ゼロトラストにより、組織がサイバーキルチェーンの各ステップにどのように対処できるか

このブログ記事では、サイバーキルチェーンについて、信頼を前提とするセキュリティモデルが、チェーンのステップ1から6、つまり最初の侵害までのすべてを軽減するのにどのように役立つか、また、セキュリティに対する ゼロトラスト アプローチが、侵害前に焦点を当てた既存の制御を大幅にレベルアップすると同時に、侵害後の検出と対応をサポートするために必要な主要な機能をどのように提供するかを見ていきます。その結果、ゼロトラストを採用している組織は、悪意のある侵入者を検出して封じ込める準備が整う可能性があります。

私たちは皆、攻撃が定着するのを防ぐための多層防御の価値を理解しています。もちろん、このため、境界を保護するための 次世代ファイアウォール (NGFW)、従業員デバイスの エンドポイントセキュリティ 、生産性を保護するための電子メールおよびWebセキュリティツールなど、多くのセキュリティ投資に投資してきました。

これらの予防ツールと多層防御の価値は、サイバー侵入を特定して防止することを目的としたサイバーキルチェーンに捉えられています。2011年にロッキード・マーティンによって正式に制定された サイバー・キル・チェーン は、過去10年間、組織がセキュリティ制御をどのように計画し、その結果、サイバーレジリエンスを測定する方法を決定するかを定義してきました。7つのステップは次のとおりです。

1. 偵察: 攻撃者は攻撃前にターゲットに関する情報を収集します。
2. 武器化: サイバー攻撃者は、感染した Microsoft Office ドキュメントやフィッシング メール、マルウェアなどの攻撃を作成します。
3. 配信:実際のフィッシングメールの送信など、攻撃の送信
4. エクスプロイト: システム上で実行されているエクスプロイトなど、攻撃の実際の「爆発」。
5. インストール: 攻撃者は被害者にマルウェアをインストールします (すべての攻撃にマルウェアが必要なわけではありません)。
6. コマンド&コントロール:現在侵害されたシステムは、サイバー攻撃者が制御を獲得するためにコマンド&コントロール(C&C)システムに「コールホーム」します。
7. 目的に対するアクション: 攻撃者はアクセスできるようになり、目的を達成するためのアクションに進むことができます。

サイバーキルチェーンは、「チェーンは最も弱いリンクと同じくらい強力である」といった古い格言に立ち返り、「防御は攻撃の最良の形態である」という古い格言に頼り、攻撃者が最初の感染や環境内へのアクセスを得る前に、左から右へ、あるいは別の方法で進行する攻撃者を阻止することに重点を置いています。ステップ 7 (目標に対するアクション) より前の任意の時点で悪意のある攻撃者を阻止できれば、攻撃を阻止したことになるという期待。

この最終的な結果は、最近まで、 侵害を想定しない予防的制御(ファイアウォール、ウイルス対策、Webゲートウェイ)に強く(そしておそらく過剰に)重点を置いてきました。むしろ、彼らはすべての攻撃を検出してブロックできると想定しています。しかし、これらのツールはすべて同じ制限に悩まされています:それらは最善を尽くして「既知の悪」を防ぎます。これらは、次の前提条件に依存します。

1. 私のオフィスと従業員を収容する建物は信頼されています。
2. ネットワーク境界は厳しく、信頼されています。
3. この信頼された境界内のネットワークは信頼されます。
4. この信頼できるネットワークに接続されているデバイスは信頼されます。
5. これらの信頼できるデバイスで実行されているアプリケーションは信頼されます。
6. これらの信頼できるアプリケーションにアクセスするユーザーは信頼されます。
7. 攻撃者は予測可能であり、同じ動作を繰り返します。

予防的制御の目的は、悪意のある行為者を締め出し、それによって暗黙の信頼レベルを維持することです。しかし、攻撃者が「既知の悪性」から「未知の悪性」に変化した場合、これらの防御線はどのように積み重なるのでしょうか?最新の高度な攻撃(ターゲット侵害から クラウドホッパー 、そしてその間およびその先までのすべて)は、特にこの誤った信頼感を悪用して、ステップ1から5を阻止しようとするコントロールをバイパスして、キルチェーンのステップ6と7に早送りするように設計されています。そして、これらの予防的コントロールは常に追いついています。

