイトを有線で送信する必要はないのだ。これらはすべて、SOCのサポートに帰結する。多くの場合、SOCは人員不足で環境に対する可視性が不十分であり、一般的に既存のツールから必然的に出てくるイベントの洪水を追跡するのに必要なリソースを持っていない。
SOCが失敗しているのは、インテリジェンスの欠如や努力不足のためではなく、組織が必要なリソースやサポートを提供していないためです。これには、1日に何千ものイベントを管理し、何とかして1つか2つの重大な問題を見つけることを期待されるような、標準的で破綻した運用方法から脱却するためのサポートも含まれます。緊急の問題に対処するためには、十分な時間とリソース(トレーニング、ポリシー、ツール)が必要だ。しかし、大きな問題が放置されればされるほど、このような警告的な話が頻繁に聞かれるようになるだろう。