最近の3つのサイバー攻撃から学んだことが、ゼロトラストセグメンテーションを示唆

MITRE、デンマークのエネルギーインフラ、大英図書館に影響を与えたような最近のサイバーセキュリティインシデントは、侵害やランサムウェア攻撃の影響を軽減する上でネットワークセグメンテーションがいかに重要であるかを思い出させてくれます。  

これらの各攻撃は、 ゼロトラストセグメンテーション(ZTS) が、ラテラルムーブメントをプロアクティブに防御し、必然的に攻撃が発生した場合に事後対応的に封じ込めるのにどのように役立つかを示しています。これは、3つの攻撃のインシデントおよび対応レポートに反映されており、ネットワークセキュリティに関するNSAの最新のサイバーセキュリティ情報シートのガイダンスと一致しています。  

最近の3つのサイバー攻撃から学んだこと

侵害やランサムウェア攻撃に関するニュースは驚くべきことではありません。今日の複雑でハイパーコネクテッドなネットワークは、常に新しい脅威と発見されていないセキュリティギャップが存在することを意味します。重要なのは、組織が攻撃が発生したときにその影響を制限する準備ができていることです。

これら 3 つのニュース価値のある侵害は、セグメンテーションの重要性と、侵害への備えと存続におけるセグメンテーションの重要な役割を示す優れたケーススタディとして役立ちます。  

MITRE:セグメンテーションが横方向の動きを停止

今日の脅威の状況の事実は、侵害は避けられないということであり、これは堅牢なサイバーセキュリティで知られる MITRE のような組織にも当てはまります。しかし、MITREは2024年4月に、研究およびプロトタイピングのネットワークで侵害を経験したことを確認し、この現実に備えていました。  

MITREのインシデントに関する説明によると、未知の攻撃者は「当社のネットワークを偵察し、2つのIvanti Connect Secureゼロデイ脆弱性を介して当社の仮想プライベートネットワーク(VPN)の1つを悪用し、セッションハイジャックを使用して当社の多要素認証を回避した」という。MITREのIDテクノロジーでは、攻撃を防ぐには十分ではありませんでした。  

代わりに、セグメンテーションポリシーによる迅速な侵害封じ込めが、攻撃者の横方向の動きを阻止し、感染した領域を隔離し、潜在的な被害を制限する鍵となりました。  

「攻撃のさらなる拡大を防ぐために、影響を受けるシステムとネットワークのセグメントを隔離しました。このネットワークは企業全体のラボに接続されており、効果的な封じ込めにはアクセスインフラストラクチャをシャットダウンし、多様なラボのエッジシステムを隔離する必要があったため、エッジファイアウォールルールを変更するだけでは不十分でした。これをタイムリーに行うには、正確なネットワークインベントリが重要でした。」

また、ファイアウォールルールだけではラテラルムーブメントを阻止し、侵害を隔離するのに十分ではないという彼らの発見に注意することも重要です。代わりに、ゼロトラストアーキテクチャの一部としてのマイクロセグメンテーションは、レポートに基づいて感染したシステムと感染していないシステム間の接続と通信を完全にシャットダウンするために不可欠でした。  

MITREは攻撃を受けましたが、侵害の影響を迅速に確認し、封じ込め、軽減する準備ができていました。ネットワークセグメンテーションを中核とするゼロトラスト戦略が、彼らの対応の鍵でした。

大英図書館:セグメンテーションは侵害の被害を制限しただろう

2023年10月、 大英図書館 はランサムウェア攻撃を受け、利用者や職員の個人データを含む約600GBのデータがコピーされ、流出され、ダークウェブ上で販売されました。図書館が身代金の支払いに同意しないと、攻撃者はデータとシステムを暗号化し、一部のサーバーを破壊して、データの回復と復元を阻害しました。

この攻撃は、今日の脅威アクターの無差別な性質を浮き彫りにしており、大英図書館のような非営利慈善団体でさえ、攻撃を受けないとは考えられません。

この攻撃に関する 2024年3月のレポート で、図書館は、最新のシステムとレガシーシステムの組み合わせを含むセキュリティアーキテクチャには、ラテラルムーブメントを即座に阻止したり、攻撃を封じ込めたりする方法がなかったことを認めました。  

