サイバー攻撃が加速し、脅威行為者の協力関係が深まる中、政府と業界は上流で敵対者を破壊するために動いている。ただしこの転換は、権限、リスク、企業のセキュリティリーダーが採取すべき行動についての問題を提起している。
20年以上にわたり、サイバーセキュリティは反応的モデルの上に構築されてきた:侵入を検出し、脆弱性にパッチを当て、インシデントに対応し、繰り返す。このモデルは現在、より高速で、より協調的で、ますます自動化される脅威環境からの継続的な圧力を受けている。
2つの最近の進展は、そのモデルがいかに急速に崩壊しているかを示している。今月初め、ホワイトハウスは待望のサイバー戦略をリリースし、プロアクティブなまたは攻撃的なサイバーセキュリティを優先事項の最上位に昇格させた。今年のRSA Conferenceでは、Sandra JoyceがGoogleの脅威インテリジェンスグループを率いており、同社の脅威破壊ユニットを発表し、法的権限と技術的能力を使用してサイバー脅威グループに積極的に対抗する計画の概要を説明した。
これらの進展を合わせて、既に進行中の転換を反映している。純粋に防御的なモデルから、攻撃がターゲットに到達する前に敵対者を破壊する取り組みへの転換である。
「過去20年間行ってきたことは機能していない」と、国家安全保障局の元法務官でありながら戦略国際問題研究所のシニアアドバイザーであるGlenn Gerstellは、CSOに語る。「私たちは防御において本質的に追いつきの状態でいる…そしてそのギャップは広がっている。」
その評価は現在、政府戦略と民間企業の業務の両方を形作っている。米国は攻撃を吸収するのではなく、敵対者の行動を明確に形作ろうとしており、大手テクノロジープロバイダーはターゲットに到達する前に脅威行為者を破壊するために設計された能力に投資している。
この転換は、しばしば「プロアクティブなサイバー」または「アクティブな防御」と説明されるが、その言語は、実際の変化がいかに制約されているか、いかに運用的であるかを隠している。
対応時間の崩壊
その転換の背後にある緊急性は、現代の攻撃がいかに急速に展開されるかに根ざしている。従来の流れ―初期アクセス、横展開、データ流出―は、複数の行為者にわたる緊密に調整された、ほぼ同時のアクティビティに崩壊している。
「初期アクセスから第二の脅威グループへのハンドオフまでの中央値は、2022年の8時間から、2025年にはわずか22秒に短縮された」と、JoyceはRSAの基調講演で強調した。
その圧縮は、より広い構造的な変化を反映している。サイバー作戦はもはや線形のキャンペーンではなく、アクセスブローカー、オペレーター、および現金化の専門家が並行して動作するエコシステムである。人工知能は搾取と移動の重要な段階を自動化することにより、そのモデルを加速させている。
「エクスプロイト開発のためのエージェント的アプローチにより、敵対者は人間が駆動する制御よりも速く進むことができるようになるだろう」と、Joyceは述べた。
Google脅威インテリジェンスグループのチーフアナリストであるJohn Hultquistは、侵入が進行中である場合、防御者はすでに遅れていると言う。「アクティブな防御は、城壁の外で、行為者が現れる前または城壁を叩き始める前に、機会を探している。」
Gerstellは同じ不均衡を、より率直に説明する。「悪い奴らは…利点を持っている」と彼は言う。
「プロアクティブなサイバー」の意味
より攻撃的な言語にもかかわらず、民間企業の関与への転換は、不平を言う組織による自警的なやり返しを想定していない。代わりに、既に存在する権限と能力を使用して、攻撃チェーンの前半で敵対者に干渉するためのより体系的な取り組みを採用している。
「明確にするが、これはハッキングバックではない」と、Joyceは述べた。「これは自分たちのプラットフォームを保護するための知識の法的かつ倫理的な使用である。」
実際には、そのアプローチは民事訴訟、協調的な取り下げ、ツールの公開露出、および製品の強化を組み合わせている。目標は、個々の侵入を止めるのではなく、エコシステム全体にわたるコストと摩擦を課すことである。
「私たちの目標は、エコシステム全体の経済を転換することであり、サイバー脅威オペレーションを非常にコストがかかり、非常に困難で、非常にリスキーにすることで、いかなる敵対者にとってもうは実行可能なパスではなくすることである」と、Joyceは述べた。
Hultquistは、このような種類の破壊が実際のが限定的な効果を持つことを強調する。「私たちは、敵対者に対してより長期的な効果を持つオペレーションを探しているか、または、実際に効果を維持できるようなペースで繰り返すことができるオペレーションを探している」と彼は言う。
その動力学は、プロアクティブなサイバーがどのようにフレーミングされているかの中心である。破壊は永遠の解決策ではなく、敵対者の能力を低下させ、時間を稼ぐ方法である。
Gerstellは、その活動がより物議を醸すようになる場所の実用的な境界線を提供する。「自分のネットワークでだけ何かをしているのであれば、それは防御に聞こえる」と彼は言う。「他人のネットワークで何かをしているのであれば、それは攻撃に聞こえる。」
民間企業が中心的である理由
プロアクティブなサイバーへの転換は、誰がその地形を管理しているかに根ざしている。「民間企業は敵対者が悪用する非常にインフラストラクチャを動かしている」と、Joyceは述べた。