先に進む前に、予防策はあらゆる組織の サイバー防御にとって重要かつ不可欠な部分ですが、もはやそれがすべてではないことを強調することが重要です。実際、それらは始まりにすぎません。それは、特に世界的なパンデミックにより、あらゆる分野の組織の働き方に完全な革命が起こり、その結果、ニューノーマルがもたらされた2020年には、その前提がもはや成り立たないからです。

1. 私の会社は特定の場所にはありません。
2. 境界は存在しますが、すべてを網羅しているわけではありません。
3. 多くの場合、ネットワークは私の組織に限定されません。
4. 私が制御していないデバイスがネットワーク上に存在します。
5. 多くの場合、ビジネスが使用しているアプリケーションは、私がホスト、所有、管理していません。
6. ユーザーはどこにでもいます。
7. 攻撃者は予測不可能であり、常に新しい攻撃手段を探しています。

これらの新しい仮定は、絶対的に信頼できるものはほとんどないことを示しているため、私たちは侵害を防ぐ可能性が低い状況に存在するため、私たちの焦点は検出、対応、封じ込めに移らなければなりません。そして、ここでゼロトラストを導入します。

ゼロトラストを3つの主要な領域に分割することが重要です。

1. コントロール
2. モニタリング
3. 自動化とオーケストレーション

ゼロトラスト制御

ゼロトラスト制御は、名目上は、かつての境界モデルに由来する予防制御に匹敵しますが、出発点は異なります。

• ペリメーターモデルは、内側のすべてが信頼できると仮定しているため、ペリメーターの強度に過度に重点が置かれており、画一的なアプローチです。
• ゼロトラストでは、この暗黙の信頼の仮定は存在しないため、私たちはより賢くなることを余儀なくされます。
• 最も保護が必要なものは何ですか?
• 誰がアクセスする必要がありますか?
• どこから?
• いつ。
• なぜでしょうか。
• 相互依存関係とは何ですか?

これらは、ゼロトラストポリシーを構築するために使用するデータポイントです。

これを攻撃者の視点から考えると、攻撃者の侵入に成功する能力にかなり高いハードルが課せられていることがわかります - 彼らは、ラテラルムーブメントの実行、権限の昇格、またはホームへのコールバックなど、ネットワークへのアクセスを取得するだけで十分であるとはもはや想定できません。マイクロセグメンテーションの有効性に関するビショップ・フォックスのレポートからわかるように、このようなゼロトラスト制御は、攻撃者に行動の変更や他の手法の活用を強制し、防御側が検出される可能性を高めます。制御に対するゼロトラストアプローチは、エクスプロイトに利用できる攻撃対象領域を減らすのに役立ちます。ゼロトラスト制御モデルは多層防御のアップデートであり、重要なデータを保護するレイヤーにより、攻撃者が予防技術を回避したとしても自由に移動することを困難にします。

MITRE ATT&CK Framework

ゼロトラストのコンテキストにおける監視と自動化/オーケストレーションについて説明する前に、MITRE ATT&CKフレームワークに移りましょう。フレームワークの出発点は、侵害の仮定であり、最初の侵害からミッションの成功までの間に攻撃者がどのように行動するかを理解することに重点を置いています。この理解は、特定のイベントを監視する検出機能を定義するのに役立ちますが、これらのイベントは、単独で、または相関している場合に、さらなる調査を正当化する可能性のある異常な動作の指標を提供します。

ゼロトラスト監視

MITRE ATT&CKフレームワークは、できるだけ多くのデータソース(ネットワーク、ファイアウォール、プロキシ、AV、EDR、IAM、OS、クラウドサービスプロバイダー、アプリケーション、DB、IoTなど)からの忠実度の高いイベントという可視性を重視し、防御チームが既知の攻撃に関連するさまざまな行動をモデル化し、攻撃者とその手法に関するさらなる知識が得られるにつれて進化し続けることができるようにします。ゼロトラストアプローチは、以前のアプローチではなかった可視性を重視しており、実際、ゼロトラストのモットーは「目に見えないものは守れない」かもしれません。したがって、ゼロトラストプログラムの一環として可視性を向上させることから始め、MITRE ATT&CKフレームワークを使用して組織が受ける可能性のある敵対的な行動をモデル化することと組み合わせることで、すでに存在する機能を使用してサイバーキルチェーンの防御側に価値をもたらすことができます。

