ソーラーウインズの情報漏えい事件とネットワーク検知とレスポンス (NDR) の事例

2021年1月21日
マルク・ゲマスマー
チーフ・レベニュー・オフィサー
ソーラーウインズの情報漏えい事件とネットワーク検知とレスポンス (NDR) の事例

大規模な攻撃や情報漏えいが起こるたびに、責任のなすりつけ合いが起こる。たいていの場合、その責任は、自由に使える時間とリソースで可能な限りのことをしているセキュリティチームの肩にのしかかる。しかし、責任追及は非生産的です。それよりも、攻撃が発生した経緯と理由を理解することが、組織のセキュリティ対策とセキュリティ運用管理の方法を進化させることにつながる。

例えば、最近発生し、現在も進行中のSolarWinds社の情報漏えい事件を考えてみよう。この侵害は、多要素認証 (MFA)、ネットワーク・サンドボックス、エンドポイント検知・レスポンス (EDR) といった典型的な防止ツールをすべて回避しました。これらの攻撃者は、悪意のある行動を実行するために正当なツールを活用し、効果的にすべての予防措置を無意味にしました。

一旦侵入されると、攻撃者は複数の通信チャネル、フェーズ、ツールを使用し、双方向のハンズオン・キーボード・コントロールを確立した。各フェーズでは、侵入検知システム (IDS) ツールのシグネチャ、エンドポイント検知およびレスポンス (EDR) 、手動による脅威ハンティング、さらには機械学習ベース (ML) の一般的な検知アプローチさえも打ち負かすテクニックを駆使し、検知の可能性を最小限に抑えるよう設計されていた。

SolarWindsのサプライチェーン攻撃:クラウド、Office 365を主な標的としたステルスかつ巧妙な侵害

SolarWindsのサプライチェーン攻撃は、攻撃者とデータセンター内の信頼できる特権的なインフラコンポーネント、すなわちSolarWindsとの間に、秘密かつ信頼できるコマンド&コントロール (C&C) チャネルを確立することを目的として計画されました。この侵害されたチャネルはゲートウェイとして機能し、攻撃者に初期特権アカウントと攻撃を進めるためのピボットポイントを与えました。目標を達成するために、攻撃者は複数の通信チャネルを使用し、さまざまなフェーズを実行し、さまざまなツールを利用して、インタラクティブなハンズオン・キーボード・コントロールを獲得しました。各フェーズでは、侵入検知システム (IDS) ツールのシグネチャ、エンドポイント検知およびレスポンス (EDR)、手動による脅威ハンティング、さらには機械学習ベース (ML) の一般的な検知アプローチを回避するテクニックを採用し、検知の可能性を最小限に抑えるよう綿密に設計されていました。

> SolarWinds Supply chain攻撃の詳細な分析については、脅威レポートをお読みください。

以下は、最初のバックドアから始まり、クラウド環境内での永続的なアクセスの確立に至る攻撃の進行の概略である。特に、Microsoft Office 365/email を標的とすることに重点を置いており、これが主要な目的であったと思われる。Vectra IoC (Indicator of Compromise) やシグネチャに依存しないAIのカバレッジは、最初のC&Cチャネルが確立されるとすぐに威力を発揮する。SolarWindsサーバーで直接観測された行動の組み合わせにより、横方向の動きが発生する前から「クリティカル」に分類され、早期の封じ込め対策が可能になりました。攻撃が進行した場合、クラウド、特にOffice 365をターゲットに攻撃が拡大しても、追加の検知により、後続の各フェーズを包括的に可視化できます。

ソーラーウインズのサプライチェーン攻撃の概要
ソーラーウインズのサプライチェーン攻撃のHDインフォグラフィックスをダウンロード。

従来のセキュリティソリューションの限界を露呈:SolarWindsの情報漏えい事件とネットワーク検知とレスポンス (NDR) の必要性

SolarWindsのOrionハッキング(別名SunburstまたはSolorigate)は、AIを活用したネットワーク検知とレスポンス (NDR)の必要性を明確に浮き彫りにした。予防的なセキュリティ対策やエンドポイント管理はハードルを上げるが、それだけでは不十分である。レガシーのシグネチャベースの侵入検知システム(IDS)は、侵害の指標(IoC)がまだ存在しない新しい攻撃を検知するには効果がないことが再び証明された。

SolarWindsの攻撃者は、ネットワーク・サンドボックス、エンドポイント・セキュリティ、多要素認証 (MFA)などの予防的制御を回避するために、多大な努力と専門知識を発揮しました。その手口は以下のとおりです:

  • サンドボックスやmalware 分析環境にないことを確認するため、広範なチェックを実施。
  • コード署名と正当なプロセスを利用して、一般的なエンドポイント制御を回避する。
  • Command and Control (C&C)ビーコンを配布しながら、ファイルベースの解析を回避するための新しいインメモリドロッパーを実装。
  • 盗まれた SAML(Security Assertion Markup Language)セッション署名鍵を使用したMFA 迂回

エンドポイントの制御を回避するために必要なスキルと集中力のレベルは、エンドポイントの検知とレスポンス (EDR) の進歩を浮き彫りにしています。しかし、これは同時に、決意の固い洗練された敵は、予防的なエンドポイント制御を迂回する方法を常に見つけることができるということを思い起こさせるものでもあります。

この種の攻撃を効果的に防御するには、ネットワーク検知とレスポンス の活用が極めて重要である。この文脈では、ネットワークはエンドポイント以外のすべてを包含する。Vectra AI このアプローチは、IoC やシグネチャ、その他のモデル更新には依存しません。その目的は、Sunburst/Solorigate/SolarWinds のような攻撃を重大な被害が発生する前に特定し、阻止することです。

ソーラーウインズの情報漏えい事件が明確に示しているように、従来のセキュリティソリューションは不十分であり、攻撃者による操作の影響を受けやすい。IDSはシグネチャに依存しているため、セキュリティアナリストが攻撃を検知・防止するには、攻撃に関する知識とシグネチャを保有していなければなりません。同様に、EDRはエンドポイントには有効だが、ソーラーウインズの侵害のようなネットワークベースの攻撃には適切に対処できない。ベンダーが採用している追加の機械学習 (ML) ベースの検知技術でも、十分な防御を提供できない場合があります。組織は、セキュリティ情報イベント管理 (SIEM) システムや同様のツールを導入しているかもしれないが、その有効性は、受信したデータの品質と可用性に依存している。データが侵害されていたり、存在しなかったりすると、SIEMの目的は損なわれてしまいます。SIEMに正確で適切なデータを供給することが極めて重要です。

このようなサイバー攻撃を検知し、対応するためのアプローチを変更する準備ができており、Cognitoが攻撃者のツールやエクスプロイトをどのように見つけることができるかを詳しく知りたい場合は、Vectra でデモを予約してください。

よくあるご質問(FAQ)