Absolute Secure Endpoint によるレジリエンスの適用
サイバーレジリエンスのゴールを現実の脅威に合わせ、攻撃中にエンドポイントの防御が損なわれた場合に複数の障害点に適応して組織を守るための戦略を導入します。
この投稿では、サイバーレジリエンスの目標を現実の脅威と一致させ、攻撃中にエンドポイント防御が損なわれた場合に複数の障害点に適応する戦略を導入する方法に焦点を当てます。この例では、まず
NIST Special Publication (SP) 800-160, Volume 2 の主要な原則を
MITRE ATT&CK Framework と組み合わせて適用し、敵対者がエンドポイントの検出と防御の制御を妨害または無効化するために取る攻撃経路を理解します。そして、この種の攻撃に耐え、そこから回復するためのレジリエンス戦略を策定します。
サイバーレジリエンス入門:大前提と目標
まず、どんなに万全の準備をしていても、サイバー犯罪者が組織の検知や防御を出し抜く可能性が常にあることを受け入れる必要があります。これは、セキュリティスタッフの訓練度、プロセスの徹底度、導入したテクノロジーの性能に関係なく、どんな組織にも常に起こり得ることです。
次に、攻撃者は検知されるまでの長期間、組織の環境内で持続できることを理解する必要があります。これは、侵害後、数週間、数カ月、あるいは数年にわたる潜伏時間を意味します。たとえば、ソフトウェアのサプライチェーンは、滞留時間が長いことで知られています。2020年に発生した
SUNBURST SolarWinds Orion 事件 (CVE-2020-10148) では、被害者の環境に最初にアクセスしてから検出されるまで 100日以上かかりました。最悪の場合、侵入は検出されない可能性があります。そのため、検討し実装するサイバーレジリエンスの技術やアプローチの多くは、このような前提に立つ必要があります。
NIST サイバーレジリエンス工学フレームワークによる戦略の策定
ひとつのサイバーセキュリティ対策だけでは脅威を阻止できないことがわかっている中で、次のステップは、サイバーレジリエンス (回復力) の 4つのハイレベルな目標 (逆境を予測し、耐え、回復し、適応する能力) を満たす柔軟な戦略を策定することです。ここでいう逆境とは、システムコンポーネントを侵害し、組織のシステム内に足場を築いている可能性のある、ステルス性のある、永続的で、洗練された、十分な資金を持つ敵対者 (すなわち、APT) にもたらされるものです。
目標と目的が定義され、どのような能力が必要なのか、つまりサイバーレジリエンス・ソリューションの「何を (What)」を特定できたら、次は「どのように (How)」するかを考えます。これは、以下で定義し、次のセクションで説明する 4つのレジリエンス目標を達成するために使用できる技法と実装アプローチです。
-
- 耐久: 逆境にもかかわらず、必要不可欠な使命または事業機能を継続すること
-
- 回復: 逆境時や逆境後のミッションやビジネス機能を回復すること
-
- 適応: 技術的、作戦的、または脅威的な環境で予測される変化に対応して、ミッションまたはビジネス機能、および/または支援能力を変更すること
MITRE ATT&CK フレームワークの活用によるサイバーレジリエンス・ゴールの定義
MITRE の Web サイトには次のように説明されています。「MITRE ATT&CK®は、実世界の観察に基づいた敵の戦術と技術に関する世界的にアクセス可能な知識ベースです。ATT&CK の知識ベースは、民間企業、政府機関、サイバーセキュリティ製品やサービスのコミュニティにおいて、特定の脅威モデルや方法論を開発するための基盤として使用されています。」
この演習では、MITRE ATT&CK フレームワークを使用して、敵対者がエンドポイント防御を回避するために使用する TTP (戦術、技術、手順) を理解し、それらを 4つのレジリエンス目標にマッピングします。これは、攻撃のライフサイクルを理解することから始まります。攻撃のライフサイクルは一般に、特定の目標を達成するためにさまざまな戦術を駆使して左から右へと流れていきます。被害者を偵察した後、敵は一般的に標的型フィッシング攻撃によって最初のアクセスを獲得し、認証情報を盗み出し、データの流出や流出後のランサムウェアの展開など、最終的な目的に到達するために他のさまざまな TTP を組み込んだ攻撃経路をたどります。
戦術を左から右に見ていくと、敵対者が攻撃ライフサイクルの各フェーズでアクションを実行する理由が理解できます。「防御回避 (Defense Evasion)」という戦術は、敵が最初のアクセス試行中またはその後に攻撃ライフサイクルの右側に進むことができたが、攻撃の次のフェーズに到達したくない、または到達できない場合に達成しようとするものです。これは、環境内に自分たちの存在を示す可能性のあるイベントを発生させることへの懸念や、EDR ツールが敵の前進を禁止していることが原因である可能性があります。攻撃経路のテクニックは、敵がどのように戦術を達成するつもりなのかを説明します。この場合、多くのサブテクニックのいずれかを使用してツールを無効化または変更することで、被害者の防御力を低下させることが望ましい結果です。
これで、サイバーレジリエンスの最初のゴールに到達しました。これは、敵対者が当社の防御を損なおうとすることを予測することです。このような攻撃に備える必要があり、そのためには、このような攻撃ベクトルを想定したサブテクニックを実行する方法を研究する必要があります。エンドポイント防御をバイパスするために過去に成功したテクニックのいくつかを以下に示します。
-
- 基本的なベクター: GMER、HitmanPro、PCHunter、ProcessHacker など、基本的なエンドポイント防御を回避するために使用できる一般的なツール
-
- 高度なベクター: DLL ハイジャック、BYOVD (Bring Your Own Vulnerable Driver)、スレッドプール・プロセスインジェクションを含む最近のベクターなどのテクニック
