【英語版レポート】サイバー攻撃に関連するエンフォースメントとは、攻撃者の行為に対する対応であり、企業が明示したセキュリティポリシーに沿った状態に戻すことである。一般的な実施例としては、特定のIPへのトラフィックのブロック、ネットワークアクセスの制限によるデバイスの隔離、マシンの再フォーマット、アカウントアクセスのロックなどがある。
強制執行のオプションについて最も重要な検討事項のひとつは、その有効性である。結局のところ、サイバー攻撃への対応は、多くの場合、猫とネズミのゲームである。セキュリティ・チームのあらゆる行動が、攻撃者の反応を引き起こす。つまり、攻撃者がネットワークから追い出されたとしても、再び侵入を試みるということだ。セキュリティ・チームは、攻撃者の戦術の変化、攻撃のエスカレーション、新たな被害者ターゲットに備えなければならない。
加えて、攻撃者は常に自分の行動に対するフィードバックを瞬時に得ることができる。成功したかどうかがわかり、失敗してもすぐにリトライできる。守備側のチームはそれほど幸運ではなく、攻撃側の進捗状況をフィードバックすることはできない。
ホスト・ベースのエンフォースメントの利点
迅速かつ的確な実行のために、アナリストは通常、攻撃源に直接赴き、使用されているエンドポイントをロックダウンします。これにより、攻撃の範囲が限定され、SOCが攻撃を調査して阻止する時間が増えます。
しかし、このアプローチは通常、エンドポイントに何らかのエージェントや制御ソフトウェアがインストールされていることを必要とする。可能であれば、ホスト上でのエンフォースメントもアカウントベースのエンフォースメントと組み合わせるべきである。
アカウント・ベースの執行のメリット
現代のサイバー攻撃のほとんどが、インフラやデバイスではなくユーザーを標的にしていることは、もう広く知られている。多くの攻撃者は、複雑なエクスプロイトを使用する代わりに、phishing やアカウント乗っ取りによって認証情報を盗み、「正規の」ユーザーとしてログインすることで組織に侵入する。
これは、クラウド・リソースの利用がますます標準的になっていることと相まって、セキュリティ・チームが攻撃者のプレイブックを見習い、ネットワークやデバイスの代わりにユーザーに基づいて強制することを検討すべきことを意味する。言い換えれば、アカウント・ベースの強制を使うということだ。
実際、アカウントベースのエンフォースメントには、ネットワークやマシンベースのエンフォースメントに比べていくつかの利点がある。
第一に、アカウント・ベースのエンフォースメントは、単一のエンフォースメント・ポイントを作成する。攻撃者が侵害したアカウントを持っている場合、攻撃者が別のデバイスにピボットできるときには、ノートPCを再フォーマットしても役に立たない。このように、アカウントベースのセキュリティ対策は、組織がサービスやインフラを所有していないクラウド環境やハイブリッド環境でも有効です。また、漏洩したアカウントを持つ従業員を装った攻撃者による横の動きも制限できる。
また、アカウントベースの強制は、外科的で正確です。強制は、侵害されたユーザーのアカウントにのみ影響する。ネットワークに変更を加える必要はありません。ブラックリストを更新する必要もありません。
最後に、組織構造にもよるが、アカウントベースの実施によって IT 部門との責任分 担をより明確にすることができる。IT 部門がユーザ・アカウントを所有している企業では、セキュリティ・チームが IT 部門と連携して、ユーザ・アカウントの管理や攻撃後のアクセス回復の作業負荷を分担することができる。
執行の種類
施行には通常、自動と手動の2つのモードがある。
自動エンフォースメントとは、人間の介入なしに発動されるアクションのことで、多くの場合、事前に定義されたリスク閾値や資産またはアカウントの権限など、一連の基準を満たした後に発動される。
手動による強制は、セキュリティスタッフがアクションを起こす必要がある。自動または手動のどちらか、あるいは両方を組み合わせて実施することには、やむを得ない理由があります。以下では、両タイプの留意点を説明します。
自動執行に関する考慮事項
セキュリティ・チームは、自動的な実施に難色を示すことが多いが、それが役に立つ正当な使用例もある。
自動実行は、横への広がりを抑え、リソースが不足しているセキュリティチームにインシデントを調査する時間を確保するために有用である。また、一時的なツールとしても有用であり、特に、24時間体制で即座に調査できるセキュリティ要員がいない組織には有効である。
インシデントがすでに調査中である場合、自動エンフォースメントは、インシデント対応担当者が複数の被害者に一貫したセキュリティ・ポリシーを適用するのに役立つ。あるいは、インシデントがベストプラクティスが確立された既知の攻撃である場合、セキュリティチームは自動エンフォースメントを使用して、承認された修復手順に迅速に従うことができる。例えば、所定の復旧手順を伴う既知のランサムウェア攻撃がその例である。もちろん、このシナリオでは、既知の攻撃または攻撃者であることを確認するために、信頼性の高い診断が必要です。
自動的な強制アクションにより、攻撃者がキルチェーンの次のフェーズに進むのを阻止することができます。この場合、強制措置は特定の攻撃者の活動とアカウントに外科的に適用され、さらなるリスクを低減します。
要するに、自動的な強制捜査は、適切に適用されれば、悪い状況が悪化するのを防ぎ、セキュリティ調査の時間を稼ぐのに役立つのである。
マニュアルの実施に関する考慮事項
手動で実施する場合、人間が最終決定を下し、行動を起こす必要がある。同じアラート、情報、フォレンジックにアクセスできるのであれば、なぜ人間が「ボタンを押す」のを待つのか?
