今回は、中国が関連するサイバー脅威グループである Salt Typhoonが電気通信インフラプロバイダーに対して行っている悪質なサイバー活動について取り上げます。最近の報告によると、Salt Typhoonが世界の主要な電気通信事業者のネットワークに侵入し、広範かつ重大なサイバースパイ活動を行っているとのことです。
これに対応して、サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) は、国家安全保障局 (NSA)、連邦捜査局 (FBI)、および国際パートナーと連携して、ネットワークエンジニアと防御者がE可視性と強化方法を改善できるように、通信インフラストラクチャの可視性と強化を強化するためのガイダンスを発行しました。このガイダンスは、悪用試行に対する露出を減らし、ネットワークデバイスの全体的なセキュリティ体制を強化することを目的としています。
通信事業者攻撃の重要性
通信ネットワークは現代社会の生命線であり、個人のコミュニケーションを可能にし、国家安全保障活動をサポートし、世界的な経済活動を維持しています。これらの重要なインフラストラクチャを標的にすることで、Salt Typhoonとして知られるPRC関連の脅威グループは、政府機能、商業、日常生活における通信事業者の中心的な役割を悪用します。通信事業者への直接攻撃を通じて、Salt Typhoonは次のことを行うことができます。
- 機密通信を傍受:音声通信やデータ通信にアクセスすることで、政府の活動や企業の戦略、個人情報などに関する貴重なインテリジェンスを得ることができる。
- 必要不可欠なサービスの中断:通信インフラが侵害されると、広範囲でサービスが停止し、経済、治安、緊急事態(レスポンス )に影響を及ぼす可能性がある。
- 長期的なスパイ活動基盤を確立する: 永続的なアクセスにより、継続的な監視、データの流出、長期にわたる通信操作の可能性がある。
これらの行為は、国家安全保障の弱体化、経済枠組みの不安定化、通信システムに対する国民の信頼の低下など、深刻な影響を及ぼします。Salt Typhoonの活動は、国家が支援するサイバースパイ活動によく見られる目的と一致しています。
- 戦略的情報収集:政治的・経済的優位を得るために、機密情報、企業秘密、戦略的通信手段を入手すること。
- 技術的レバレッジ:知的財産や機密データを盗み、研究開発費をかけずに国内の技術力を高めること。
- サイバー戦争への備え: 通信をコントロールすることで戦略的に大きな優位に立つことができる、将来の潜在的な紛争に備えるため、重要なインフラに組み込む。
- 影響と操作:誤報キャンペーン、スパイ活動、制度に対する国民の信頼を弱めようとする試みを支援するために、通信を監視したり、あるいは改ざんしたりすること。
Salt Typhoon は通信分野に重点を置くことで、その影響範囲を単一の分野にとどまらず拡大し、その影響力を増幅させ、潜在的影響の深刻度を高めています。この広範なアプローチにより、世界中の重要な通信システムに対する脅威が増大しています。
次の一手Salt Typhoon
Salt Typhoonの攻撃的な戦術と範囲の拡大を考慮すると、次のようなことが考えられます。
- エネルギー、金融、医療、運輸など他の重要インフラ部門にも攻撃を拡大する。
- より高度なマルウェア、ルートキット、ゼロデイ・エクスプロイトを開発し、検出されずに長期的なアクセスを維持する。
- サードパーティのベンダーや請負業者を標的にしてサプライチェーンの脆弱性を悪用し、追加のネットワークに侵入してマルウェアを拡散します。
- 漏えいしたデータを戦略的利益や恐喝に活用したり、さらなる標的型攻撃を仕掛けたりする。
組織はこうした潜在的な動きを予測し、それに応じてサイバーセキュリティ態勢を強化しなければなりません。
CISAからの主な提言
最新の CISA ガイダンスは、予防策と検知策の両方が強調されています。組織は、可視性、監視、構成管理、セグメンテーション、安全なプロトコル、アクセス制御、ベンダー固有の強化手法に関連する推奨アクションを実装する必要があります。
1.可視化とモニタリングの強化
Salt Typhoon攻撃者は、通常のネットワーク・トラフィックの中に潜み、ステルス的な侵入方法を駆使しています。可視性と監視を向上させることで、防御者は早期に検知 、不審な横の動きを特定し、攻撃者が足場を築く前に迅速に対応することができます。
CISAの提言
- ネットワーク デバイスの構成変更を綿密に精査し、包括的なアラートを実装して不正な変更を検知する。
- 強力なフロー監視ソリューションを採用し、暗号化された集中ログを確保し、ログデータを安全に保存する。
- パケットキャプチャ機能を 統合し、正常なネットワーク動作をベースラインとして、 検知する 。
Vectra AIのアライメント:
Vectra AIのAttack Signal Intelligence は、ホスト、アカウント、ワークロードを含む攻撃範囲全体にAI主導の動作検出および相関技術を適用します。脅威検知にエンティティ中心のアプローチを使用することで、Vectra AIはセキュリティ チームにネットワーク アクティビティとユーザーの動作に関する包括的な可視性を提供します。
これは、視認性と監視を強化するために推奨されるプラクティスと一致しています。
- イベントの関連付けと優先順位付け:統合アナリティクスを活用し、ルーター、ファイアウォール、エンドポイントなど、さまざまなソースからの一見良性に見える指標を、首尾一貫した優先順位付けされた脅威シナリオに結び付けます。
- セキュリティ運用の強化:SIEMツールとシームレスに統合し、ログとアラートにコンテキストを付加することで、ノイズを減らし、より効率的なトリアージと調査を可能にします。
