Copilotと Microsoft Azureの新しいVectra AI Platformの適用範囲を紹介する。

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
Zero Day

ネットワークエッジ機器へのゼロデイ攻撃:NDRが重要な理由

2024年11月28日
Lucie Cardiet
プロダクト・マーケティング・マネージャー
ネットワークエッジ機器へのゼロデイ攻撃:NDRが重要な理由

Zero-day ネットワーク・エッジ・デバイスの脆弱性は、組織ネットワークに侵入する最も悪用されやすい手段の1つに急速になりつつある。ファイブ・アイズ同盟 (米国、英国、オーストラリア、カナダ、ニュージーランド)のサイバーセキュリティ機関が最近発表した勧告は 、この憂慮すべき傾向を浮き彫りにし、以前とは異なる変化を示している。今回初めて、最も悪用された脆弱性トップ 15 の大半が、ゼロデイとして最初に悪用されたものであり、これには Citrix NetScaler、Fortinet VPN、Cisco ルーターの重大な欠陥が含まれています。報告書によると、国家行為者と疑われるものを含む敵対者は、これらの脆弱性を利用して数千台のデバイスを侵害し、永続的なアクセスを獲得し、長期的な制御のためにウェブシェルを仕込んでいたことが明らかになった。

この急増は、攻撃者が新たに公開されたゼロデイ脆弱性を悪用してネットワークに侵入することを優先するという「新常態」を浮き彫りにしている。

ネットワーク検出とレスポンス (NDR) ソリューションの実装は、検知 、侵害後の活動を行い、これらの高度な攻撃に関連するリスクを軽減するために不可欠です。

エスカレートする脅威の状況

攻撃者は、組織ネットワークへの侵入口としてネットワーク・エッジ・デバイスに注目するようになっています。これらのデバイスは、信頼されたネットワークと信頼されていないネットワークの境界に存在することが多いため、魅力的な標的であり、これらのデバイスを侵害することで、攻撃者はネットワーク内部への足掛かりを得ることができます。

以下の例は、これらの重要なシステムを標的としたゼロデイ悪用の増加傾向を浮き彫りにしている:

  • Palo AltoZero-Days: 認証されていないリモートコード実行が可能な ため、攻撃者は事前の認証なしにファイアウォールを完全に制御することができます。
  • Ivanti (Pulse Secure)の不正アクセス:認証バイパスの脆弱性により、攻撃者に発見されずにネットワークに侵入される。
  • Citrix ADCのエクスプロイト:リモートコード実行の脆弱性により、企業環境において重大な侵害が発生。
  • SonicWallZero-Days: パッチ未適用の脆弱性が悪用され、安全なリモートアクセスデバイスが侵害されました。
  • フォーティネットの脆弱性致命的なゼロデイ欠陥が悪用され、フォーティネットのファイアウォールシステムが制御され、ネットワーク防御が損なわれました。
  • F5 BIG-IP の脆弱性:重大なリモートコード実行の脆弱性が悪用され、デバイスの管理者制御が可能となり、ネットワークが完全に侵害される可能性があります。
近年の主な脆弱性と情報公開の年表。
近年の主な脆弱性と情報公開の年表。

これらの事例は、信頼できるセキュリティ・デバイスでさえも負債になりうることを示している。攻撃者がこれらのシステムに侵入すると、セキュリティ機能を操作したり無効にしたりすることができ、従来の制御が効かなくなる。

危険なエッジデバイスの限界

従来のセキュリティ・ツールでは、ファイアウォールのような信頼されたデバイスから発信される悪意のある活動を、検知 。これらのデバイスはデフォルトで安全であると考えられているため、異常な動作に気付かない可能性があります。一旦侵害されると、これらのデバイスは組織全体をピボットするために堂々と使用することができ、攻撃者が活動をエスカレートさせるための強力なツールとなります。

ファイアウォールのようなネットワーク・エッジ・デバイスが侵害されると、ネットワーク・セキュリティの根幹が損なわれます。攻撃者は、セキュリティ機能を操作したり無効にしたり、設定を変更したり、デバイス内に保存されている機密データにアクセスしたりすることができます。例えば、CVE-2024-3400を悪用した後、攻撃者は以下のことが可能になりました:

  • ファイアウォールの設定をダンプするネットワーク・アーキテクチャ、IPアドレスの範囲、認証メカニズムに関する洞察を得る。
  • 認証情報の取得:ファイアウォールやリモートアクセスサービスは、ドメインやその他の組織サービスに対する特権クレデンシャルを保持していることがよくあります。これらの認証情報を抽出して特権の昇格に使用することで、攻撃者は重要なシステムに深くアクセスできるようになります。
  • ロギングとアラートを無効にする:セキュリティ通知を抑制することで検知を防ぐ。
CVE-2024-3400脆弱性の技術的な詳細、PAN-OSの各種バージョンへの影響、現在進行中のパッチ適用作業の緊急性についてお知りになりたい方は、Threat Briefingをご覧ください。

妥協後の活動:次に何が起こるか

ネットワークに侵入すると、攻撃者は通常、侵害後にいくつかの活動を行います:

1.偵察

攻撃者は、貴重な資産や重要なシステムを特定するために、内部ネットワークをマッピングします。ネットワーク・アーキテクチャを分析し、Active Directoryの構造を特定し、価値の高い情報を持つサーバーやデータベースをピンポイントで特定します。

SolarWinds社による攻撃では、攻撃者は偵察によって被害を受けた組織のActive Directory環境をマッピングし、標的となる特権アカウントや機密リソースを特定しました。

2.クレデンシャル・ハーベスティング

攻撃者は、特権をエスカレートさせ、ネットワークへのより深いアクセスを得るために認証情報を抽出する。これには多くの場合、保存されているパスワードをキャプチャしたり、クレデンシャル・ダンピング・ツールを活用したり、侵害されたシステムのコンフィギュレーションからクレデンシャルを盗んだりします。

洗練された脅威グループであるMidnight Blizzardは、phishing とmalware を使用して、高い特権を持つ認証情報を盗み出し、機密メールシステムやクラウド環境へのアクセスを許可した。

3.横方向の動き

攻撃者は、SMB、RDP、WinRMなどのプロトコルを使用してシステム間を移動し、組織内での足場を拡大します。攻撃者は、信頼関係や脆弱なアクセス制御を悪用し、価値の高い標的へと攻撃を広げます。

WannaCry ランサムウェア攻撃の際、攻撃者は SMB の EternalBlue 脆弱性を悪用し、ネットワークを横切って伝播し、多数のエンドポイントを感染させた。

4.データ流出

攻撃者は機密データを収集し、ネットワーク外に転送する。多くの場合、暗号化したり、自分たちの管理下にある外部サーバーに送信したりする。盗まれたデータは、恐喝に使われたり、ダークウェブで販売されたり、さらなる攻撃に活用されたりする。

Clopランサムウェアグループは、MOVEit Transferの脆弱性を悪用し、数百の組織から機密データを盗み出し、その後、この脆弱性を利用して、被害者を公衆の面前に晒すという脅迫で恐喝した。

5.永続性の確立

攻撃者は、侵害されたネットワークへの継続的なアクセスを維持するためにバックドアを作成します。この持続性には、ウェブシェル、malware インプラント、または操作されたアカウントが含まれます。

2023年、脅威者はCitrix NetScaler ADCアプライアンスのゼロデイ脆弱性(CVE-2023-3519)を悪用し、Webシェルを埋め込みました。これらのWebシェルは永続的なアクセスを提供し、攻撃者は被害者のActive Directory上でディスカバリを実行し、データを収集および流出させることができました。

ファイアウォールを悪用する場合、攻撃者は侵害されたデバイスを活用して複数の内部システムへの接続を開始し、ドメイン・コントローラ、バックアップ・データ保護キー、ユーザー・ワークステーションなどを狙います。

ネットワーク検知とレスポンス (NDR)の必要性

このような巧妙な攻撃を考慮すると、従来のセキュリティ対策だけに頼るのは不十分である。組織には、侵害されたデバイスを迂回したり、そこから発生したりする悪意のある活動を検出する、独立した包括的な手段が必要です。そこで重要になるのが、ネットワーク検知とレスポンス (NDR)である。

NDRが不可欠な理由

  • 独立した脅威検知:NDRは、エンドポイントセキュリティや侵害されたデバイスとは別に動作し、継続的な可視性を確保します。
  • 振る舞い 分析を行う:ネットワークトラフィックのパターンを分析することで、NDRは偵察、横移動、その他の悪意のある活動を示す異常を特定することができます。
  • 迅速な検知: Vectra AIのようなNDRソリューションは、高度な機械学習モデルを活用して、検知 、脅威をリアルタイムで検知し、攻撃者の隙を最小限に抑えます。
  • 包括的なカバレッジ NDRは、横移動の際に悪用されがちな東西(内部)通信を含む、すべてのネットワークトラフィックを監視します。

