近年、サイバーセキュリティ業界は高度なエンドポイント検知・対応(EDR)ソリューションによってエンドポイントの保護に大きな進歩を遂げており、私たちは敵対者にとって困難な状況を作り出すことに成功しています。
この進歩は勝利である一方で、脅威アクターがネットワークの境界に焦点を移すという予測可能で危険な結果も生み出しています。ネットワークの境界は技術的負債や忘れ去られたハードウェアが蔓延する領域です。
中国系グループSalt Typhoonによる最近のサイバースパイ活動は、この変化を示しています。これは、ロシアのStatic Tundraやさまざまなランサムウェアグループを含む他の主要な敵対者と共通する危険な糸を浮き彫りにする一連の攻撃の最新事例です。
これらのグループはすべて、私たちのネットワークに潜む「ゴースト」を悪用しています。古く、パッチが適用されておらず、忘れ去られたルーター、VPN、ファイアウォールなど、ネットワークの境界を構成する機器が非常に魅力的な標的となっています。
リアクティブな防御からの脱却
組織が最新のセキュリティツールでエンドポイントを強化する中、敵対者は何年もパッチが適用されていない機器を見つけ出し、容易に侵入し、認証情報を盗み、長期的な潜伏を確立しています。Salt Typhoonの「Living off the land」戦術は特に検知が困難で、長期的なスパイ活動を狙った高度な手法を示しています。
これは戦術的脅威の前例のない進化を示すだけでなく、米国および同盟国のネットワークがどのように防御されているかを敵対者が深く理解していることを示しています。これらの攻撃者は、彼らに対抗するために構築されたシステム内で、目に見えない形で活動できる能力を持つことを私たちに示し、国家のレジリエンスを脅かしています。
これが示す重要な教訓は、「パッチはタイムマシンではない」ということです。過去の侵害を元に戻すことはできません。時間の中に忘れ去られたEnd-of-Life(EoL)機器は、パッチ提供が終わった後もエクスプロイト作成者には忘れられていません。これらの「忘れられた」機器はネットワーク管理者の目には入らなくても、敵対者にとっては最重要ターゲットです。私たちはこれらを重大なリスクとして扱う必要があります。
より強固な国家安全保障体制への道は、しばしば軽視されがちな基本に立ち返り、脅威を予測し対抗するためのプロアクティブなセキュリティプログラムを確立することにあります。
基本に立ち返る
プロアクティブなサイバー防御は、パッチ適用だけにとどまりません。それは厳格な資産およびライフサイクル管理です。組織はネットワーク上のすべての機器を把握し、機器がエンドオブライフに達した瞬間に廃棄・交換する計画を持たなければなりません。
パッチの提供は終わっても、エクスプロイトの開発は続きます。
これら最近の攻撃は、未パッチまたはエンドオブライフ機器が世界中で引き起こしている広範な問題を浮き彫りにしています。問題を認識することは重要ですが、それだけでは十分ではありません。
組織は自らのリスクを削減し、インターネット全体の健全性を守るために行動を起こさなければなりません。米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワークに沿って、組織がこれらの脅威にプロアクティブに対応するためのステップは以下の通りです:
● 特定:すべてのハードウェアとソフトウェアの完全なインベントリを維持する。エンドオブライフに達した機器は厳格なポリシーに基づき廃棄・交換する。
● 保護:サポートされているすべての機器に対して、重要なパッチを迅速に適用する。安全なベースライン構成で導入し、未使用または安全でないプロトコル(Telnetなど)は無効化する。
● 対応:重要な機器で脆弱性が発見された場合、パッチ適用前に侵害されていたと想定する。その機器に関連するすべての認証情報、パスワード、APIキー、OTPシードをローテーションすることが唯一の賢明な対応です。
● 検知:機器自身の報告を信用しない。すべてのログを集中管理された安全なSIEMに転送する。ネットワーク機器からの異常な外部通信を監視する——それらがインターネット上のランダムなIPアドレスに接続することは本来ないはずです。
このような行動を取ることで、人間の反応速度を超える脅威に先んじることができます。サイバーレジリエンスは単なる技術の問題ではなく、チームスポーツです。
すべてのサイバーインシデントは、官民連携の強化、脅威情報に基づいたトレーニングへの投資、サイバー防御の「筋肉記憶」構築のきっかけとなるべきです。
プロアクティブな脅威ハンティング
サイバーハイジーン(基本的な衛生管理)は重要ですが、それだけでは十分ではありません。組織はすでに侵害が発生していると想定し、積極的にそれを探し出さなければなりません。これは、アラームを待つだけでなく、Salt Typhoonが巧みに行っているように、敵対者がネットワーク内を静かに移動していることを示す微妙な行動異常を探すことを意味します。
この種の敵対者は、APT(高度持続的脅威)レベルの攻撃・防御サイバー戦術に関する強力な知識がなければ阻止するのが非常に困難です。フォーチュン500企業、世界中の政府機関、重要インフラ、さらにはIT・サイバーセキュリティ関連企業でさえ、これらの脅威に単独で対抗するのに苦戦しています。
多くの組織が、サイバー防御運用を圧迫し、新しいセキュリティツールへの投資のROIを損なう技術的負債に悩まされています。新しいセキュリティツールが常に答えとは限らず、国家レベルの脅威アクターに単独で立ち向かうのは不可能な場合もあります。自社の運用と敵対者の運用の両方を理解している信頼できるパートナーは、これらの脅威と戦う上で極めて重要です。
忘れ去られたネットワーク機器は敵対者にとって格好の標的であり、従来のリアクティブな防御だけではもはや十分ではありません。組織は自分たちが所有していることを知らないものを守ることはできず、積極的に侵入者を探さなければ排除することもできません。
今こそ、サイバーレジリエンスに本気で取り組む時です。それは従来のサイバーセキュリティを超え、業界全体で攻撃的インサイト、防御的オペレーション、AI駆動の機能がリアルタイムで連携するフルスペクトラムのサイバーポスチャーへと進化することを意味します。
ニック・キャロルはNightwingのサイバーインシデント対応マネージャーです。
翻訳元: https://cyberscoop.com/proactive-cyber-defense-forgotten-devices-op-ed/