同時に、サイバー脅威の規模は、政府が単独で処理できるものを超えている。
「政府がすべてのことをできる世界は存在しない」と、FBI元サイバー副長官であり現在Halcyonの上級副社長であるCynthia Kaiserは、CSOに語る。「私がFBIにいたとき、すべてのことをできる世界は存在しなかった。」
これは、民間企業の可視性と速度を公共部門の権限と組み合わせて、政府と業界の間のより深い運用統合の推進につながった。
Adam Maruyama、国防総省とNSAの元CTOおよびアナリストおよび反テロリズムの専門家は、より積極的な行動への転換は必要であるが、明確なルールが欠けていると述べている。攻撃チェーンの前半で行動することは、それらの操作がどのように管轄権全体で実施されるべきか、およびそれらが同盟国とどのように調整されるべきかについての問題を提起する。
「自分のネットワークの外で行動し始めると、あなたはすぐに管轄権と調整の問題に対処している」と、Maruyamaは語ります。「それらは完全には解決されていない。」
その透明性がなければ、より積極的な破壊の取り組みは、特にインフラストラクチャが米国の管理外に位置する場合、パートナー間でも摩擦を生じるリスクがある。
全国サイバー局長のSean Cairncrossは、目標を不均衡の修正として枠付けした。「この領域における敵対者側のリスク計算は、正しくキャリブレーションされていないようにみえる」と、彼は3月のMcCrary Institute Cyber Summitで述べた。
しかし、Cairncrossは民間企業の行動の周りに明確な境界線を引いた。「私は民間企業や企業がサイバー攻撃キャンペーンに従事することについて話していない」と彼は述べた。「それは私たちが話していることではない。」
断層線:どこまでが限界か
より前に行動する必要性の合意は、それらのアクションがどこまで進むべきかについての合意に拡張されていない。
Kaiserは、法的権限が明確で、エスカレーションリスクが低い犯罪行為者に焦点を当てることで実用的なパスを見ている。「業界がこの側面でできる最もリスクの低い方法は、犯罪行為者を相手にすることだと思う」と彼女は述べ、インフラストラクチャの取り下げと盗まれた資金の回収を指摘している。
彼女はまた、法的枠組みが進化する必要があるかもしれないと主張している。「今存在する法律を改めて見て、業界がインフラストラクチャを取り下げ、盗まれた資金を回収するのに役立つことができる方法があるかどうかを確認することが、主に見たいことである」と彼女は述べた。
その他はより慎重である。Maruyamaは、グローバルに分散されたインフラストラクチャの複雑さを指摘する。「彼らのインフラストラクチャが北朝鮮ではなく、フランスでホストされていて…またはマレーシアのような半同盟国でホストされていたら?」と彼は尋ねる。
Hultquistは運用的見地から慎重さを強化するが、目標設定の有効性の重要性を強調する。これが、Joyceが彼女の基調講演で、Googleが敵対者に対して使用する戦術が何であれ、彼らが「焼き尽くされたままである」ことを意図していると述べた理由の1つである。彼は「私たちは持続的な効果を持つオペレーションにコミットしている」と述べている。
これを行うことができるのは誰か
それらの緊張が解決されても、プロアクティブな破壊を実行する能力は、少数の行為者の間で集中している。
「これはGoogle ができることであり、Microsoftが行ってきたことであり、行うことができることだ」と、Gerstellは述べた。「中規模の企業はおそらくできない。」
必要条件には、単なる技術的能力だけでなく、法的権限、運用規模、およびインフラストラクチャの管理が含まれる。大規模なプラットフォームプロバイダーは、所有している環境内で行動でき、破壊に関連するリスクを吸収できる。ほとんどの企業はできない。
行動することができた組織の中でさえ、意欲は異なる。「彼らの一部はできるが、したくない」と、Gerstellは述べた。
CISOが取るべき行動は何か
企業のセキュリティリーダーにとって、プロアクティブなサイバーへの転換は、攻撃的または破壊的な役割を担う権限を拡大しない。代わりに、コアなサイバーセキュリティの基本を強化することが優先事項のままである。
「基本的なブロッキングとタッキングはまだ重要だ」と、Gerstellは述べた。
Kaiserは、企業の役割を主導的でなく参加的としてフレーミングしている。「私たちはすべてさらに何ができるか?」と彼女は尋ねる。特に、業界が「政府ができるよりもより迅速で敏捷に」行動できるテイクダウンと回復の取り組みをサポートする。
その参加には、運用準備が必要である:テレメトリーを迅速に共有し、証拠を保存し、プロバイダーまたは法執行機関が敵対者のインフラストラクチャに対して行動するときにリアルタイムで対応する能力。
CISOにとって、これは上流の破壊が内部の回復力の必要性を低下させないことを意味する。政府と大規模なサイバーセキュリティプロバイダーが攻撃者への圧力を増加させるにつれて、企業は継続的なアクティビティを期待すべきである。しばしば同じ行為者からのものであり、わずかに異なる方法で動作している。
同時に、法的制限は明確に残っている。組織の独自の環境の外で行動することは、ほとんどの企業が管理することに適していないリスクをもたらす。CISOの実用的な役割は、より攻撃的になることではなく、他の人がますます破壊を処理するシステムで効果的に動作することである。