-
- 領域に依存しない行動:PowerShell の Get-Service、Stop-Service、Get-Process、Stop-Process コマンドレットや sc、net、tasklist、taskkill コマンドラインコマンドなど、オペレーティングシステムのネイティブ機能を昇格権限で活用
自己修復型のエンドポイントによる耐久性と回復性
エンドポイント・セキュリティツールを回避するために攻撃者が行う可能性のあるすべてのことを想定した上で、この攻撃にどのように耐え、どのように回復すれば、サイバーレジリエンス工学のフレームワークのさらに重要なふたつの目標を達成できるのかに話を移しましょう。最初の疑問は、敵対者が防御をうまく妨害できたにもかかわらず、エンドポイントツールから何の警告も受け取らなかった場合、この種の攻撃をどのように検出するかということです。
Absolute のパーシステンステクノロジーが有効化された場合、ユーザーには多くの選択肢があります。Absolute は 6億台以上のデバイスに組み込まれており、デバイスの再インメージ、ハード・ドライブの交換、ファームウェアの更新が行われても、それを無効にしようとする試みに耐えます。一般的に、敵はアプリケーションや OS の脆弱性を標的にした攻撃に限定されるため、防衛側は攻撃者より優位に立つことができます。
インストールされているセキュリティアプリケーションの健全性を社内すべてのデバイスで確実に監視し、エンドポイント検出・防御コントロールの機能が低下した場合のアラートを設定します。次に、Absolute Secure Endpoint のレジリエンス機能を使用して、攻撃者がエンドポイント・セキュリティツールを無効化、破損、またはアンインストールした場合に、アプリケーションが自動的に修復および再インストールされるように構成されていることを確認します。
Reach スクリプトの適用
エンドポイント・セキュリティツールの脆弱性が原因で、修復や再インストールを行うことができない場合、その脆弱性を緩和する方法は存在しないのでしょうか。また、特権アカウントの侵害やランサムウェアによる大量停止によって、エンドポイント・セキュリティツールのサポート基盤やエンドポイントさえも失ってしまったという状況も考えられます。この場合、デバイスの制御を取り戻すことができず、攻撃者は持続的な攻撃を続け、影響を受けたエンドポイントを調査する手段がなく、残された選択肢はデバイスに物理的にアクセスして手動で介入することだけという、非常に不安定な状況になります。
従業員が多くの地理的な場所に分散している現代のハイブリッド環境では、このような状況から回復することは非常に困難です。Absolute の Secure Endpoint Console への常時接続により、デバイスが完全に侵害されていても、検出、対応、復旧を行うことができます。Absolute には、帯域外の代替セキュリティツールやエージェントをリモートで展開する機能があり、それが困難な場合は、Secure Endpoint Console から強力なクエリと修復スクリプトを実行できます。
エンドポイント・インシデント・レスポンスの最後の手段
現実世界の脅威とサイバーレジリエンスのゴールをどのように整合させ、複数の障害ポイントに適応するソリューションを実装するかを理解したところで、この情報を利用して、最後の砦となるインシデント対応のプレイブックを構築する必要があります。このプレイブックは、主要なセキュリティ制御が無効化されたインシデントに備え、攻撃によってすべてのエンドポイントを管理する通常の機能が侵害または中断されたことを考慮するために必要なすべての手順を説明するものです。検討すべき主な活動には、以下のようなものがあります。
-
- エンドポイント・セキュリティツールのインストール漏れなど、劣化したセキュリティツールや構成の逸脱を検出するためのレポートやアラートを作成
-
- 管理者や主要な担当者が使用するエンドポイント資産など、重要なエンドポイント資産にタグをつけ、トリアージと検出および対応策の優先順位付けを支援
-
- 広範なインシデントおよび/または停電の発生時に、EUM を通じてエンドユーザに送信する帯域外の通信メッセージを準備
-
- Reach スクリプトを使用して検出および分析プロセスを実行する手順
-
- 同じ帯域外の機能を使用して、封じ込め、根絶、回復プロセスを実行する手順
自己回復型エンドポイントにより、災害時や災害後のミッションやビジネス機能を回復
-
- エンドポイント・セキュリティ・スタックの健全性の監視とレポート
-
- エンドポイント保護、エンドポイント検出と応答、統合エンドポイント管理、データ損失防止など、80種類以上のセキュリティに特化したアプリケーションの健全性に関するアラート
-
- アプリケーション全体の健全性、個々のデバイスで障害が発生した理由、修復の試行状況を強調するインタラクティブなレポートとウィジェット
-
- 障害が発生したセキュリティアプリケーションを自動的に修復し、再起動
-
- 削除されたアプリケーションを自動的に再インストール
-
- 準拠アプリケーション・バージョンへの自動アップグレード
-
- 従来のツールで障害が発生した場合に、アプリケーションの更新を弾力的に実行
John Bradley
Absolute Security
サイバーセキュリティ・プロフェッショナル・サービス担当ディレクタ
John Bradley は、Absolute Security のサイバーセキュリティ・プロフェッショナル・サービス担当ディレクタです。セキュリティ運用、インシデント対応、セキュリティ・プログラムの変革、リーダーシップ、アドバイザリー・サービスを中心に、サイバーセキュリティ分野で 20年以上の経験を積んできました。そのキャリアを通じて、進化し続けるサイバー脅威の状況を見事にナビゲートし、専門知識を活かして複雑なセキュリティの課題から組織を守り、堅牢なサイバーセキュリティ戦略の導入に向けて企業を導いています。