永遠に続く標的型攻撃とのいたちごっこ
最近の中国ハッカーによるイギリスのエンジニアリング会社に対する標的型攻撃では、ロシアの戦術が使用されていました。エフセキュアのプリンシパルセキュリティコンサルタントであるTom Van de Wiele(トム・ヴァン・ドゥ・ウィーレ)は、その理由を尋ねられるとすぐに回答しました。
「その戦術が有効ならば、互いの戦術を利用するのが国民国家なのです。」
ほぼすべての再利用攻撃がオンライン犯罪者を利することになります。犯罪者が国民国家の支援を受けているかどうかにかかわらず、これが現実と言わざるを得ません。
「攻撃者がお互いの戦術を盗用することができ、それによりコストが下がり、攻撃がより効果的になるなら、彼らは躊躇なくそうするでしょう。」とTomは述べています。それに加えて、攻撃を否認すること自体がもっともらしくなり、少なくとも犯人が誰かという点ではさらに混乱を招くことになります。そして、攻撃手法の盗用は攻撃者の手口の一部に過ぎないことに気付くはずです。」
唯一の目標が、成功の可能性を高め逮捕される可能性を減らすことであれば、実用面でのあらゆるメリットが求められます。
「もちろん、特定の手法が他の手法よりも好まれることになります。」とTomは述べています。
たとえば、攻撃者は仲間とインフラストラクチャが管轄国に引き渡されるようなことがない国に留まることを好むでしょう。引き渡されると攻撃の検出はしやすくなります。「しかし、攻撃が誰に帰属しているか調べることは常に困難です。」
Tomは攻撃と防御戦術の絶え間ない攻防を「永遠に続くいたちごっこ」と呼んでいます。それでは、どのようにしてこれらの国民国家による攻撃から防御すればよいのでしょうか。あなたのネットワークは、ずる賢い猫に食べられるのを待っているだけの従順なねずみではないでしょうか?
「防御方法は標的型攻撃に対する方法と何ら変わりはありません。」
それはどのようなものでしょうか?Tomがどの組織にも推奨している手順は次のとおりです。
脅威モデル(または少なくとも最悪のシナリオのリスト)を作成する
「すべてを守ることはできません。それぞれに重要度が異なります。」とTomは述べています。「今日の攻撃を見て、優先リストが何であるかを調べ、適切なステークホルダーと ‘what ifs(もし~だったらどうなるか)’についてと、それらがあなたのビジネスにどのように影響するかについて話し合いを始めてください。」
Tomはこのビデオでの話の中で、攻撃者の身になって思考し行動することがどれほど役立つかを説明しています。あなたの組織は、どの脅威に焦点を当てるべきでしょうか。それを知るうえで必要となる防御思考の感覚を得るためにこのビデオを見てチェックしてください。
標的型攻撃を検出して対応する
「標的型攻撃を阻止することはできませんが、敵に検出可能なミスを強いることは可能です。検出ポイントが正しい領域に設定されていることを確認し、ログの詳細がインシデントを処理するのに十分なレベルにあることを確認してください。」
エンドポイント保護は必要不可欠です。(英語)しかし、標的型攻撃から保護するには必ずしも十分ではありません。エフセキュアのBroad Context Detection™(英語)は、ネットワーク上のすべての関連イベントで必要な可視性を提供するように設計されています。
侵害を予想する
いつ攻撃されるかは問題ではありません。問題は、その時準備ができているかどうかです。
「必要な危機管理とインシデント対応のシミュレーションを実行して、アイデンティフィケーション、封じ込め、およびその他のアクションや変更に関して、いつ、何を、どのように、誰によって適切な行動をとるべきかを確認してください。」とトムは述べています。
「あなたの防衛戦略は、通常の人以外にはクリックさせないとか、誰かをあなたのオフィスビルに入れさせないなどという考えに基づくべきではありません。それらはどちらも起こり得ますし、監視と警告のプロセスやメカニズムを通じて状況を知るべきことです。」
予防
「ほとんどのマルウェアはEメールを介して侵入します。Eメールの受信を許可された従業員全員が、重要な資産や知的財産が含まれている基幹ネットワークに接続する必要がありますか?」
2018年初めに刊行されたエフセキュアのインシデントレスポンスレポート(英語)によると、侵害の34%はフィッシングや悪意のあるEメールの添付ファイルによるものでした。
Tomは「基幹とそれ以外のドメインを分離し、関連するすべての問題箇所を確実に検出する」ことを推奨しています。「インターネット上の未知の関係者からの添付ファイルは本当に受信すべきでしょうか?従業員が添付ファイルの受信を予定している社外の人々と確実にファイル交換できるように、会社が管理するシステムを使用したファイル交換方式を構築することが可能ですか?」
彼はさらに補足します。「何名の従業員が、突然、会社のドメインにリンクしていない人からMS Officeの添付ファイルを受け取った経験がありますか?非常に少ないでしょう。今日では、費用対効果の高い方法で管理および監視できるファイル共有サービスが利用可能です。一部の部署では、これらのサービスを必要以上に使っている場合もあります。」
意識向上を伝え広める
サイバー犯罪者は、攻撃の成功率を高めるために、ユーザ心理に関する知識を悪用します。(英語)したがって、最もだまされやすいと思われる攻撃手法についてユーザを教育することで、その効果を弱めることができます。
「従業員に対して、彼らの責任と、日々の仕事で使用している技術に関する心得について周知徹底してください。」とTomは語っています。「標準化されたテストと、レッドチーム演習を実施することで、あなた自身の防御に関して定期的にテスト結果が得られます。その結果を引き合いにして、従業員と一緒に議論しましょう。」
これらの戦略は独自のものではなく、世界中で最も防衛能力の高い企業が実践しています。そして攻撃者がいかに有利であるかという点を考慮すれば、自分自身のためにこれらの戦略を取り入れたいと思われることでしょう。
Categories
Leave a comment
Posting comment...