Blog

監視と応答の運用化

どのネットワークにも絶え間なく攻撃があり、セキュリティ実務担当者は組織の資産を守るために準備しておく必要があります。しかし、多くの組織はこれらの脅威の少なくとも一部を検出するテクノロジーを持ちながら、検出した脅威を効果的に追跡して対処するためのリソースが不足しています。 業界では過去数年、大規模な侵害によって数々の組織が苦境に陥ってきました。これまでは、脅威を軽減または検出するテクノロジーに必要な資金を調達できなかったり、インシデント対応を軽視したりするセキュリティ グループが多数ありました。しかし、攻撃や侵害が明らかになり、広く知られるようになるにつれて、組織は被害を受ける可能性を減らそうと努力しています。これに応じて、多くの組織は攻撃の検出に特化したチームを編成し、この任務をサポートするセキュリティ テクノロジーを購入するための予算を割り当てました。 この動きは多くの企業にとって朗報です。数年前までは、これらのセキュリティに関する新たな予算申請は認められなかったはずです。しかし、この分野には新たな困難がともないます。システムを開発して導入した後も、システムを効果的に運用するために管理や監視を行う専属チームが不可欠です。企業内にセキュリティ監視体制を構築するときは、ツールの導入後、次に示す点を検討する必要があります。 ツールの認識と配備 セキュリティ グループが、ツールによって影響を受ける可能性がある他のグループと相談せずにツールの導入を進めることはほとんどありません。他のチームはこれらのシステムがどのように機能するのかを理解して、インシデントの発生時に組織が迅速に対処できるようにする必要があります。たとえば、マルウェアの発生時にはデスクトップ チームが、フィッシング攻撃にはメール チームが、アプリケーション攻撃には開発チームが、それぞれ対処しなければならない可能性があります。インシデント対応中は他の部署もセキュリティ チームの延長として、同様の対応を求められます。 常に警戒を怠らない セキュリティの監視テクノロジーを導入した場合、その出力を絶えず監視して検討する必要があります。そうしないと、攻撃を検出したにもかかわらず被害を受けてしまうことがあります。情報セキュリティ チームが攻撃の通知用としてシステム内にアラートを構築する場合でも、このアラートを検討する要員を置かなければ、組織の防御態勢が低下します。コンプライアンスへの対応に追われ、組織が監査を通すためだけにこれらのシステムを導入することはよくあります。組織内でセキュリティ テクノロジーの調整や監視を怠ると、防御に死角が生じることがあり、大きなリスクとなります。 サード パーティの活用でギャップを埋める セキュリティ チームに予算があるものの、システムを監視する人員がいない場合、論理的な解決策としてサード パーティのサービスの活用が考えられます。警戒を手助けできるMSSP(マネージド セキュリティ サービス プロバイダー)は多数あります。これらのMSSPは内部セキュリティ チームの拡張要員として働き、専門知識を提供するとともに、組織がシステムを監視できない時間帯をカバーします。 まとめると、監視というものは、その出力に対処してはじめて、効果を最大限に発揮します。この必須テクノロジーを導入した組織は、大切な資産の防御を確かなものにするために、結果への対処方法を明示した計画を持つことが不可欠です。