- レスポンス 時間を短縮:敵対的な行動をリアルタイムで検出して追跡することで、攻撃者が足掛かりを築いたり、重大な損害を引き起こしたりする前に、セキュリティ チームが迅速に行動できるようにします。Vectra AIは、深く継続的な可視性とコンテキストに基づく洞察を提供することで、組織がCISAとそのパートナーによって概説されたガイダンスに準拠できるように支援し、監視システムがSalt Typhoonのような高度な脅威グループが使用する戦術や手法を効果的に検知、調査、対応できるようにします。
2.システムとデバイスのハードニング
Salt Typhoon 攻撃者は、パッチの適用されていない脆弱性、脆弱な設定、安全でない管理ネットワークを利用しています。システムおよびデバイスを堅牢化することで、攻撃者が既知の脆弱性を悪用する能力を低下させ、侵入が成功した場合の影響を抑えることができます。
CISAの提言
- データフロー・ネットワークから物理的に分離した帯域外管理ネットワークを導入する。
- デフォルト拒否のアクセス制御リスト(ACL)と、VLAN、DMZ、レイヤー防御構造を使用した厳格なセグメンテーションを実施する。
- VPNには信頼できる暗号方式を利用し、不要なサービスは無効にする。
- ベンダーのパッチを定期的に適用し、堅牢な変更管理プロセスに従い、安全なパスワードポリシーを遵守する。
Vectra AIのアライメント:
組織が強化された構成を適用すると、Vectra AI はネットワーク セグメントを継続的に可視化し、従来の防御を回避する可能性のあるラテラル ムーブメントの試みを検出します。このソリューションの高度な分析機能は、悪意のあるアクセスや権限の昇格によって引き起こされる動作の逸脱を識別するのに役立ち、オペレーターが強力なセグメンテーションを維持し、厳格なアクセス ポリシーを適用できるようにサポートします。
3.プロトコルおよび管理プロセス
Salt Typhoon は、安全でないプロトコル、脆弱な認証、管理が不十分な管理者の資格情報を利用して、ネットワーク内で攻撃を行います。プロトコルと管理プロセスを強化することで、攻撃者が権限を昇格して重要なインフラストラクチャを通過する能力を制限できます。
CISAの提言
- デバイスの管理を、信頼できる専用の管理ワークステーションに制限する。
- 管理トラフィックのインターネットへの露出を無効にするか、制限する。
- 管理プロトコルには、強力な暗号化と最新の暗号アルゴリズムを使用する。
- 役割ベースのアクセス制御(RBAC)および認証、認可、アカウンティング(AAA)フレームワークを使用する。
Vectra AIのアライメント:
Vectra AIプラットフォームは、疑わしい認証イベントを検知し、管理プロトコルの異常や予期しないアカウント アクティビティをオペレーターに警告できます。これにより、強力なアクセス制御が補完され、ネットワークデバイスを管理しようとする悪意のある試みがフラグ付けされ、タイムリーに調査されるようになります。
4.Cisco固有のガイド
Salt Typhoon がCisco固有の機能やデフォルトを悪用していることが確認されています。Ciscoがターゲットとするハードニングの推奨事項を適用することで、敵対者がベンダー固有の機能を悪用し、持続的なネットワークアクセスを獲得する機会を減らすことができます。
CISAの提言
- 必要なければ、Cisco固有の機能(スマートインストールなど)を無効にする。
- 安全なウェブ管理設定を実施したり、不要なウェブサービスを無効にする。
- 安全なパスワード保管メカニズム(Type-8など)を採用し、TACACS+の鍵が暗号化されていることを確認する。
Vectra AIのアライメント:
ネットワーク防御者が Cisco 環境を強化するにつれて、Vectra AI は、以前に確認された中華人民共和国関連の脅威動作を示す悪意のあるパターンの導入を継続的に監視します。このテクノロジーはベンダー固有のベストプラクティスを補完し、強化の取り組みを適用した後に表面化する可能性のある疑わしいアクティビティの検出に役立ちます。
5.インシデント報告とセキュア・バイ・デザイン
Salt Typhoonの攻撃は、対応の遅れと安全でない製品によって助長されます。迅速な報告により、政府機関は進化する脅威を追跡して対応することができ、また、設計段階からのセキュリティ原則により、侵入の複雑さとリスクが最初から軽減されます。
- 不審な行動を適切な当局(FBI、CISA、外国のカウンターパートなど)に報告する。
- セキュアバイデザインの原則を採用し、ベンダーやサプライヤーにセキュアバイデフォルト設定を要求する。
Vectra AI は、強化された可視性と堅牢な検知機能を提供することで、組織のより広範なインシデント対応プロセスをサポートします。早期検知は、滞留時間を最小限に抑え、敵対者の活動の影響を軽減することで、設計段階からのセキュリティの原則と一致します。さらに、ソリューションの洞察は証拠収集をサポートし、当局へのタイムリーな報告を促進します。
Salt Typhoonが通信インフラを標的にしていることは、通信インフラの可視性と強化に関するガイダンスで概説されている包括的な対策を採用することの重要性を強調しています。ネットワーク エンジニアと防御者は、セキュリティ体制を改善し、敵対者の侵入の機会を減らすために、これらの推奨事項を実装する必要があります。
これらの推奨事項に沿ったセキュリティ ソリューションを統合することで、防御がさらに強化されます。Vectra AIの機能は、可視性の向上、イベントの相関関係の合理化、悪意のあるアクティビティを示す動作異常の検知によって、CISA のガイダンスを補完します。厳格な強化プラクティス、設計段階からのセキュリティの原則の順守、および Vectra AI などの高度なテクノロジーを組み合わせることで、組織は PRC 関連およびその他の悪意のある脅威グループによってもたらされる進化する脅威から重要なインフラストラクチャをより適切に保護できます。
Vectra AI Platformを実際にご覧になりたい場合は、セルフガイドツアーに参加するか、カスタムデモをリクエストしてください。