優れたBBCポッドキャスト「13 Minutes to the Moon」は、悪名高いアポロ13号の第2シリーズで取り上げており、アポロ宇宙船の設計とそれをサポートする運用チーム全体は、予防のための最善の試みにもかかわらず、検出と対応の重要性を強調するための良い例えとして機能します。アポロ計画用に設計された宇宙船は、すべてのコンポーネントに信じられないほどの回復力とフェイルセーフが組み込まれており、起こり得る予想される結果から回復できることを確認するために、多数の障害シナリオがテストされました。アポロ13号では、1つのブースターエンジンの損失は、他の4つの発射によって補われましたが、ミッションを危険にさらす爆発を引き起こした配線絶縁体の摩耗を防ぐことができる設計は何もありませんでした - これが(違反に似ている場合)、乗組員とミッションコントロールは宇宙船からのテレメトリに完全に依存していました。 宇宙飛行士と地上の専門家による観察により、問題を検出し、隔離し、そこから回復します。これは、関連するデータソースから正しい忠実度のデータが利用可能になり、このデータを効率的に分析する機能と相まって、セキュリティ運用チームがインシデントをより正確にトリアージする準備がはるかに整い、どのイベント(またはイベントの組み合わせ)をさらに調査する必要があるかについて、より適切な(そしてより迅速な)決定を下せるようになったことを示す好例です。 そして、それは無視しても問題ありません。

ゼロトラスト自動化

セキュリティオーケストレーション、自動化、対応(SOAR)プラットフォームの台頭は、攻撃の検出後の段階全体を取り、検出から対応まで効率的に移行するためのテクノロジーを提供することに重点を置いています。一般的な悪意のある動作パターンの場合、このシーケンス全体を自動化して、アナリストがより高度な攻撃の調査に時間を割くこともできます。SOARプラットフォームは、これらの効率性を実現するために、関連データを提供するテクノロジーソリューションと統合したり、必要な応答アクションを実行したりする能力に依存しています。これが、オーケストレーションと自動化がゼロトラストにおいて不可欠な(しかし見落とされがちな)柱である理由です。自動化によって新しいセットアップを調整したり、計画された変更の一環として既存のセットアップを変更したりできることは、運用上大きなメリットをもたらしますが、セキュリティ インシデントに対応するために同じプラットフォームを迅速かつ一貫して調整できる場合に、真のセキュリティ上の利点が実現されます。

それでは、私たちが始めた場所に戻ります。

• セキュリティに対する従来の境界アプローチは、サイバーキルチェーンの一部にしか対処せず、侵害後の段階にはほとんど目が見えません。
• ゼロトラストは、保護されているものの監査から始めることで、予防を大幅に強化します(例:重要なデータまたは主要なアプリケーション)を呼び出し、これに関する制御が適切な最小特権アプローチで構築されるようにします。
• ゼロトラストは「侵害を想定する」という立場から始まり、侵害後の検出をサポートする高品質のログを提供するソリューションを重視します。
• さらに、顧客がゼロトラストを達成するのを支援することを目的としたテクノロジーには、優れたオーケストレーションと自動化が必要であるという提唱は、インシデントへの自動対応においてSOARプラットフォームをサポートできることを意味します。

したがって、ゼロトラストアプローチを採用することで、サイバーキルチェーンの最初の6段階を阻止することに重点を置いていた従来の境界アプローチを強化すると同時に、攻撃者がステージ7に到達して意図した行動を取ろうとした場合に、攻撃者の検出と阻止に集中する能力を組織に提供することができます。

イルミオのゼロトラストへのアプローチの詳細については、以下をご覧ください。 https://www.illumio.com/solutions/zero-trust