モノのインターネットはビッグ ブラザーの再来か

長年、私のPCはXP上で動いてきました。Microsoftが誇る最も堅牢で安定している不屈のオペレーティング システムです。何年も乗りに乗って、走行距離計が32万キロに達してもまだ走れた私の愛車ダッジ アスペンによく似ています(まさに当時のEnergizerです)。しかし、私が愛したグリーンのツートンカラーに塗り分けられたこのガス食い虫も、ついに買い換えなければならなかったように、私のタワーPCも(Microsoftのパッとしないレビューにも関わらず)後継のWindows 7、Windows 8、そしてWindows 10に換えなければなりませんでした。そのインストール中に、私と家族のプライバシーがどのようにして突然露呈し、どの程度のリスクにさらされるかに気付きました。 それはすべて、Microsoftのプライバシーに関する声明に由来します。この声明は、私がWindows 10を購入したときにデフォルトで同意し、エンド ユーザー ライセンス契約を締結したもので、次のような文言が含まれていました。 Microsoftは効率的に業務を行い、サービスでは最高の利用体験を提供するために個人情報を収集しています。ユーザーがMicrosoftアカウントを作成する際、Bingへ検索クエリーを送信する際、Cortanaに音声コマンドを行う際、文書をOneDriveにアップロードする際、サポートにご連絡いただく際など、直接個人情報を弊社に提供していただきます。その一部は、お客様が弊社サービスをどのように利用しているかを記録することで入手します。そのための手段として、たとえば、Cookieなどの技術を使用したり、お客様のデバイスで実行されているソフトウェアからエラー レポートや使用データを受信したりします。また、(他社を含む)サード パーティからデータを入手することもあります。  おぉ、非常に具体的です。次のようにも書かれていました。           ユーザーの同意の下、または取引を完了する、またはユーザーが要求した、または認証したサービスを提供するのに必要な範囲で、弊社はユーザーの個人情報を共有します。また、弊社はMicrosoft 関連会社、子会社、および代理で業務を遂行するベンダーと、法律により要求される、または法的手続きに対応する際に、またはお客様を守るため、命を守るため、サービスのセキュリティを維持するため、およびMicrosoftの権利または財産を守るために個人情報を共有します。  言い換えると、Microsoftの顧客としては、サービスをどのように利用してもプライバシーなどないということです。実際にこの使用条件によると、同社にとっては、ユーザーの行動から収集したデータを集約して処理し、同社が望む任意の対象として、子会社、ベンダーなどの他、同社が必要とみなせば、法的執行機関にも配布することが解禁されたのと同様です。 これはほんの一例で、インターネットの危険性という氷山の一角に過ぎません。SHODAN(Sentient Hyper-Optimized Data Access Network)に関する最近のこの投稿について考えてみましょう。SHODANはインターネット接続デバイス(たとえば、IoTなど)を対象とするオンライン「検索エンジン」です。 投稿に書かれているように、ShodanはGoogleのスパイダー ボットのようにネットをクロールし、サービスに入り込み、そこで見つけたものを記録した上で、検索可能な索引を生成します。 これは必ずしも悪いことではなく、ホーム ルーターにハッカーを寄せ付けないようにする場合などに特に有効です(これが発生する原因と手法はこの投稿に書かれています)。しかし、このような公開によって、あらゆる種類のいたずらに対してルーターを開放してしまうことになります。 最もおぞましい結果として考えられるのは、設置したWebカメラにインターネットからアクセスされることでしょう。ShodanはWebカメラを発見して索引化し、ログイン プロンプトさえも記憶できます。子供部屋に設置したWebカメラを通じて不審者が「盗聴」したり、家の中の別の場所を盗み見たりする不気味さを想像してみてください。案の定、Shodanで最も人気がある上位5位の検索のうち、3件がオンライン カメラに関するものです。したがって、すべての条件が揃った上、使っているオンライン カメラが十分に安全でなければ、Shodanはオンライン カメラに侵入し、子供部屋や、もしかしたらあなたの寝室からライブ フィードを直接送信できてしまいます。 私たちのプライバシーは、インターネットからのリスクにさらされていると考えられます。では、このようなプライバシー侵害をまったく新しいレベルに引き上げる可能性のある、モノのインターネットではどうなるでしょうか。次のような例について考えます。 Microsoft Xbox。このKinectデバイスにはビデオ カメラとマイクロフォンが搭載されていて、ユーザーのやり取りを取得して記録し、同社に送信することができます。実際に、この製品の使用条件には、デバイスの使用時は「ユーザーはどのレベルのプライバシーも期待すべきではない」と明記されています (どこかで読んだ記憶はありませんか)。 Verizon。同社は定性的なターゲティング広告の精度を高めるために、薄型テレビやDVRに組み込んで「環境アクション(ambient action)」を監視するカメラの特許を取得しようとしました。つまり、ユーザーの挙動を逐一観察して、ユーザーが次回のコマーシャル タイムに興味を示しそうな広告の種類を決める仕組みです。 Google。 …

