ハッカーはもはやファイアウォールを破っていません。盗まれた認証情報でログインしているだけです。つまり、あなたのアイデンティティシステムが新しいセキュリティ境界なのです。
「古い」方法
「昔のことについて考えると…それは昔なのだ」- スリム・チャールズ『The Wire』
指定されたネットワーク境界を保護することは、数十年間にわたってエンタープライズセキュリティ戦略の主要な焦点でした。企業は、攻撃者がネットワークへのアクセスを防止されれば、組織は安全なままでいられるという前提の下に構築された、ファイアウォール、侵入検知システム、エンドポイントセキュリティ、セグメンテーション制御に多大な投資を行いました。
ユーザー、インフラストラクチャ、アプリケーションがほとんど明確に定義された境界内に限定されていた時代には、その仮定は理にかなっていましたが、今日の世界では、その環境はもはや存在しません。
クラウドコンピューティングの急増、SaaS使用、ハイブリッドワークプラクティス、マイクロサービス、API駆動型接続により、エンタープライズITの構造は根本的に変わりました。重要なシステムは従来のデータセンターの外に配置されており、従業員はBYODシナリオで信頼されたネットワークの外で認証を行います。ベンダーも内部システムに直接統合されているため、アイデンティティが現代的な設定では最も重要な制御プレーンであることを意味します。
現代の脅威アクターはもはや主に隠された技術的欠陥を通じて活動したり、劇的な方法で周辺防衛措置を回避したりしていません。それは昔のことです。最近では、盗まれた認証情報、リプレイされたセッショントークン、または悪用されたアクセス許可でログインします。その結果の侵害は正当なユーザーの行動に見えるかもしれませんが、システムの観点からは、それはまさにそうです-「正当なアクティビティを実行するために正当なユーザーがサインインしようとしています」。
この現代的な現実は、サイバーセキュリティリーダーが危険をどのように認識するかについての再考を必要とします。
周辺防衛の解散
組織のワークロードがクラウドに移動するにつれて、認証は実質的にすべての重要なもの(財務システム、コラボレーションプラットフォーム、顧客データ、知的財産、管理制御)へのアクセスのキーになりました。アクセスはネットワークの場所よりもアイデンティティアサーションと認可規制によって仲介され、特に高度に統合された文脈では、単一サインオンシステムが複数の認証プレーンにわたる場合、攻撃者が信頼できるアイデンティティを正常に偽装すれば、多くの従来のセーフガードは最小限の抵抗を提供します。
周辺防衛の復元力を優先し続け、アイデンティティの整合性に同等の投資を行わないセキュリティプログラムは、事実上、昨日の脅威モデルを防衛しており、取り残されるでしょう。これは、脅威アクターがネットワークに到達できるかどうかについての質問から、システムが通常信頼するアイデンティティを盗むか、操作するか、悪用できるかどうかについての質問へのシフトがあるためです。
現代の侵害が実際に悪用していることは何か
現代の侵害パターンの検査から一貫したテーマが浮かぶ。初期アクセスは、以前に使用されたパスワードを使用した認証情報スタッフィング攻撃、アプリケーションレベルのアクセス許可を提供するOAuthコンセント フィッシング、認証フローをインターセプトする中間者フレームワーク、または認証情報を収集するフィッシング活動から生じることが多い。これらの攻撃方法は、多くの場合、ゼロデイエクスプロイトや高度なマルウェアを使用せず、アイデンティティがどのように検証されるか、およびセッションがどのように管理されるかの弱点を悪用します。
環境に入ると、攻撃者は監視が不十分なサービスアカウント、過剰な特権、または誤って構成されたロール割り当てを使用して、認証後に横方向に進めます。永続化の機会は広い権限を持つサービスアカウントによって作成されますが、制御はわずかであり、デバイスコンテキストから独立したトークンセッションのおかげでセッションもリプレイされる可能性があります。
ここで、侵害はアイデンティティシステムに組み込まれた信頼関係の操作の結果として発生します。
MFAの制限
多要素認証(MFA)の広範な使用により、エンタープライズセキュリティにおける本質的で重要な進歩がもたらされました。しかし、多要素認証(MFA)が決定的にアイデンティティ侵害を解決したというアイデアは、現実よりも過度な信頼の反映です。
実際には、提供される保護と認証強度は実装の詳細とタイプに大きく依存します。プッシュベースのMFAはMFA疲労戦術を通じて操作される可能性があり、その際に繰り返されたプロンプトがユーザーに悪意のあるリクエストを承認するよう強制します。中間者キットは認証フローをリアルタイムでプロキシし、正常なMFA検証後にセッションクッキーをキャプチャし、Starkillerのような一部のフィッシングキットは最近ライブページを使用しており、簡単に検出される可能性のある静的ページと異なります。
