アナリストは、CISOとITリーダーが標準的なセキュリティ手順を通じてそのような攻撃をより効果的に防ぐことができると述べています。
ダニエル・ライン氏が4月1日に当時の雇用主に対するインサイダー恐喝攻撃を仕掛けたとして有罪を認めた際、当局は彼が使用した技法を列挙しました。これには、不正なリモートデスクトップセッション、ネットワーク管理者アカウントの削除、パスワードの変更、ドメインコントローラー上の不正なタスクスケジューリングが含まれています。
主要なシステムとアカウントをシャットダウンした後、彼は従業員にメモを送信し、すべてのバックアップを削除したと主張し、約75万ドル相当のビットコインを与えられない限りサーバーのシャットダウンを続けると脅しました。
しかし、コンサルタントとアナリストが最も懸念したのは、彼が使用した技法がいかに一般的で日常的であったかということです。言い換えれば、標準的なセキュリティ手順がほぼすべてを阻止すべきだったのです。
欠落している予防措置
エンタープライズのインサイダー脅威は新しいものではありませんが、コンサルタントとアナリストによると、多くのエンタープライズはITスタッフが抵抗するため、予防的な措置をすべて講じていません。ITスタッフはそれを彼らの活動の過度な監視と見なし、また彼らの仕事を遅くすると考えています。
サイバーセキュリティコンサルタントのブライアン・レビン氏、FormerGovの経営執行役員は、「このケースを興味深くしているのは、攻撃パスがいかに退屈で予測可能だったかということです。」と述べました。
レビン氏は、バックアップは常に不変であるべきだと指摘しました。「会社の誰もが一定期間バックアップを削除、修正、または暗号化することはできないはずです。」と彼は述べました。彼はまた、最小権限の原則が理由を問わず職務が変更される労働者に適用される必要があることを強調しました。
重要なことに、彼はさまざまなツールの使用は即座に懸念として報告されるべきだと主張しました。「Instrument Task Scheduler、PsExec、PsPasswd、およびnet userは高リスク信号です。これらはインサイダーの錠前破り道具と同等です。」と彼は述べました。「これらは大規模に、営業時間外に、または異常なホストから使用される場合、行動アラートを生成すべきです。」
レビン氏はまた、広範なシステム監視を提案しました。「誰かが朝7時48分にドメインコントローラーにRDP接続し、16個のスケジュールされたタスクを作成している場合、ビデオのような監査証跡を持つべきです。」
ポール・フルタド氏、Gartnerの著名なVPアナリストは、単一の管理者がこのような損害を引き起こすことができないようにクライアントに奨励していると述べました。
「権限が分散された階層化された管理モデルを作成してください。これは重要なプロセスの所有権をシニアエンジニアと管理者の間でも回転させます。」とフルタド氏は助言しました。ITはまた「ハードウェアセキュリティモジュールやデジタル保管庫に保存されたブレークガラス管理認証情報[で、テストドリルおよび緊急時にのみ使用する必要があるもの]を含むべきです。」
LexisNexis Risk Solutions GroupのCISO フラビオ・ビラニューストレ氏は、「[ライン事件で]ネットワークを管理するために使用されたのと同じアカウントが、バックアップも不可逆的に破壊できるようで、職務の強力な分離が実施されていなかったことを示しています。」と述べました。
ライン氏は現在かなりの懲役に直面しています。米国司法省の訴状は、「ライン氏が有罪を認めた恐喝罪は最大5年の懲役刑を伴い、ライン氏が有罪を認めた保護されたコンピューターへの意図的な損害は最大10年の懲役刑を伴う。」と述べています。