E5:蠅の群れとスズメバチ – スズメバチの一刺し

ゴーストは城を見下ろす丘の上で辛抱強く待ちながら、ここ数日を振り返った。  国境からの旅にはいろいろな出来事があった。  王国に初めて足を踏み入れて以来、物陰から物陰へと隠れ、あれこれ考えながら過剰に警戒しつつ道を進んできた。  打ち捨てられた狩猟用の掘建て小屋、古い洞窟、荒れ果てた納屋、人けのない寂れた小道、これらはすべて、用心深く野山を旅するゴーストに隠れる場所を与えてくれた。 ゴーストは検問所を通るたびに新たな身分証明書を使わざるをえなかった。  同じものは二度と使わず、身分証明書を焼き捨てた痕跡もまったく残さなかった。  城に近づくにつれ、危険がせまっているのを感じた。  護衛の数は多かった。  警戒体制はやっかいだったが、ゴーストの技量をもってすれば問題ではなかった。  護衛たちの注意はほかに向けられていた。  王国の住民はゴーストを気にも留めずにやり過ごした。  ゴーストは住民の中に一瞬にして紛れ込むことができた。 ゴーストには、一つの動機を持ち続けるという強みがあった。  ゴーストは辛抱強く、粘り強く、目的の達成に向けて燃え上がる野望を持っていた。  物陰に隠れる術を知り、  複雑な地形ではあらゆる窪地や割れ目を見つけ出した。  ゴーストこそ、盗みの天才であり、社会にとって真の脅威であった。 ゴーストはときどき、単なる護衛ではない何か違うものの存在を感じることがあった。  何かが忍び寄ってくる。  ゴーストはそれを感じた。  別の眼差しが自分の影を横切るのを感じた。  その眼差しはゴーストの存在を察知しなかったが、その存在は確かなものであった。  その眼差しは探索し、  綿密に調査していた。  ゴーストはハンターの存在を感じた。  この脅威は一歩ずつゴーストを追い詰めていたが、ゴーストはこれを試練の一部と受け止めた。  ハンターを打ち負かすことはスリルの一部であり、  ゴーストはこれを楽しんだ。 ゴーストは城を取り囲む巨大なモミの木の暗がりでうずくまり、次の一手を考えていた。  門のざわめきがゴーストを現実に引き戻した。 門のそばにいた兵士たちは警護の交代のために疲れた表情で集まっていた。   城の中からカツカツという靴音が鳴り響いた。  ゴーストは木陰で身構えた。  新しい軍団の一行が城を出て巨大な跳ね橋の前に集合した。   兵士らが集まっている間に、灰色のマントで闇夜に溶け込み、ゴーストは草むらを横切った。  軍団長が点検を終えるまでに、ゴーストはすでに壁を伝わり開かれた門へとせまっていた。   軍団長は新たにやってきた兵士たちに最後の指示を出した。  瞬間、幻のようなものがその門を通りすぎた。嵐のなかの囁きほどの音も立てなかった。すでにゴーストは門の中に侵入し、国王の住まいの奥深くにあっという間に身を潜めた。 ***** マーティは靴紐を結ぶために腰をかがめた。  すでに長時間働き詰めのマーティは、とっておきの切り札を使おうとしていた。幸運をよぶConverseのスニーカーだ。  それは履き古しのスニーカーだった。  キャンバス地は擦り切れて色があせ、灰色や青色や緑色が混じった名状しがたい色に変わっていた。靴ひもを通すハトメのいくつかは、年月とともに失われていた。  ゴム底はすりへり履き古されていたが、まだかろうじて無事だった。  マーティは器用な指先で靴紐をしっかり締めた。 …

コンテキスト ベースの次世代型認証:主な特徴と持続性

セキュリティ エコシステム内部の特定のコンポーネントを分析する際は、どのような場合でも、始めにシステムを俯瞰的に捉えると把握しやすくなります。そうすれば、インフラストラクチャの中でコンポーネントを最も効率良く配置できそうな場所を正確に特定することができます。ミッション クリティカルな部分はどこか? 別のコンポーネントに置き換えることで有効に活用できる部分はどこか? 現在のセキュリティの問題に対して効率の悪いソリューションや効果の薄いソリューションとなる部分はどこか? 自社の情報セキュリティ システムに次世代の認証を導入することを検討する際は、このようなマクロな視点でセキュリティを眺めてみることも必要です。無数のエンドポイントや各種のインターフェイスによってほぼ無限にネットワーク化された環境の中で、効果を発揮できるようなユーザー確認方法を選ぶ必要があります。 現代の確認方法のコンテキストを調べてみた結果、いくつかの新しい手法が、今日の非常に複雑なシステムにとって最適であると考えられます。いま申し上げたことは、一見自明のように思われるかもしれませんが、そうではありませんでした。環境によって常に確認方法が決定されるとは限りませんし、その逆もまたしかりです。しかし、ITのリーダーたちが今、最終的に作り出そうとしているコンテキスト ベースのユーザー確認方法では、環境が主要な要素となっています。 次世代のセキュリティではコンテキストが主役 次世代の確認方法はコンテキスト ベースになります。今日のコンピューティング環境の規模や流動性、そしてそれらがもたらす課題を考慮すると、こうしたセキュリティ手法が最も適しています。セキュリティの美学という観点から見た場合、コンテキストを中心に据えるアプローチには、もう1つの次世代のユーザー確認アプローチである、リスク ベースの認証アプローチが含まれるという利点もあります。 以前、RSAでは、「今日の世界で確認の方法が有効であるためには、ログイン試行のコンテキストを把握し、それらを分析してリスクを判断し、それに応じて要件を変化させる能力がなければならない」というお話しをしました。コンテキストは、次世代の確認における基本的な開発原則であると考えられます。前世代に開発された確認方法では、コンテキストの分析はせず、逆に、確認方法から得られたデータをコンテキストの特徴づけに利用することもしていませんでした。 次世代の認証の主な特徴 CSO Onlineの最近の記事では、次世代の認証の主な特徴として次の9つをあげています。   パスワード不要   分散型     プラットフォーム非依存型     より高度な暗号法の利用     匿名性     多要素     ダイナミック     モバイル     優れた拡張性     これらの特徴を確認モデルの中で組み合わせることで、現代の複雑なセキュリティ エコシステム全体を通じてその能力を発揮できるようになることは、比較的簡単に理解できるでしょう。 もう1つの特徴:持続性 次世代の認証にはまた、持続性も必要です。「Enduring User Authentication: You Should Be Reimagining Your…