OAuthベースのフィッシングは、ユーザーにアプリケーション認可を提供することを確信させることで、パスワード中心のセーフガードを完全に回避し、ユーザーはこれを通じて社会工学される可能性があります。
ダメージの乗数としての特権
初期アクセスが常に悲劇的な結果につながるわけではありません。侵害されたアイデンティティが何をすることが許可されているかが、侵害がどの程度深刻であるかを決定しています。残念ながら、多くのビジネスは便宜中心の選択肢による数年間の大きな権限負債を抱えています。ITの環境で典型的に見られるいくつかのプラクティスがあります。頻繁に見直されない広く割り当てられた特権ロール、運用上の迅速性のために付与された一時的なアクセスはリボークされない可能性があり、サービスアカウントは上記のように適切な監視なしに拡大した権限を保持することがあります。
これらのプラクティスは、単一の侵害された認証情報が機密データを公開したり、操作を妨害したり、金融詐欺を可能にしたりできる環境を作成します。
最小権限の原則(POLP)は業界全体で広く支持されていますが、実践ではまだ不均等に実装されています。ジャストインタイムアクセスモデルの確立、承認ベースの特権昇格の実行、継続的なアクセスレビューの実施には、セキュリティチーム、IT運用、およびビジネス利害関係者間の持続的な調整が必要です。これは運用上複雑で「政治的に」敏感な場合があります。しかし、この規律がなければ、単一の侵害されたアイデンティティはより大きな影響を与える可能性があります。したがって、アイデンティティセキュリティは認証メカニクスをはるかに超えており、意図的で一貫して強制される特権管理に根ざしたガバナンスの問題として扱われる必要があります。
アイデンティティ監視をコアセキュリティ機能に昇格させる
拡張検出と応答(EDR)ソリューションにより、多くの企業はエンドポイント検出とネットワーク監視機能を高度化させています。しかし、アイデンティティ関連のテレメトリはしばしば比較的少ない注意を受けており、この相違を防御することがますます困難になっています。
異常なログイン動作、不可能または非定型の移動パターン、疑わしいメールボックスルール、異常なOAuthグラント、急速な特権昇格などの侵害の早期指標は、頻繁に侵害の早期指標を提供します。理解できることに、組織はランサムウェア攻撃、データ流出、漏洩に焦点を当てていますが、これらのアイデンティティベースの信号は、マルウェア検出と同じ深刻さと器用さで収集、相関、および処置されなければなりません。閾値が誤って構成されているか、アラートが二次的なノイズとして扱われている場合、アイデンティティベースの攻撃は検出されずに続く可能性がありますが、運用上は正常に見えます。
有効な認証情報が多くの侵害シナリオの中心となっているため、アイデンティティログは補足的なコンテキストではなく、主要な法医学的証拠として扱われるべきです。アイデンティティ監視を戦略的優先事項に昇格させるセキュリティオペレーションセンターは、悪用が拡大する前にそれを検出および封じ込めるのに適切な立場にあります。
アイデンティティリスクの周りのセキュリティ投資の再調整
アイデンティティが主要な攻撃対象として識別されると、リソースの割り当てと管理監督が影響を受けます。クラウドファースト企業の基本的な防御アーキテクチャを構成しているため、より堅牢な認証技術、ハードウェアバックアップの認証情報、文脈的なリスク信号を考慮した条件付きアクセスポリシー、厳格な特権管理フレームワークへの投資は、段階的な強化として見なされるべきではありません。
ビジネスプロセスとセキュリティ制御の一致も同様に重要です。アイデンティティ侵害は、財務ワークフロー、管理承認、ベンダー統合の可能性と見なされる必要があります。強制される検証、職務分離、異常検出を念頭に置いて設計されたプロセスは、単一の認証情報が不相応な害をもたらす可能性をさらに減らします。
結論
結論として、エンタープライズITの発展とクラウドおよびハイブリッド環境の使用によって、危険がどこにあるかは微妙に再形成されています。認可と認証に関する決定は、最も重要なアセットを保護するために毎日行われなければなりません。これらの選択が操作または悪用の対象となる場合、その結果は個々のアカウントだけに影響を与えるのではなく、企業全体に波及します。
ビジネスがアイデンティティシステムに組み込んだ信頼を悪用することは、以前に説明した劇的な技術的侵入よりも現代の侵害ではより一般的です。運用上、アイデンティティはメインの攻撃対象として扱われなければなりませんし、この現実を認識して環境を適切に設計する企業は、最初に保護することを意図した景観ではなく、現在の脅威環境に対処するためにより適切に装備されます。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したいですか?
