脅威行為者は、脆弱なサーバー、フィッシングメール、またはエンドポイント上の悪意あるソフトウェアを通じてアクセスを獲得しました。内部に侵入した後、ネットワークを横展開し、システムを暗号化して身代金を要求しました。
その戦術は変わりました。
今日のランサムウェア運営者は、最初の目的としてアイデンティティインフラストラクチャをターゲットにすることが増えています。
Active Directory、Entra ID、およびOktaはアクセスを制御し、新たな攻撃対象を提供します
Active Directory、Entra ID、Oktaなどのシステムは、最新エンタープライズの信頼の基盤を形成し、ハイブリッド環境全体の認証とアクセスを制御しています。攻撃者がアイデンティティシステムを侵害すれば、組織の鍵を効果的に手に入れることができます。
脅威の規模はこの転換を反映しています。Semperisのランサムウェアリスクレポートによると、過去12ヶ月間に78%の組織がランサムウェアの標的となり、そのうち56%の攻撃が成功しました。
同時に、サイバーインシデントはますます業務を混乱させています。71%の組織は、過去1年間に重要なビジネス機能を停止させたIT事象を少なくとも1つ経験したと報告しています。
言い換えれば、ランサムウェアはもはやファイルを暗号化するだけではありません。それはアイデンティティを制御することです。
Semperisを含むアイデンティティセキュリティスペシャリストは、ランサムウェア運営者が攻撃ライフサイクルの早期にアイデンティティシステムの侵害を優先することが増えているため、この転換を直接観察しています。
アイデンティティインフラストラクチャ:究極のコントロールプレーン
アイデンティティインフラストラクチャは、エンタープライズ環境内でTier 0として機能します。これは、組織全体のほぼすべてのシステム、アプリケーション、およびユーザーアカウントの認証、認可、およびアクセス制御を統治しています。
攻撃者がアイデンティティサービスを制御できれば、正当なユーザーになりすましたり、特権をエスカレーションしたり、オンプレミスおよびクラウド環境全体のアクセスポリシーを操作することができます。
ハイブリッドアイデンティティアーキテクチャでは、Active DirectoryがクラウドアイデンティティプロバイダーおよびSaaSプラットフォームと統合される場合、攻撃面はさらに拡大します。
これがアイデンティティシステムがそのような魅力的なターゲットになった理由です。
Semperisの研究はこの現実を強調しています。
ランサムウェア攻撃の83%はアイデンティティインフラストラクチャの侵害を含み、より広いサイバーインシデントの82%はActive DirectoryやEntra IDなどのコアアイデンティティシステムの侵害を確実に、またはおそらく含んでいます。
セキュリティチームにとって、これは重要な現実を強調しています:アイデンティティはもはや単なる認証レイヤーではなく、エンタープライズセキュリティの中央コントロールプレーンになっています。
これにより多くの組織は、アイデンティティインフラストラクチャの保護方法を再評価し、アイデンティティシステムを専用のセキュリティと回復戦略が必要なTier 0資産として扱うことに焦点を当てるようになりました。
この転換はより広い傾向も反映しています:攻撃者はSemperisのアイデンティティレジリエンスの専門家によると、攻撃ライフサイクルの早期に認証システムをターゲットにすることが増えています。
アイデンティティ保護がなぜそれほど重要になったのかを理解するには、最新のランサムウェア攻撃が通常どのように展開するかを見ることが重要です。
第1段階:アイデンティティの乗っ取り
多くのランサムウェア攻撃は、環境内の初期足がかりで始まります。ますます、その足がかりはアイデンティティ侵害を通じてきます。
フィッシングキャンペーン、盗まれた認証情報、および乗っ取られた認証トークンは、最も一般的なエントリーポイントのままです。攻撃者が有効な認証情報を取得すると、正当なユーザーとしてログインでき、しばしば従来のセキュリティ防御をバイパスできます。
脆弱なアイデンティティ衛生はこの問題を悪化させます。古いアカウント、過度な特権、および設定ミスのあるアクセス許可は、攻撃者がアクセスを獲得するために利用できる悪用可能なパスウェイを作成します。
特権サービスアカウントは特に魅力的なターゲットです。これらは広範なアクセス権を持つことが多い一方で、しばしば限定的な監視を受けるためです。