DDoSの取り締まりは恐喝の「交戦規則」を変えるか?

アカウントの乗っ取り、DDoS(分散型DoS)攻撃、ランサムウェア、個人や団体を標的としたあからさまなサイバー恐喝の蔓延は、ハッカーによる攻撃の激化というだけでなく、私たちの交戦規則に関しても問題を投げかけています。「悪人たちの規則は私たちと同じではない」という現実を踏まえて、私たちはこうした問題のすべてにどう対処していけばよいのでしょうか? 今回の考察で真っ先に思い浮かんだのは、最近、DDoSの「サイバー恐喝」グループであるDD4BCにかかわった容疑者たちが(ビットコインを標的としたDDoSで)逮捕された事件です。このサイバー集団は逮捕により打撃を受けたはずですが、次の日には新たなランサムウェアがクラウドへの攻撃を開始しました。つまり、こうした特定の個人が犯罪の場から排除されても、すぐに代わりが登場するということです。おそらくは(逮捕されるという)リスクを補って余りある(身代金という)報酬があるのでしょう。 ランサムウェアやそれに関連するオンライン犯罪にかかわる個人が入れ替わることは重大な問題ですが、もう1つ、それよりもずっと重大だと思うことがあります。Javelin Strategy & Researchで不正行為対策およびセキュリティ対策の責任者を務めるAl Pascual氏の考察は、そのことを示唆しています。Pascual氏は、今回の取り締まりによって、DDoS恐喝者が発見され、逮捕され、訴追を受ける可能性があることを彼らに明確に知らしめているものの、国家間の国際的な協力体制には不備がある(犯罪者引き渡し条約の不備など)と指摘しています。ランサムウェアのほとんどが警察当局の訴追範囲を超える一部の地域から発しているという状況の下で、こうした仮想世界での犯罪を食い止めることは現実的ではありません。 「旧来の戦い」と「不釣り合いな戦い」 Pascual氏も、先に触れた交戦規則について詳しく考察しています。 こうした「規則」は、戦争のような状況では遵守されることがあります(たとえば、関係国に対して拘束力のあるジュネーブ条約や、米国が戦闘地域における市民の死者を減らすために使用している「スマート」爆弾など)。しかし、DD4BCのような恐喝者を抑止しようとする場合、私たちがこうした犯罪者をどのように認識するのか、そしてどのように彼らと継続的に戦っていくのかという点が問題になります。 犯罪者に対する私の認識は(これは正確な認識だと思いますが)、彼らは私たちよりも行動が機敏であり、私たちのセキュリティ プロトコルよりも身軽に変化できる、というものです。理由は簡単で、彼らはいとも簡単に必要なツールを購入したり、情報を共有したりできるからです。どれだけ多くのセキュリティ対策を実施しようと(さまざまなパッチやウイルス対策アプリケーションを組み合わせて、あとは神頼み)、サイバー恐喝者は、地理的や境界や政治的な境界、企業のポリシー、政府の規制に縛られることはありません。 彼らには、初めて組織を立ち上げ、初めて私たちに対してDDoS攻撃を仕掛けてきたときから掲げている交戦規則があります。その規則に従って、彼らは、サイバー犯罪の地下組織や、闇のWebや、ソーシャル メディアを通じて互いに共謀し結託しています。その一方で、企業団体も政府機関も、その多くが情報の共有に頼らざるを得ない状況ですが、そうした情報では、今日私たちを(ゼロデイ攻撃などで)攻撃している悪人たちに十分対処できるだけの必要なデータやインサイトが、容易に得られるとは限らないか、場合によってはまったく得られず、頻度や激しさがますます高まっているDDoS攻撃にはほとんど対処できていません。 言い換えると、私たちが従来こうした脅威に対抗するために頼ってきた既存の「プレイブック」は、もう時代遅れであるか、または間もなく時代遅れになる、ということです。 情報共有の価値 では、これからどのようにして、これらの脅威と戦えばいいのでしょうか? 今後逮捕者が増えることは引き続き期待できますし、企業どうしが足並みを揃えて、自社のデータの身代金を払わないという統一的なポリシーを策定することもできます。しかしその一方で、世界的な規模で、あらゆる業界にわたって、一貫性のある詳細な情報共有が必要だという声も多く聞かれます。セキュリティ ホールのすべてに対策を施し、長期的な整合性を保つためには、そうした情報のギャップを埋めることが唯一の確実な手段になります。 ずっと以前から、インターネットによってファイアウォールや境界や規制が取り払われてきていることは疑う余地がありません。私たちはこれまで、自ら依存し信頼してきた組織や機関において私たち自身の安全とセキュリティを保つために、さまざまなセキュリティ措置を講じてきましたが、そうしたものすらインターネットによって取り払われてきています。だからといって、ここで白旗を揚げてサイバー恐喝やDDoS攻撃にリソースを費やし続けなければならない、というわけではありません。そうではなく、ビジネスの継続と保護に必要な情報を集めるために、国際的な業界組織やセキュリティ専門家と連携を図るという決意を固めることが必要なのです。 善い行為であれ悪い行為であれ、行為の原動力となるものは、その行為によってもたらされる結果です。現実の結果が伴わなければ、交戦規則は決して変わりません。 RSAの不正行為やリスクに関する情報の詳細については、次をフォローしてください。@RSAFraud

