サイバー戦が重要インフラに対する継続的な脅威として浮上するなか、サイバーセキュリティの専門家は、何か一つか二つ(あるいは十一個)学ぶために、ストレンジャー・シングスを見直したくなるかもしれません。善と悪の終わりなき戦いの中で、このドラマと現代の脅威情勢との間には、驚くほど多くの共通点があります。
ドラマでは冷戦を背景にして物語の緊張感を高めていますが、現実世界ではサイバー戦のリスクはこれまでになく高まっています。EU の公益事業に対するロシア関連のサイバー攻撃や、米国の重要インフラに対する中国関連のサイバー攻撃は、どんな Netflix シリーズよりもはるかに重大な利害がかかった地政学的な舞台を浮き彫りにしています。
Armis の調査によると、IT リーダーの 87% が、自組織に対するサイバー戦の影響を懸念しています。
また、IT リーダーの 81% が、プロアクティブなサイバーセキュリティ体制への移行を自組織の最重要目標に挙げている一方で、多くのセキュリティチームは、実際に侵害を受けるまで、これらの脅威に対して行動を起こしていません。
その理由は、可視性とセグメンテーションの課題が依然として多くの組織を妨げているからです。多くの場合、攻撃者は組織の IT インフラに侵入し、痕跡を消しながら、巧妙に OT 環境へと横移動して侵入し、重要インフラを危険にさらします。
したがって、組織は「爆発の左側」へとシフトし、ゼロトラスト・アーキテクチャや予防的な防御などに重点を置かなければなりません。このサイバーセキュリティのパラダイムは、国家レベルの脅威が一向に減速する気配のない重要インフラ分野において、特に不可欠です。
脅威はどのように姿を変え続けるのか
2010 年、Google は中国の脅威アクターによって仕掛けられた、初期の著名な高度持続的脅威(APT)の一つであるオーロラ作戦の証拠を公表しました。これらの攻撃は複数のテクノロジー企業のソースコードを標的とし、その後のサプライチェーン攻撃の前触れとなりました。
それから 10 年後、サプライチェーン攻撃の最も悪名高い事例の一つがSolarWinds 侵害でした。ストレンジャー・シングスでソ連がスターコート・モールの地下に秘密基地を建設したのと同じように、SolarWinds の侵害はロシアの脅威アクターに米国政府への秘密のアクセスを与えました。
これら 2 つのインシデントは脅威がどのように進化するかを示していますが、APT の例はこれだけにとどまりません。
すべての APT は固有の特徴を持ちながらも、いくつかの共通点があります。すなわち、初期侵入の確立、検知の回避、永続性の確立を狙う点です(まるでマインド・フレイヤーが犠牲者の心を支配するかのように)。違いは、これらの目標を達成するために用いられる戦術・技術・手順(TTP)にあります。
たとえば、脅威アクターはフィッシングやキャッシュされた認証情報のダンプによって初期アクセスを得るかもしれませんが、脆弱なデバイスを悪用してアクセスを獲得することも可能です。
攻撃ベクターは無数に存在することを理解することが重要であり、サイバーセキュリティの基本は、リスクを低減するためにより防御しやすいアーキテクチャを構築することに重点を置いています。
超能力がない? ならば可視性が重要
ネタバレ注意:ストレンジャー・シングスのシーズン 4 では、イレブンが自らの超能力を使ったことで、誤ってアップサイド・ダウンへの門を開いてしまったことが明かされます。
重要インフラに関して言えば、多くの組織は自分たちのネットワークで何が起きているのかを把握できていません。
知らないものを、どうやって守れるでしょうか。
脅威アクターは常に未知の脆弱性を悪用しようとし、こうした可視性のギャップこそが、初期侵入とラテラルムーブメント(横移動)の根本原因となっています。
多くの組織は、リスクをプロアクティブに管理するのではなく、脅威に対してリアクティブに対応しているのが現状です。自らの環境を理解し、潜在的なリスクを特定し、初期の警告サインに対処し、セキュリティギャップの解消を優先する方向へと意識を転換しなければなりません。
サイバーセキュリティの現場で戦うヒーローたち
逆境にあっても粘り強く戦い続ける者をヒーローと呼ぶなら、サイバーセキュリティの世界には多くのヒーローが存在します。
たとえば、2010 年に Google がオーロラ作戦の標的となった後、同社はBeyondCorp イニシアチブの開発を開始しました。これはゼロトラスト・アーキテクチャの創出に大きな影響を与えました。
現在、組織はゼロトラストを実装するための指針として、NIST SP 800-207 のようなフレームワークを参照することができます。
ゼロトラストの中核となる原則には、資産インベントリの整備、強固な認証・認可制御、ネットワークセグメンテーションの実装などが含まれます。
ゼロトラスト・フレームワークは当初 IT 環境向けに設計されましたが、組織全体を俯瞰するホリスティックな視点を取ることで、OT(運用技術)、クラウド、IoT システムへとこれらの原則を適用する取り組みが大きく進展しています。
多くの組織が最新の資産インベントリの作成と維持に苦労しているのは、スプレッドシートや手作業に依存しているためであり、その結果、情報が不完全で古くなりがちだからです。
しかし、組織が AI を活用したソリューションを導入して振る舞いの異常を監視するようになれば、ネットワーク上のすべてのデバイスを継続的に発見するために、この可視性を拡張することができます。
ネットワークトラフィックとデバイスすべてに対する包括的な可視性と制御は、特に重要インフラ分野において極めて重要です。OT ネットワークには、悪用された場合にリアルタイムで物理的な影響(キネティック効果)を及ぼし得る、脆弱なレガシーシステムが存在しがちだからです。
攻撃対象領域に対する完全な状況認識は、組織がサイバーセキュリティを「爆発の左側」へとシフトさせ、ギャップを塞ぎ、予防的な防御に注力できるようにするスーパーパワーです。
脅威に対応するのではなく、初期の警告サインに焦点を当てることで、こうした組織はまるで自分たちも超能力を持っているかのように見えるかもしれません。現実は、ときにフィクションより奇なり、です。
翻訳元: https://www.esecurityplanet.com/threats/eleventh-hour-cyberwarfare-emerges-as-an-imminent-threat/