攻撃者はアクティブな認証セッションまたはトークンをハイジャックして、ログインコントロール全体をバイパスすることもできます。アクセスが確保されたら、新しい特権アカウントを作成したり、グループメンバーシップを変更したり、アイデンティティ構成を変更したりして、永続性を確立します。
これらの攻撃の頻度は問題の緊急性を強調しています。重要インフラ組織の62%は、過去1年間にサイバー攻撃の標的となったと報告しています。
アイデンティティベースの攻撃は正常な認証活動に混ざり込みやすいため、セキュリティチームはエンドポイントやネットワークトラフィックだけでなく、アイデンティティレイヤー自体を可視化する必要があり、疑わしい活動がエスカレートする前に検出できます。
第2段階:特権のエスカレーション
攻撃者がアイデンティティシステムに足がかりを得ると、次の目的は特権のエスカレーションです。
Active Directory環境には、複雑な信頼関係、委譲パス、およびアクセス許可構造が含まれています。これらのシステム内の設定ミスにより、攻撃者はアラームをトリガーせずに特権をエスカレーションできます。
Kerberoasting、pass-the-hash攻撃、チケット操作などの技術により、攻撃者は認証情報を抽出し、段階的に特権をエスカレーションできます。
最終的に、目標はドメイン管理者またはそれと同等のTier 0特権を取得することです。
攻撃者がこのレベルのアクセスに達すると、ネットワーク内で正当な管理者として操作できます。
ポリシーを変更したり、セキュリティツールを無効にしたり、システムおよびクラウドリソース全体の横展開を拡張することができます。
永続性はこの段階で大きな課題になります。成功したランサムウェア攻撃を経験した組織の73%は複数回攻撃されており、攻撃者がアクセスを確立すると、しばしば戻ることを示唆しています。
アイデンティティ活動を監視し、異常な特権エスカレーションパターンを検出することは、この段階に達する前に攻撃を中断するために重要です。
第3段階:復旧サボタージュ
最新のランサムウェアキャンペーンには、暗号化前に重要なステップが含まれることが多い:復旧のサボタージュです。
攻撃者は、アイデンティティインフラストラクチャとバックアップが無傷のままであれば、組織がランサムウェアから素早く回復できることを理解しています。その結果、多くのキャンペーンは最終的な攻撃を開始する前に復旧メカニズムをターゲットにしています。
アイデンティティシステムは、重要なアカウントから管理者をロックアウトしたり、認証サービス全体を混乱させたりするために操作される場合があります。
バックアップシステムは削除または破損される可能性があり、復旧ツールは無効にされることがあります。
より深刻なケースでは、攻撃者はアイデンティティインフラストラクチャ自体を意図的に損傷します。
Active Directoryフォレストは、復元が非常に困難な方法で破損または変更される場合があります。
残念なことに、多くの組織はこのシナリオに対して準備ができていません。
Semperisの研究によると、組織の66%のみが災害復旧計画にActive Directory復旧手順を含め、40%はActive Directory固有のバックアップシステムを専用に保持していません。
復旧準備のギャップは技術を超えて広がっています。多くの企業は危機演習を実施していますが、それらの演習の43%のみが災害復旧チームを含んでおり、それらのチームは攻撃後のシステム復元を担当しています。
これがアイデンティティ復旧計画が最新のサイバーレジリエンス戦略の重要な要素になった理由です。
アイデンティティドリブン攻撃のビジネスへの影響
アイデンティティシステムが故障すると、エンタープライズ全体が停止する可能性があります。
認証システムは、アプリケーション、データベース、クラウドプラットフォーム、および運用システムへのアクセスを制御します。
それらのシステムが侵害されたり利用不可になったりした場合、従業員はログインできず、ビジネスアプリケーションが機能を停止し、本番環境が停止する場合があります。
運用上の影響は重大なものになる可能性があります。Semperisサイバーレジリエンスサバイバルガイド調査によると、組織の57%はサイバー攻撃が通常の運用を混乱させたと報告しています。