E5:蠅の群れとスズメバチ – 虫たちの攻撃

涼しい風が窓を通り過ぎ、ウィザードの机の上にある巻物がかすかな音を立てて揺れ動いた。  賢明な彼は、ちらかった紙が飛んでいかないように大きな巻物を重しにして載せた。  その他の紙には重い文鎮を載せた。  すでにひんやりとする季節になっていたが、ウィザードには仕事部屋を吹き抜ける爽やかな風が心地よかった。  眉間の汗を乾かすために、この風がちょうどよかったのだ。  客人の到着を待つ間、汗をかいていたのは、骨の折れる仕事をしていたからではなく、不安が高まっていたからだった。 ふと、何か小さなものの動きが彼の目に留まった。  風に乗って窓から虫が飛び込んできたのだ。  「この季節にしては妙に元気のいい虫だな」ウィザードはそう思った。  不規則な動きを目で追っていると、やがて小さな虫は彼の机の上に止まった。  彼はすぐさま巻物を手に取って虫をぴしゃりと叩き、自分の反射神経がまだ衰えていなかったことに気をよくした。 そこへ、足音が聞こえてきた。同僚たちの影がドア越しの廊下を動いてくるのが見えた。  王国の幹部たちが1人ずつ入室し、会議用の大きな円卓に着席した。  ウィザードは深いため息をつきながら立っていた。  仲間や同僚たちは、ウィザードの顔を一目見て、状況の深刻さを理解した。  皆沈黙したまま、ウィザードが話し始めるのを待った。 ***** MagnaCorp社のCISOは、目の前にあるメモを整理しながら咳払いをした。  彼は着席し、自分の手書きのメモをじっと見つめながら、無意識にペンをいじっていた。  同僚たちは彼の姿を見て、ふだんは幹部として冷静な彼がひどく動揺しているのを即座に感じ取ることができた。 「デイブ、早速本題に入ってください」CIOのスタン・マスターズが言った。  彼は肩幅が広く、思慮深い眼をしていて、顎ひげを生やしていた。  彼は問題解決に長け、熟慮の人であり、行動の人だった。  MagnaCorp社の巨大な技術部門の責任者として、業務のあらゆる側面にわたって重大な責任を負っていた。  彼の革新的で洞察力に富んだリーダーシップのおかげで、MagnaCorp社はITの活用という面で業界最先端の会社となっていた。   とにかく議題を持ち込んで徹底的に議論するというスタイルを好む彼にとって、この場の躊躇は我慢がならなかったのだ。 「分かりました」デイブはきっぱりと言って、うなずいた。「事の次第はこうです。  このたび、我が社でかなり大掛かりなセキュリティ侵害が発見されました。  私のチームが調査に当たっていますが、さまざまな攻撃によって管理アカウントのセキュリティが侵害された一連の形跡を確認しました。   対応チームを発足させ、現在システムの特定や分析に当たらせているところです。」 一瞬時が止まり、室内に緊張が走った。 CCO(最高コンプライアンス責任者)のシェリル・ウォーターズが沈黙を破った。  「どのような情報がアクセスされたか、把握していますか?  どのようなデータがセキュリティ侵害を受けたんですか?」 CCOとして、MagnaCorp社全体にわたってポリシーを設け、適正な業務を確保するというシェリルの任務は、とても困難なものだった。  世界の隅々にまでビジネスの範囲が及ぶなかで、CCOは、MagnaCorp社が規制団体や業界監視団体にかかわるトラブルに巻き込まれないようにするという責務を負っているのだ。  だが彼女は、規則の遵守にこだわることでそうした役割を精力的に果たしていった。  彼女の「規則は破られるためにあるのではない」という信念は、MagnaCorpの全社的なスローガンになっていた。  彼女がさしあたり懸念しているのは、個人情報のセキュリティが侵害されたのかどうか、ということだった。 デイブはうなずいた。  「今のところ、個人情報や財務データへの不正なアクセスを示す兆候はありません。」 CCOは安堵のため息を漏らした。 最高監査役のリック・カッチマンが言葉を挟んだ。  「でもまだ調査中なんでしょう? まだ断定はできませんよね」 MagnaCorp社内では気難しいと評判のリックだが、会社を成功に導いた彼の献身的な活躍は伝説となっていた。  彼が同僚の幹部に絶えずプレッシャーをかけ、業務やリスクの発生について問いただすのはひとえに、MagnaCorp社を世界一の会社にしたいという思いからだった。 「そのとおりです、リック。  あらゆる手掛かりを調べているところで、アクセス ログを徹底的に分析しています。  どうか私を信頼してください。  チームが全力でこの問題に取り組んでいますから。」 ここで幹部たちが一斉に発言し始め、会議は騒然となった。 デイブが両手で皆を制した。  「皆さん。 …

