Cloud Hopper:ゼロトラストの視点

政府が支援する中国の工作員(親しみを込めて「APT10」として知られている)によって組織された疑いのあるハッキングキャンペーンであるクラウドホッパーは、2014年から少なくとも2017年にかけて実施され、さまざまな業界の複数の西側企業に影響を与えました。このサイバースパイ活動の特定のコレクションは非常に重要であったため、作戦の規模、標的となった組織の範囲、収集された情報の種類、そして最も重要なのは、最初の侵害の性質そのものから、セキュリティメディアとビジネスメディアの両方で注目を集め続けました。Cloud Hopper は、攻撃者が被害者の マネージド サービス プロバイダー (MSP) を侵害し、これらを利用して MSP の「クラウド」から標的企業のネットワークに「ホップ」したため、現在ではよく知られた名前になりました。

侵害の詳細な分析を提供するPWCの詳細な Operation Cloud Hopper レポートなど、侵害に関する多くの優れた要約と詳細な記事があります。ここでは同じ情報を繰り返すのではなく、 ゼロトラスト フレームワークの観点からCloud Hopperを見て、特にこの種のセキュリティアプローチを採用することで攻撃者の有効性がどのように低下した可能性があるかを検討します。

Forrester Researchは、約10年前にゼロトラストを初めて導入し、「信頼するが検証する」というセキュリティの姿勢から、「何も信頼せず、すべてを監視し、最小限の権限」のアプローチへの移行を提唱しました。この移行は、多くの資産のグループを保護するために大規模な境界に依存することから、すべての資産をターゲットとみなす境界への移行であり、企業を攻撃に対してより脆弱にする固有の信頼を排除することを目的としています。

ゼロトラストフレームワークは、7つの柱にまたがり、これらを組み合わせることで、企業を保護するための包括的な戦略を提供します。また、攻撃が成功した理由を分析し、攻撃がもっと強かったらどの柱が攻撃を阻止するのに役立ったかを理解するための有用な出発点にもなります。明らかになるように、Cloud Hopper は過剰なレベルの信頼により大成功を収め、攻撃者は制御上の欠陥の完璧な嵐の中でそれを悪用することができました。

多くのデータ侵害と同様に、出発点は人材の柱の侵害でした。高度に標的を絞ったスピア フィッシング攻撃は、 標的となっている企業の両方のセクターに合わせた文書を利用しました。メッセージを受信する個人の職務。これにより、 悪意のあるペイロード が確実に実行され、攻撃者は MSP のネットワークへの足がかりを獲得し、被害者の資格情報を取得できるようになりました。さらに、被害者が管理者アクセス権を持っていれば、「参入障壁」はさらに低くなりました。ゼロトラストの観点からは、特権アクセスは、承認されたシステムからの承認されたビジネスニーズに基づいて、「ジャストインタイム」(必要な期間のみ、アクセスが不要になったら削除)で提供する必要があります。

次に倒れた柱はネットワークでした。この マルウェア は組織のネットワークを偵察し、主要な資産をマッピングし、永続的な足場を確立し、意図したターゲットに最も効率的に到達する方法を判断しました。Cloud Hopperの場合、これは、MSPネットワーク上の最初の侵害されたホスト(しばしば「橋頭堡」と呼ばれる)からクライアントの環境内の最終的なターゲットまでのパスを織り交ぜることを意味しました。もう 1 つの重要なネットワーク要素は、インターネット上のコマンド アンド コントロール (CNC または C2) 環境を通じて情報を送信し、命令を受信するマルウェアの機能でした。これら 2 つのフェーズ (ネットワーク トラバーサルによる偵察とコール ホーム機能) は、ゼロ トラスト フレームワークのネットワーク セキュリティ原則で対処される異なるタイプの障害を強調するため、個別に検討します。

まずコールホームの部分を取り上げると、このマルウェアはCNCインフラストラクチャと通信できることに大きく依存しており、このアクセスが失敗した場合には自分自身を完全に削除します。マルウェアが最も一般的に配信されるデスクトップ環境では、インターネットアクセスが生産性に不可欠であるため、インターネットにアクセスするためにWebプロキシを使用することがよくあります。組織は、このアクセスの管理方法に細心の注意を払い、承認された認証されたユーザーのみがプロキシにアクセスできるようにし、ユーザーが通常の業務機能を実行できるように、このアクセスが最小レベルであることを確認する必要があります。ただし、これらの制御が適切に実装されているにもかかわらず、攻撃者はドメインを登録し、これらのプロキシ レベルの制御をバイパスするために Web フィルタリング プロバイダーの正当なカテゴリに配置するだけで済みます。このような場合、すべてのWebアクセスのログ記録と監視は必須であり、通常のアクティビティからの逸脱を特定して調査できるように、エンドユーザーの行動分析に結び付けられる必要があります。

Cloud Hopper の成功の本当の鍵は、攻撃者が横方向に移動できることでした。

しかし、Cloud Hopper の成功の本当の鍵は、攻撃者が各 MSP ネットワーク内でほとんど制限を受けずに 横方向に移動できること でした。これにより、悪用される可能性のある利用可能なホスト、プロセス、ポートのマップを迅速に作成し、攻撃の次の段階で活用するのに最も適しているものを判断することができました。軍事的な言葉を借りれば、これはサイバー専門家による「アイランドホッピング」キャンペーンとよく表現されます。特権ユーザー資格情報の収集に成功し、比較的無制限のネットワークアクセスにより、攻撃者は一般的な管理プロトコルを使用して正当に見える方法でシステムにアクセスでき、レーダーをかいくぐる飛行を行うことができました。比較的労力の少ないネットワーク偵察により、MSPが各クライアントのネットワークにアクセスするジャンプホストを簡単に特定でき、そこから攻撃者は実際のターゲットにアクセスすることができました。

これは、デバイス、ネットワーク、ワークロードのゼロトラストの柱の失敗が融合したものです。 フラットネットワーク (セグメンテーションがほとんどまたはまったくないネットワーク)は、攻撃者にとって遊び場であり、この状況も例外ではありませんでした。MSPの内部ネットワークには適切なセグメンテーションや監視が欠如していたため、攻撃者は検出されることなく簡単に移動することができました。セグメンテーションは、ポリシーで明示的に許可されている場合を除き、攻撃者がネットワークをマッピングしたり、開いたパスを特定したり、移動したりする機能をブロックしていました。すべてのネットワークトラフィックを可視化することで、攻撃者の動きを把握することができ、ターゲットデータが見つかる前に攻撃を阻止するのに十分な早期に調査が開始される可能性があります。ジャンプ サーバー (要塞ホストとも呼ばれます) などの主要な資産は、MSP ネットワークとクライアント ネットワークの両方に接続していましたが、ネットワークまたはユーザー アクセスのいずれの点でも適切に保護されていませんでした。すべてのジャンプ サーバー アクセスに何らかの形式の特権アクセス管理を義務付けると、攻撃者がクライアント ネットワークに侵入する能力が大幅に制限されます。

Cloud Hopper攻撃は、複数の主要なセキュリティ制御の失敗を浮き彫りにし、組織が侵害の確率を100%と想定し、侵害を迅速に検出し、その影響を最小限に抑えることができるように環境を設計するアプローチである、セキュリティに対する別のアプローチの必要性を強調しています。高度な攻撃者の活動方法を考えると、最も賢明なアプローチは、すべてが 最小特権の原則 、つまりセキュリティに対するゼロトラストアプローチに基づいて構築されるアプローチです。