報告書は、今後、図書館はネットワークセグメンテーションを含む、より優れたサイバーレジリエンス戦略を実装する必要があると述べています。したがって、ネットワークセグメンテーションは、攻撃の成功によって引き起こされる損害を制限するために不可欠です。図書館のレガシーネットワークトポロジーは、攻撃が最新のネットワーク設計で可能だったよりも多くの損害を引き起こす可能性があることを意味しました。」

デンマークのエネルギー:可視性とセグメンテーションの欠如が広範囲にわたる混乱につながった

2023年5月、デン マークのエネルギーインフラ のさまざまな側面を担当する22のエネルギー事業者が、組織的で綿密に計画された攻撃により危険にさらされた。  

デンマークの重要エネルギーシステムに対する脅威を検出、特定、調査するためにセンサーネットワークを運営する非営利団体であるSektorCERTからの情報によると、多くの加盟事業者はネットワークの完全な可視性とセグメンテーションを欠いていました。  

SektorCERTは、攻撃がさらに拡大する前に検出することに成功しましたが、調査によると、多くの加盟事業者は、個々のネットワーク、特にITシステムとOTシステム間の脆弱性や、ネットワークが攻撃されたことを知らなかったことが判明しました。アプリケーションの依存関係とワークロードトラフィックをエンドツーエンドで可視化することで、通信事業者は、攻撃が個々のネットワーク全体や国のエネルギーインフラ全体に広がるセキュリティギャップを特定して埋めることができたでしょう。

攻撃者はまた、最初の侵害の出発点として、オペレーターの境界ファイアウォールにあるリモートで悪用できる脆弱性を利用しました。多くの通信事業者はネットワーク 境界にファイアウォールを設置していましたが、ネットワーク 内部では効果的なセグメンテーションが欠けていました。これにより、攻撃者は最初の侵害後にネットワーク全体に迅速かつ静かに拡散することができました。このレポートでは、侵害に積極的に備え、アクティブな攻撃に迅速に対応するための鍵としてセグメンテーションが具体的に挙げられています。  

ゼロトラストセグメンテーションは、攻撃に備えて対応するために不可欠です

今日の脅威環境が不確実になる中、これら3つの攻撃は、サイバー防御の強化におけるゼロトラストセグメンテーション(ZTS)の極めて重要な役割という1つの教訓を明確にしています。実際、NSAの新しいサイバーセキュリティ情報シート「 ネットワークと環境の柱全体でゼロトラスト成熟度を推進する」では、ZTSがゼロトラストアーキテクチャの不可欠かつ基礎的な部分であると認識されています。

潜在的な攻撃にプロアクティブに備える

境界ベースの防御を中心とした従来のサイバーセキュリティアプローチでは、今日の複雑で相互接続されたネットワークを保護するにはもはや十分ではありません。ZTSは、すべてのサイバー攻撃を防ぐことが可能であると想定するのではなく、侵害は避けられないと想定しています。

ネットワークをより小さく分離されたゾーンに分割し、厳格なアクセス制御を実施することで、組織は攻撃対象領域を最小限に抑え、悪意のある攻撃者によるラテラルムーブメントのリスクを軽減できます。このプロアクティブなアプローチにより、サイバー脅威に対する回復力が強化されるだけでなく、組織はセキュリティ インシデントが発生したときにその影響を封じ込めることができます。

アクティブな攻撃に迅速に対応する

ZTS は、アクティブな攻撃に直面したときの 回復力 も確保します。セキュリティインシデントが発生した場合、セグメント化されたネットワークは仮想コンパートメントとして機能し、被害を封じ込め、制御不能に広がるのを防ぎます。この封じ込めメカニズムは、1 つの侵害がネットワーク全体または複数の組織に連鎖的な影響を与える可能性がある今日の相互接続された企業では特に重要です。  

ZTS は、潜在的な侵害の爆発範囲を制限し、ラテラル ムーブメントを防止することで、組織がセキュリティ インシデントの影響を最小限に抑え、運用の継続性を維持できるようにします。  

Illumioゼロトラストセグメンテーションプラットフォームが、次の潜在的なサイバー攻撃に対してプロアクティブかつ事後的に保護できるように組織をどのように準備するかについては、お問い合わせください。