先行指標を利用した脅威の検出の自動化と早期検出

セキュリティ モニタリング プログラムやSOC(セキュリティ オペレーション センター)チームの究極の目標は、脅威の検出を自動化すること、攻撃ライフサイクルの早い段階で脅威を検出すること、脅威の実行者がターゲットのビジネスを妨害したり、IPや金銭を盗み取ったりするという目標を達成できないようにすることにあります。「脅威の検出の自動化」は簡単なことのように思えるかもしれませんが、どうすれば実現できるのでしょうか。  これは、適切なデータを収集し、攻撃者のTTP(Tactics, Techniques and Procedures:戦術、手法、手順)を把握およびプロファイリングすることによって実現できます。 攻撃者がCC(コマンド&コントロール)サーバーを利用してターゲット システムを攻撃するケースを取り上げてみましょう。このケースでは、攻撃者は一連のTTPを実行し、通信を確立してターゲット システムの制御権を奪います。   多くの場合、組織がCCアクティビティを検出したときにはすでに手遅れになっています。攻撃者が行動を起こし、組織に悪影響を与えた後になってようやく気付くのです。 脅威の検出を自動化し、攻撃ライフサイクルの早い段階(攻撃者が足がかりを得ようとしている段階)でCCエクスプロイトを検出できるとしたらどうでしょうか。これはどのようにして行うのでしょうか。  これを実現するには、適切なデータにアクセスすること、攻撃者のTTPを把握およびプロファイリングすること、UEBA(User and Entity behavior analytics)を使用して異常を検出することが必要になります。  攻撃者による一連の行動や、ユーザーおよびエンティティによる各種の異常なアクティビティは、CCエクスプロイトの先行指標である可能性があります。この指標が検出された場合、詳細な調査を行い、攻撃を阻止するための対策を講じる必要があります。 ここで、先行指標と異常なアクティビティをいくつか見てみましょう。これらは単独でもCCアクティビティの適度な指標になりますが、まとめて見ることで全体像をより明確にすることができます。   ビーコニング:一定の間隔で、または決まった時刻に特定のURLに送信される定期的なトラフィック   アクセス頻度の少ないドメイン:組織内の多くのホストからはほとんどアクセスされないドメインとの通信     異常なユーザー エージェント:少数のエンタープライズ ホストで使用されている、HTTPトラフィックを作成するソフトウェア(標準的なブラウザーを除く)     リファラーの欠如:HTTPヘッダー内に直前にアクセスしたサイトの履歴がない (そのWebサイトに到達するためのリンクを誰もブラウザーでクリックしていない)     ドメイン年齢:エンタープライズ ホストからアクセスされたドメインが新規登録(WhoIS)     疑わしいドメイン:ブラックリストに登録されている、感染したホストからしか使用されていないなど     これらの指標はほんの一例で、他にもさまざまなものがあります。   一般に、セキュリティ アナリストはこれらのアクティビティや指標を手作業で確認することによってCCエクスプロイトの根本原因を選別し、特定します。  しかし、CCの検出を自動化し、発生と同時に検出できるとしたらどうでしょうか。  上記のアクティビティが一定期間にわたって次々に発生する場合、攻撃が計画されており、脅威の実行者による組織へのセキュリティ侵害(組織のシステムの機密性、整合性、可用性に対する悪影響の発生)を阻止するための対策をSOCチームが直ちに講じる必要があると判断できます。  組織は機械学習を利用することで、上記の指標から得られたデータを一般的なリスク スコアに関連づけることができます。手動による入力、調整、署名は一切必要ありません。 CCアクティビティの検出を自動化し、攻撃ライフサイクルの早い段階で検出できるようにすることは、セキュリティの理想を実現するようなものです。攻撃者がビジネスに悪影響を及ぼす前に、SOCチームが対策を講じることができるのです。この分野におけるRSAとRSA Security Analyticsにご注目ください。RSAのお客様は、CCだけでなく今後現れるその他のTTPも、攻撃ライフサイクルの早い段階で自動的に検出できるようになるでしょう。  