身代金を支払っても回復が保証されません。ランサムウェア被害者の15%は身代金を支払いましたが、使用可能な復号化キーを受け取りませんでした。また、3%はキーを受け取りましたが、盗まれたデータが依然としてリークされたまたは悪用されていることを発見しました。
復旧自体に時間がかかる可能性があります。組織の18%はランサムウェアインシデント後に通常の運用に戻るまでに1週間から1ヶ月の間に必要とします。
アイデンティティインフラストラクチャはエンタープライズ運用の中心に位置しているため、アイデンティティシステムへの信頼を復元することは、しばしびビジネスの復元に向けた最初のステップです。
「侵害を想定」した世界においてアイデンティティレジリエンスが重要である理由
セキュリティリーダーにとって、現実は明らかです:すべてのサイバー攻撃を防ぐことはもはや現実的ではありません。
最新のエンタープライズ環境は複雑で、分散し、相互に接続されています。攻撃者は最終的に侵入する方法を見つけるでしょう。問題は攻撃が発生するかどうかではなく、組織がどの程度効果的に攻撃を封じ込めることができるかです。
ここがサイバーレジリエンスが不可欠になるところです。
侵害を想定したマインドセットは、侵入が発生する可能性を認め、その影響を最小化することに焦点を当てています。ランサムウェアのコンテキストでは、これはアイデンティティインフラストラクチャの迅速な検出、封じ込め、および復旧を優先することを意味しています。
アイデンティティレジリエンスは、攻撃者がシステムを侵害しても、組織が認証サービスを迅速に復元し、環境の制御を取り戻すことができることを保証します。
アイデンティティベースのサイバーレジリエンスの強化
アイデンティティレジリエンスの改善には、技術、プロセス、および組織的準備の組み合わせが必要です。
組織は、設定ミス、特権リスク、および露出したアカウントについてアイデンティティ環境を継続的に評価する必要があります。
異常な特権エスカレーションや異常なログインパターンなどの疑わしい活動については、認証システムを監視することが同等に重要です。
復旧準備も優先される必要があります。これには、アイデンティティインフラストラクチャの安全でテストされたバックアップを保持し、アイデンティティ重点のインシデント対応計画を定期的に演習することが含まれます。
準備が重要な理由は、サイバー危機は稀なイベントではないからです。
組織の96%はサイバー危機対応計画があると報告しており、90%は過去1年間にそれを少なくとも1回発動しなければならなかったと述べています。
これらの取り組みをサポートするために、多くの組織はハイブリッドアイデンティティ環境を保護するために設計されたソリューションに投資しています。
これらのプラットフォームは、アイデンティティの露出への継続的な可視性を提供し、リアルタイムでアイデンティティベースの攻撃を検出し、アイデンティティシステムが侵害された場合に迅速な復旧を可能にします。
結論:アイデンティティは最新のランサムウェアの戦場
ランサムウェア攻撃は進化しました。
単にデータを暗号化することに焦点を当てるのではなく、攻撃者はエンタープライズ全体の認証、認可、およびアクセスを統治するアイデンティティインフラストラクチャを制御することを目指しています。
アイデンティティシステムが侵害されると、攻撃者は特権をエスカレーションしたり、アクセスを拡張したり、復旧の取り組みを混乱させたりすることができ、しばしば広範な運用上の影響をもたらします。
セキュリティリーダーにとって、進む道は明らかです:アイデンティティシステムの保護とアイデンティティレジリエンスの強化は中心的な優先事項になる必要があります。
最新のランサムウェアランドスケープでは、アイデンティティは単なる攻撃面ではありません。
それは戦場です。
サイバー攻撃がますますアイデンティティシステムをターゲットにするにつれて、侵害を早期に検出し、素早く復旧する能力は、運用の混乱を制限するために不可欠になりました。
Semperisは、組織がハイブリッドアイデンティティ環境を保護し、アイデンティティベースの攻撃を検出し、インシデント後にActive Directoryおよび他のアイデンティティシステムを迅速に復旧するのに役立つソリューションを提供しています。
Semperisがアイデンティティレジリエンスを強化し、ランサムウェア攻撃の影響を削減するのにどのように役立つかをご覧ください。
翻訳元: https://www.esecurityplanet.com/news/ransomware-resilience/