Vectra AIが侵害後の活動を検知する方法

Vectra AIプラットフォームは、侵害されたセキュリティ・インフラを回避または起源とする脅威を特定、調査、対応するために特別に設計されている。Vectra AIの Attack Signal Intelligenceは、高度な人工知能(AI)と機械学習(ML)を活用して、ネットワーク・トラフィックをリアルタイムで分析し、悪意のある行動の微妙な兆候を検知 。

当社のAttack Signal Intelligence :

  • 疑わしい管理者の動作: WinRM、SSH、RDPなどの管理プロトコルの異常な使用を検出します。ファイアウォールのようなデバイスが、突然、これらのプロトコルを使用して内部システムへの接続を開始した場合(以前は観察されなかった動作)、Vectra AI はこれを疑わしいものとしてフラグ付けします。
  • 疑わしいリモート実行PowerShell RemotingやPsExecなどのツールを使用したリモート実行活動を監視する。予期しないソースからのこれらのツールの使用における異常は、横方向の動きを示しています。
  • 特権アクセス分析:Kerberos認証パターンを分析し、サービスやホストへの異常なアクセスを検知 。侵害されたデバイスが、これまで接したことのないサービスやホスト、特に高い特権を必要とするホストにアクセスし始めた場合、Vectra AI はこれを潜在的な脅威として識別します。

事例:ファイアウォール悪用の検出

攻撃者がファイアウォールの脆弱性を悪用するシナリオの場合:

  • 異常トラフィックの検知:Vectra AIは、管理プロトコルを使用して内部システムへの異常な接続を開始したファイアウォールを検知 。
  • クレデンシャル不正使用の識別:重要なサービスにアクセスするために取得されたクレデンシャルが使用された場合、通常の認証パターンからの逸脱に基づいてアラートが発せられる。
  • AI主導 トリアージ: Vectra AIAI主導 トリアージは、検出された脅威を自動的にトリアージし、ノイズを低減し、最も重要なインシデントをハイライトして即座にレスポンス 、より迅速で効果的な調査を可能にします。
  • AI主導 優先順位付け:Vectra AIの優先順位付けにより、これらの重要な脅威はセキュリティ・チームの即時の注意を喚起し、迅速な対処が可能になります。ハイブリッド攻撃者がエンドポイントを超える方法に関するインフォグラフィックをご覧ください。

検出を超えて:迅速な対応の重要性レスポンス

検知は最初の一歩に過ぎない。脅威を封じ込め、被害を最小限に抑えるためには、迅速なレスポンス 。

Vectra AI のレスポンス 機能

  • 自動化されたアクション: Vectra AIは、侵害されたユーザーアカウントを自動的に無効にしたり、影響を受けたホストを隔離したりして、攻撃者が横方向に移動する能力を制限することができる。
  • セキュリティ・エコシステムとの統合:ファイアウォールやエンドポイントプロテクションプラットフォームなどの既存のセキュリティツールとシームレスに連携し、セキュリティポリシーを実施します。
  • 実用的な洞察:セキュリティチームによる調査と修復作業を支援するために、詳細なコンテキストと推奨事項を提供します。

Zero-day ネットワーク・エッジ・デバイスを標的とする攻撃は、重大かつ進化する脅威です。いったん攻撃者がこれらのデバイスを侵害すると、検出されずにネットワーク内を移動できるため、従来のセキュリティ対策は効果を発揮しなくなる。プロアクティブな対策だけでは不十分な場合もあるため、Vectra AI のようなNDRソリューションの導入が不可欠です:

  • 侵害後の活動の検出:最初の侵害の後に発生する悪意のある行動を特定します。
  • セキュリティの可視性の維持一次防御が侵害された場合でも、継続的な監視を確保する。
  • 迅速なレスポンス: 脅威を封じ込め、修復するための迅速なアクションを促進します。エッジを超えた脅威の先を行く。検知 、主要な防御が侵害された場合でも攻撃に対応する方法をご覧ください。

エッジを超えた脅威の先を行く。今すぐデモをリクエストして 、検知 、主要な防御が侵害された場合でも攻撃に対応する方法をご覧ください。

よくあるご質問(FAQ)