サイバー脅威インテリジェンス プログラムの基本原則

私は最近、ヨーロッパのある通信事業者向けのSOC(セキュリティ オペレーション センター)の構築に関連して、CTI(Cyber Threat Intelligence:サイバー脅威インテリジェンス)プログラムの開発を依頼されました。その目的は、組織に攻撃を仕掛ける可能性がある脅威の実行者の動機、能力、目的を詳細に把握し、広範なSOCプログラムの一環として適切な脅威対策を講じられるようにすることです。提案された方針は、市販のインテリジェンス ツールをやみくもに購入するのではなく、要件に基づいたアプローチを採用するというものでした。 要件に基づいたモデルの開発は、CTIプログラムが成功するかどうかを左右する極めて重要な任務です。その目的の1つは、収集したインテリジェンスを利用して、敵対者のTTP(Tools,Tactics, and Procedures:手法、戦術、手順)に関する情報を戦略面と戦術面から分析し、(データ サイエンス モデルと機械学習モデルを使用して)さまざまなレベルの意思決定者に伝えることです。効率的かつ効果的なCTI戦略を策定することで、セキュリティの投資収益率を高め、組織の資産に対するリスクを減らすことができます。 さらに、以下のような無駄な作業が行われることがよくありますが、HVIA(High-Value Information Assets:高価値の情報資産)の保護に重点を置くことでこれらを行わずに済むようになります。   対応する時間がほとんどまたはまったくない指標の特定   大量の古いデータや重複データの収集、集約、分析     純粋に定量的なKPIとメトリックに対する過度な信頼(定性的なデータを使用しない)     組織の中心的なビジネスに関係のない一般的な外部の脅威インテリジェンスの処理     ご存知のように、CTIソリューションでは、実用的なデータをタイムリーで的確かつ適切な方法で(また、それらのデータを使用する状況において最適なペース/頻度で)提供する必要があります。また、既存のセキュリティ管理を考慮する必要があります。既存のセキュリティ管理を通じて、すでに特定されている脅威への対策を修正できる場合があります。また、既存のセキュリティ管理が脅威への対策そのものになる場合もあります。これにより、脅威対策の修正を行い、技術面およびビジネス面の具体的な問題を特定して解決することができます。 特に、ユースケースの範囲を広げることで、CTIモデルの適用範囲にさまざまなメリットが得られます。たとえば、以下のようなメリットが得られます。   予防:脅威インテリジェンスを利用してC&Cインフラストラクチャとの通信をブロックすることにより、データ漏洩を防止できます。たとえば、組織のセキュリティ エコシステムで脅威インテリジェンス データを取得することで、内部のホストが悪意のあるIP/ドメインと通信しようとするのを監視することができます。   検出:セキュリティ違反をすばやく特定できれば、ビジネスへの影響は小さくなります。ディープ パケット インスペクションやネットワーク セキュリティ監視ソリューションを導入し、脅威インテリジェンス データを取得することで、他の予防メカニズムをくぐり抜けた可能性があるTTPを調べることができます。このため、セキュリティ アナリストが悪意のあるアクティビティに関するアラートをすばやく生成できます。     レスポンス:脅威インテリジェンスを利用することで、セキュリティ侵害の規模を推定したり、敵対者の「手口」を列挙したりすることができます。インシデント対応の際には、脅威インテリジェンスを利用してホストとネットワークのフォレンジック分析を行い、セキュリティ侵害を受けたシステムをすばやく特定できます。     脅威分析:攻撃パターンやよく使用されるTTPを資産の技術的なセキュリティ体制と組み合わせて把握することで、実装済みの防御メカニズムや必要な追加の脅威対策をより詳細に理解できるようになります。     データ分析:収集したデータを詳細に分析することで、特定の脅威の実行者に関連する活動を、動機や目的を含めて検出することができます。また、敵対者が持続的に攻撃している資産も特定できます。     脅威インテリジェンスの共有:最後になりますが、同業他社と情報を共有することで、脅威の活動に関連する他の脅威やTTPが存在するかどうかを判断できるようになります(これはおそらく、CTIプログラムを導入する最大のメリットです)。     予算の厳しい環境でも、要件に基づいた段階的なアプローチを使用してCTIプログラムを導入することにより、少額の投資で組織のセキュリティ体制全体を大幅に強化することができます。 今日のような脅威の状況においては、セキュリティやリスク管理に関する「特効薬」はありません。オールマイティ型のアプローチでは、敵対者を特定することも、重要な資産を保護することもできないでしょう。

