英国の組織はデジタル上の活動領域を拡大していますが、事後対応型のセキュリティへの依存が、脆弱な状態を招いています。NCSCのアクティブ・サイバー・ディフェンス(ACD)戦略に整合させるために、チームは先制的防御へと移行する必要があります。
増大するサイバー脅威への対応として、英国のナショナル・サイバー・セキュリティ・センター(NCSC)は、アクティブ・サイバー・ディフェンス(ACD)プログラムを実施しています。ACDの使命は明確です。すなわち、「英国の大多数の人々を、大多数のサイバー攻撃が大多数の時間に引き起こす大多数の被害から守る」ことです。
この戦略は、非常に高度で標的型の攻撃だけに焦点を当てるのではなく、日常生活に影響を及ぼす大量発生型のコモディティ攻撃(大量フィッシングやスプーフィングなど)を特に対象としています。この規模でこのレベルの保護を実現するには、防御戦略の根本的な転換が必要です。
事後対応型サイバー防御の限界
これまでサイバー防御は、侵害指標(IOC)を用いる事後対応型のセキュリティモデルに大きく依存してきました。これらの従来型の指標は通常、攻撃がどこで行われたかに関する一般的な侵害後データを提供します。このデータは、攻撃者がインフラを素早く再利用するため、すぐに陳腐化してしまう古いリストであることが少なくありません。
IOCのみに依存すると、セキュリティチームは事後対応の姿勢を強いられ、被害が発生した後に複雑なインシデント対応に追われることになります。NCSCが目指すスケーラブルな保護を実現するために、業界は「反応」を超え、先制的な姿勢を採用しなければなりません。
新たなアプローチ:先制的サイバー防御
先制的サイバー防御とは、ただ一つの目標に焦点を当てたアプローチです。すなわち、被害が生じる前に攻撃を特定し、阻止することです。
これは、脅威アクターがIOCだけでなく、行動上の痕跡(フィンガープリント)も残すため可能になります。彼らがインフラを構築・運用・管理するために用いる戦術・技術・手順(TTP)は、固有のデジタルDNAを形成します。
当社のプラットフォームはこのDNAを分析し、一見孤立している指標同士を相関させて、攻撃の全体像を描き出します。これは単純なパターンマッチングを超え、キャンペーンの断片をすべてつなぎ合わせ、悪性インフラがオンラインに現れた瞬間に特定できるようにします。完全に武器化されるはるか前の段階で可能になります。
先制的防御を実現するには、次の2つが必要です。
- 大規模データ収集:グローバルなIPv4およびIPv6空間全体にわたり、DNSを継続的にマッピングし、能動的に名前解決することで、新たなインフラがオンラインになった瞬間に可視化します。
- TTP主導の行動追跡:そのデータを分析して悪性活動の「指紋」を見つけます。たとえば、ドメイン、インフラ、運用行動における反復パターンを組み合わせてScattered Spiderを追跡する、といったことです。
このプロアクティブなプロセスは、敵対者のインフラをステージング段階で追跡し、遮断します。さらに高精度な将来攻撃指標(IOFA)™を生成します:先回りしたIP、ドメイン、URLデータにより、セキュリティチームは敵対者インフラを特定・追跡し、最終的には、武器化される前に遮断できます。このアプローチは、まだ報告されていない新規インフラも明らかにします。
ACD戦略を戦術的現実へと落とし込む
ACDと先制的サイバー防御は表裏一体です。ACDはスケーラブルな保護のための戦略的な指針を定め、先制的防御アプローチは、脅威を発生源で無力化することでそれを実現する技術的能力を提供します。
大規模に先制検知を実現することは、単にデータを増やすことではなく、データをより良くすることです。この能力には、データ独立性という基盤が必要です。自社で100%データを収集することで、サードパーティフィードのノイズや遅延を排除し、グローバルインフラに対する独自に正確で信頼性の高い視界を確保します。
この攻撃前の行動フィンガープリンティングと、その結果得られるインフラデータを活用することで、セキュリティチームは、ACDプログラムが阻止することを目的とする大量発生型の脅威そのものの検知とブロックを自動化できます。
このアプローチは、ACDの使命の中核である大量攻撃を直接狙い撃ちします。
- フィッシングとスプーフィング:この手法は、タイポスクワット・ドメインを含むブランドなりすまし攻撃を、展開される前に特定します。たとえば、アナリストは、英国の銀行を狙うフィッシングキャンペーンがまだ構築中の段階で追跡できます。
- マルバタイジング:コモディティ攻撃の主要ベクターであるオンライン広告内に潜む悪性インフラを露出させ、広告が配信される前にブロックできるようにします。
- 大量詐欺:Silent Pushのデータは、大規模な犯罪オペレーションの解明に不可欠です。代表例がFUNNULL CDNで、正規のクラウドサービス内に悪性活動を隠蔽していたTriad Nexus金融詐欺ネットワークのハブでした。
- インフラ規模:わずか数週間で、200,000超のホスト名がFUNNULLを経由してプロキシされました。
- クラウドIPの利用:FUNNULLは、1,200超のAmazon IPと、200近いMicrosoft IPをレンタルしていました。
- 悪性活動:小売向けフィッシング、マネーロンダリング、世界中の被害者を標的とする詐欺的投資プラットフォームを支援していました。
- この事例は、大規模詐欺を妨害するために、Silent Pushが隠れたインフラを追跡し、新たなTTPを明らかにし、実行可能なインテリジェンスを提供できることを示しています。
- この事例は、大規模詐欺を妨害するために、Silent Pushが隠れたインフラを追跡し、新たなTTPを明らかにし、実行可能なインテリジェンスを提供できることを示しています。
悪性のテキストが送信される前にこのインフラを追跡・遮断することは、スケールする先制的防御の完璧な例です。攻撃の起点(インフラ)で妨害することに焦点を当てることで、ACDの戦略的指針は、大量脅威に対する測定可能な保護へと変わります。
英国のサイバー・レジリエンスを強化する
Silent Push Enterprise Editionは、スケールする先制的防御を運用化し、高精度なインフラデータを既存のセキュリティスタック(SIEM、SOAR、ファイアウォール)へ直接投入して、自動ブロックを実現します。
コミュニティ研究からエンタープライズ級の自動化まで、先制的サイバー防御を可能にするデータを活用することで、英国は真にプロアクティブなデジタル防御を構築できます。この姿勢はACDの目標と完全に一致し、脅威が襲いかかる前に阻止することで国家のレジリエンスを高めます。
自動化された先制的サイバー防御が、貴組織をどのように保護できるかをご確認ください。今すぐSilent Push Enterprise Editionのデモをご依頼ください。
翻訳元: https://www.silentpush.com/blog/how-preemptive-cyber-defence-supports-the-uks-acd-strategy/