ほとんどの場合、タイミングが重要な違いだ。
アクティブなサイバー攻撃に即座に対応しないことには利点がある。また、自動エンフォースメントは指定された時間後にトリガーされるように設定することもできるが、手動エンフォースメントでは時間の制約がない。
手動による強制を使用する際の重要な検討事項の1つは、攻撃を放置してより多くの情報を得ることである。多くの場合、セキュリティチームは、攻撃者に発見されなかったと思わせることで、追加データを収集することができる。
実際、ある種の情報は、攻撃者の行動を長期間観察して初めて得られるものだ。攻撃者は他にどんなツールや戦術を使っているのか?どのようなデータを狙っているのか、どこから流出しているのか。攻撃を調査するには、時間が必要であり、攻撃者がネットワーク内である程度の「自由裁量権」を持つ必要がある。
また、行動を起こしたり、起こすのが早すぎたりすると、攻撃者は戦術を変えてくることも忘れてはならない。そのため、慎重に行動を起こす必要がある。手動による実施によって、セキュリティチームは攻撃者の行動に基づいて動的に意思決定を行う柔軟性を得ることができる。また、より多くのデータポイントを蓄積し、フォレンジックを相関させることで、チームはより信頼性と精度の高い対策を実施することができます。
最後に、手動による実施により、セキュリティチームはより外科的な精度で行動できるようになります。同じようなケースのすべてに同じアクションを適用するのではなく、特定のユーザに対して選択的にアクションを実行することで、ユーザへの影響を最小限に抑えることができます。例えば、大量のパスワードリセットの代わりに、特定の地理的位置の従業員だけに新しい認証情報が必要になるかもしれない。
安心して実施するための条件
自動エンフォースメント、手動エンフォースメント、またはその両方の組み合わせのいずれを使用するかに関係なく、エンフォースメントが解決するよりも多くの問題を発生させないようにするためには、特定の要因を整備する必要がある。攻撃者はエンフォースメントのアクションによって戦術を変えることを念頭に置き、効果的なエンフォースメントは、最終的に攻撃者を組織から排除し、寄せ付けないようにする必要がある。以下は、心配のないエンフォースメント・ソリューションのための重要な基準である。
自信がカギ
自信を持って実施するためには、判断の根拠となるセキュリティ情報が正確であることを確信する必要がある。つまり、検知は、正確なデータポイントを集約する忠実度の高いシステムに依存しなければなりません。脅威の種類、リスクレベル、確実性などの詳細を把握することは、正確な実施決定を行う上で極めて重要です。また、ファイアウォールや SIEM などの他のセキュリティツールからの情報を関連付けることができれば、信頼性と精度が向上します。
必要なエリアをすべて実施する
ほとんどの企業は、クラウド、自社構内、またはパートナーのインフラストラクチャの両方にデータを保有しています。また、企業のセキュリティ・スタックには、エンドポイント検出ツール、ネットワーク・アクセス制御、ファイアウォールなど、さまざまなテクノロジーが含まれています。オンプレミス、ハイブリッド環境、複数のテクノロジーなど、企業インフラ全体にわたって適切なアクションを実行できる集中アカウントシステムを備えたエンフォースメント・ソリューションを検討してください。
パートナーや請負業者のアカウントを保護し、強制するソリューションは、それらのアカウントが攻撃の標的になることも防ぐ。
簡単にする
強制措置の種類も重要である。アカウントベースのエンフォースメントのように、正確で確実な影響を与えることができるエンフォースメントアクションを選択する。ブラックリストやTCPリセットのようなネットワークベースのエンフォースメントとは異なり、アカウントベースのエンフォースメントは効果的で正確であり、他部門に不必要な作業を発生させない。
Vectra ロックダウン施行の導入
ロックダウンは、セキュリティ担当者がVectra AI Platform から直接、自動および手動による強制を可能にします。特権スコア、アカウント脅威スコア、アカウント確実性スコアのしきい値の組み合わせを使用して、特定のアカウント、ホスト、クラウドワークロードをロックダウンします。セキュリティ管理者は、これらのしきい値やロックダウンの継続時間を設定できます。
セキュリティ・オーケストレーションおよびレスポンス (SOAR)パートナーとの統合(Vectra )を通じて、他の実施オプションも利用できる。
Vectra AIプラットフォームは、検知 、サイバー攻撃に対応するための最速かつ最も効率的な方法であり、攻撃者を確実に追い出し、企業環境から締め出す。
世界中の専門家や企業から信頼されています