信用できるのは誰? サード パーティ リスクおよびベンダー リスクの効果的な評価方法

多くの組織において、サイバーセキュリティは、純粋に技術的な要素からエンタープライズ リスクの要素へと成熟しつつあります。これは、情報セキュリティのリスクも、他のエンタープライズ リスクに対して使用されているのと同じ広範なフレームワークに照らして評価する必要があることを意味します。 これは大きな進化ですが、問題点もあります。 企業があらゆるリスクを共通のフレームワークに照らして評価する必要があるとはいっても、オールマイティ型のリスク評価ツールがあるわけではないのです。これは、サード パーティ リスクやベンダー リスクを効果的に評価する方法に関しては特に当てはまります。 サード パーティやベンダーがもたらすリスクは、一貫性のある方法で包括的に評価することが重要です。しかし、たとえば人事業務(または施設のセキュリティ業務)のアウトソーシングによって生じるリスクは、ソフトウェア プロバイダーやクラウド プロバイダーなどのテクノロジー ベンダーによってもたらされるリスクとは根本的に異なります。 たとえば、施設チームに権限や保証を付与し、すべてのスタッフの身元調査を実施することと、テクノロジー プロバイダーによってもたらされるリスクを軽減することとはまったく別の問題です。リスクにはさまざまなものがあります。しかも絶えず変化しており、新しい脅威も出現しています。さらに、ITベンダーによってもたらされるリスクの影響は短期間で広がることが多く、方法論を重視した、時間のかかる企業のリスク管理プロセスでは対処できません。業界のエキスパートによると、ほとんどの企業では脆弱性を解決するのに8~10週間かかるそうです。これは、サイバーセキュリティの世界では長すぎます。脆弱性は、数日や数週間ではなく、数分や数時間で悪用されることもあるのです。 結局のところ、ITおよび情報セキュリティのプロフェッショナルが、テクノロジー プロバイダーによってもたらされるリスクに特別の注意を払わなければならないのです。リスクはデータに依存し、絶えず変化します。そのため、ITのリスク管理業務に関する基準を満たし、サード パーティから企業を守る準備を整える必要があります。 では、サード パーティによる無用なテクノロジー リスクを回避するために、情報セキュリティのプロフェッショナルは何をすればよいでしょうか。以下に、推奨事項をいくつか示します。 すべてのプロバイダーに対して包括的なセキュリティ テスト(脆弱性テストを含む)を実施し、テストに合格したプロバイダーとのみ契約を結ぶ。 サード パーティと連携するプロバイダーに対し、契約の条件としてセキュリティ関連の資格を取得するよう奨励する。これは、サプライヤーの認定に役立つほか、エンタープライズ規模の組織がコンプライアンス プロセスやエスカレーション プロセスを作成する際にも役立ちます。 ベンダーの認定と継続的な脆弱性管理に関するプロセスを自動化する。これに関するツールをまだ持っていない場合は、入手することを検討してください。ITベンダーのリスク管理に関する分野には、さまざまなプレーヤーが存在します。このような自動化ツールを評価する際には、導入済みおよび導入予定のインフラストラクチャとの統合の可否、データ ソースの包括性、リアルタイムで対応して修復案を提示できるかどうかを確認します。 戦略の中でクラウド プロバイダーを特に重視する。Cloud Security Allianceは、クラウド プロバイダーとお客様の双方が利用できる標準とベスト プラクティスの作成に取り組んでいます。 このように、サード パーティ リスクを評価することは重要です。ITベンダーに関しては、独自の脆弱性を組織にもたらす可能性のある、特有の懸念事項があります。セキュリティ プロフェッショナルは、こうしたリスクを評価するためのフレームワークを作成する必要があります。しかも、エンタープライズ全体のリスクに加え、ITベンダーによってもたらされる特定の懸念事項にも対処できるフレームワークでなければなりません。