出典:Yuen Man Cheung via Alamy Stock Photo
意見
あなたのペリメータは強化され、SOCはゼロデイを高い警戒態勢で監視し、ファイアウォールは完璧です。しかし、あなたが柵を監視している間に、攻撃者は笑顔で有効な従業員IDを持って正面玄関から入ってきています。
現代の脅威環境では、攻撃者は常に「侵入」しているわけではなく、単にログインしているだけです。現在、サイバー侵害の約3分の1が有効な従業員認証情報を伴っており、これは主要な攻撃ベクトルとなっています。盗まれた認証情報を手に、AIに強化された脅威行為者は、信頼できる同僚として活動し、あなたの労働力のアイデンティティそのものをあなたの最大の脆弱性に変えています。
認証情報の盗難は新しいものではありません。変わったのは規模と、AIがこれらの攻撃をより速く、より安価で、より実行しやすくした程度です。かつて本当の技術スキルが必要だったフィッシングキャンペーンは、数分で大量に生成できるようになりました。盗まれた認証情報は自動的にプラットフォーム全体でテストおよびデプロイできます。その結果、悪意のあるように見えないため検出が難しい脅威となり、AIのおかげでそれが加速しています。
セキュリティチームは、認証情報盗難エコシステムがどの程度プロフェッショナルになっているかを過小評価することが多いです。脅威行為者は、盗まれた認証情報を発見して検証し、そのアクセスを他者に売却することを中心としたビジネスモデルを構築しています。買い手はもはや財政的動機がある単なるサイバー犯罪者ではありません。ダークウェブフォーラムから認証情報を購入して使用し、帰属を回避するために標準的なサイバー犯罪のように見える侵入キャンペーンを開始する国家主体の行為者も含まれます。
このプロフェッショナル化こそが、サプライチェーンをこんなに危険なターゲットにしている理由です。相互に関連した依存関係の環境では、1セットの認証情報がマスターキーとして機能する可能性があります。攻撃者はこの「ネットワーク効果」を完全に理解しています。彼らは協力し、スクリプトを共有し、アクセスを相互に売却して、可能な限り低いリスクで利益を最大化しています。
一方、防御者は、同じレベルの透明性で情報を共有していないため、不足しています。攻撃者はプロフェッショナルな企業のように活動している一方で、セキュリティチームはしばしば民間ベンダーフレームワークと根深い被害者非難文化によってサイロ化されています。このコミュニケーションの欠如は、攻撃者がサプライチェーン攻撃を実行しやすくしています。攻撃者が入手するために協力している一方で、私たちはパターンに気付くにはあまりにも孤立しています。
AIは、認証情報盗難の経済学を変えました。以前、より洗練されていない行為者を排除していた参入障壁を取り除きました。過去には、認証情報ベースの攻撃を大規模に開始するには、本当の技術スキルが必要でした。ログイン検証のためのカスタムスクリプトを作成し、検出されずにネットワークを移動し、検出を回避するために通常のトラフィックパターンにアクティビティを混ぜる必要がありました。
現在、その技術的なハードルは消えました。入るだけでなく、留まるためにも消えました。AIツールにより、攻撃者は盗まれた認証情報ファイルを取得し、プラットフォーム全体にそのデプロイメントを瞬時に自動化できます。内部に入ると、AI支援ツールは説得力のある行動パターンを生成し、正常なユーザーアクティビティを模倣し、攻撃者がネットワークをナビゲートするのを支援でき、正規の操作と区別がつかないようにします。以前は高度なトレードクラフトとカスタムツールを要求していたタスクです。大量の「スプレー」攻撃を実行しているか、ターゲット限定の侵入を実行しているかにかかわらず、彼らは伝統的な防御が対応するよう構築されていない速度でそれを実行できるようになりました。
研究によると、情報盗難マルウェア(これらの認証情報が最初に盗まれる主な方法)の量は、過去1年間で84%急増しています。より多くの認証情報が盗まれ、AIがそれらをより簡単に武器化するようになったため、セキュリティチームの「盲点」は拡大しているだけです。
検出モデルの転換
そのギャップを閉じるには、検出モデル自体の根本的な転換が必要です。攻撃者が実際の認証情報を使用して認証され、営業時間中に操作している場合、従来のアラームはしばしば沈黙したままです。優位性を取り戻すために、実務者は以下の対策を優先すべきです。
アイデンティティ監視を上流に移す:ダークウェブとアンダーグラウンドフォーラム監視は、月次レポートではなく、アクティブな応答ワークフローに統合される必要があります。マッチが外部で現れた瞬間、それは自動認証情報ローテーションおよび強制多要素認証(MFA)をトリガーして、その認証情報が本番環境に到達するずっと前に行われるべきです。
「フィッシング耐性」MFAを実装する:従来のSMSまたはプッシュベースのMFAはもはや現代の攻撃者中間者攻撃を阻止できません。FIDO2準拠のハードウェアキーまたは証明書ベースの認証に移行します。「持っているもの」がプロキシによって傍受される場合、それはもはや安全な第2要素ではありません。
認証を継続的なプロセスとして扱う:ユーザーが1回の成功したMFAプロンプトの後、無期限に信頼される「バイナリ」ログインから離れます。入力速度の突然の変化、通常ではないファイルアクセス、異なる場所からの「不可能な移動」ログインなどの行動信号に基づいてリスクをリアルタイムで再評価する連続適応信頼モデルを採用します。
AI社会工学に対するヘルプデスクを強化する:AI生成音声クローンは、「パスワードを忘れてしまいました」という呼び出しを大規模な脆弱性にしています。ヘルプデスクチケットに対して、既知のスーパーバイザーとのビデオ通話やフィジカルトークンの要求など、帯域外検証プロセスを確立して、認証情報のリセットを要求している人物がAI搭載の詐欺者ではないことを確認します。
「アイデンティティスプロール」を監査する:サードパーティの統合とサービスアカウントをインベントリ化します。これらはしばしばMFAをバイパスする静的認証情報に依存しており、めったに回転されません。最小権限の原則を適用し、すべてのサービスアカウントが定義された有効期限と指定された人間の所有者を持つようにしてください。
認証情報漏洩を優先度の高いシグナルとして昇格させる:漏洩された認証情報が現れた場合、対応は即座で全体的でなければなりません。これは1つのパスワードを変更するだけではなく、アラートの48時間前にこのアイデンティティがアクセスしたものについて「回顧」を実施することを意味します。セキュリティチームは、「有効なログイン」アラートをマルウェア検出と同じ緊急性で扱う必要があります。
認証情報ベースの攻撃への増加するシフトは、最も抵抗の少ないパスへの計算された動き、すなわち低リスク、高度に自動化され、最も強化されたペリメータさえをバイパスするのに極めて効果的です。検証モデルを進化させることに失敗した場合、本質的に鍵をエンジンに刺したままにしています。アイデンティティを静的ゲートとして見ることをやめ、それを継続的で優先度の高いシグナルとして扱い始める必要があります。そうしなければ、侵害の高いコストがそれらを見逃すことを不可能にするまで、警告サインを無視し続けることになります。
翻訳元: https://www.darkreading.com/identity-access-management-security/your-next-breach-business-as-usual
