特権の昇格

攻撃者がどのように特権認証情報を使用するかを理解する

攻撃者は特権認証情報を活用してネットワークやクラウド内を横方向に移動し、脆弱なセキュリティ制御やアプリケーションの脆弱性を悪用します。防御者は、悪意のある活動をプロアクティブに監視し、攻撃者を追跡し、特権アカウントと設定を保護するための予防策を講じることができます。

攻撃者が特権認証情報を手に入れると、マルウェアを使ったりアラームを作動させたりすることなく、ネットワークやクラウドのさまざまなリソースにアクセスできるようになります。厳格な特権レベルを強制することは有効ですが、最近の攻撃は、それが依然として大きな課題であることを示しています。

盗まれた認証情報の悪用問題に対処するには、悪用が起こっているときに検知 することが重要です。しかし、攻撃者は必ずしも新しいものでも疑わしいものでもない正当な権限やアクションを使用することで紛れ込むことができるため、これは容易ではありません。このような動的な環境では、新規または異常な行動のアラートに頼るだけでは効果的ではありません。

認証情報の悪用を効果的に特定して対処するには、セキュリティ主導のアプローチが必要です。 このアプローチでは、攻撃者が盗んだ認証情報を使用して実行しようとする特定のアクションを考慮します。 その目的を理解することで、特権認証情報の悪用をより適切に検知し、防止することができます。

特権認証情報の乱用の検知

Vectraは、ネットワーク環境とクラウド環境の両方で、盗まれた特権認証情報の悪用を特定できます。このセキュリティ主導の検知アプローチの中核となるのは、攻撃者が盗んだ認証情報を使って何を行うかを理解することです。 攻撃者にとっての特権認証情報の価値は、環境内で高価値とみなされ特権が与えられているサービスや機能にアクセスできることです。

Vectra のセキュリティリサーチャーは、すべてのアカウント、ホストマシン、サービス、クラウド操作の実際の権限を知っていれば、存在するすべての高価値リソースのマップを取得できることを特定しました。付与された特権の概念は十分に確立されていますが、この表現は、必要最小限の特権と比較して、何かの真の特権がどのようなものであるかについての上限を提供します。代わりに、Vectra のセキュリティ研究チームとデータサイエンスチームは、長期にわたって観察された内容に基づいて、環境内のシステムの価値を表す新しい方法を特定しました。 この動的で根拠のあるバリューは、観察された特権と呼ばれます。このデータベースの権限ビューにより、手動構成を必要とせずに認証情報を使用するための効果的なゼロトラストアプローチが提供されます。

アクセスパターン解析による特権評価の再定義

VectraのAIは、IT管理者によって定義された権限ではなく、追跡されたエンティティ間の過去のやり取りを考慮して、観察された権限を計算します。 アクセスと使用の幅広さと具体性がスコアに大きく影響します。 通常は他のシステムがアクセスする複数のシステムにアクセスするシステムの特権は低くなりますが、他のシステムがアクセスしない多数のシステムにアクセスするシステムの特権スコアは高くなります。 このアプローチにより、Vectraはドメイン管理者アカウントと通常のユーザー アカウントを区別できるようになります。

観測された特権スコアが計算されると、アカウント、サービス、ホスト、クラウド操作間のすべてのやりとりがマッピングされ、システム間の通常の履歴インタラクションが理解される。次に、特権スコアを考慮した教師なし学習アルゴリズム群により、特権乱用の異常事例を特定します。このとき、カスタム異常検知アルゴリズムと、ノイズを含むアプリケーションの階層的密度ベース空間クラスタリング (HDBSCAN) の実装が使用されます。

この高度なセキュリティ主導のアプローチの結果、クラウドとオンプレミスネットワークの両方で悪用される盗難された認証情報を特定できるようになります。 観察された特権メトリクスは、重要な異常なアクションの検知に焦点を当てており、この重要な観点を無視するアプローチよりも高い精度と再現率の両方を可能にします。

‍

特権の昇格を防止することは、安全で回復力のあるサイバーセキュリティ体制を維持するために不可欠な要素です。Vectra AIは、特権昇格の検知、防止、対応を支援する高度なソリューションを提供し、組織のデジタル資産の保護を確実にします。高度なサイバー脅威に対する防御を強化するために、当社がどのように支援できるかについては、当社にお問い合わせください。