サイバーセキュリティに役立つ Talos『一年の総括』レポートの推奨事項
公開済みの Talos『一年の総括』
では、2023 年の脅威の動向について、豊富なインサイトをお届けしています。流出したソースコードから新種のランサムウェアが出現し、コモディティ型ローダーの偵察手段が増え、地政学的な出来事が APT の活動に影響を与えました。分析すべきことは多々あります。
防御する側の視点で考えた場合、2024 年を迎えるにあたって、こうした動向にはどういった意味があるのでしょうか。脅威の一歩先を行くために、絶えず戦術も変更する必要があるのでしょうか。
明らかなのは、サイバーセキュリティに終わりはないということです。攻撃者グループは常に新たに誕生します。同じことが、マルウェアや攻撃の手口についても言えます。たとえば 8 月にあった Qakbot の解体のように、防御側のコミュニティがボットネットを解体したとしても、その背後に潜むグループが活動をやめるわけではありません。戦艦ゲームであれば対戦相手の船をすべて沈めれば勝てますが、そのようなシナリオは用意されていません。
これに対しては、2 通りの向き合い方があると思います。「何の意味があるのか」という諦めが 1 つ。もう 1 つは、「いつかは攻撃を受ける」という前提で考えることです。一刻も早く脅威を確実に根絶やしにするために、私たちにできることはあるのでしょうか。サイバーセキュリティの大部分は、バランスを考えながらリスクを低減する作業です。許容可能なリスクと、絶対に許容できないリスクを認識する必要があります。
このベースとなる部分の可視性が重要です。Talos がいつも言及しているように、ネットワークを知り尽くしていればネットワークの戦いに勝てます。
一例として、セキュリティ態勢のプロアクティブな評価と継続的な向上のために Talos インシデント対応(Talos IR)チームが長年にわたって協力してきた医療向け IT 関連企業の Veradigm 社の事例をご紹介します。同社は先ごろ、ネットワークへの侵入を検知し、情報窃取攻撃を受ける可能性を認識しました。幸いなことに、Talos IR とのパートナーシップによる備えがあったため、実際に被害が出る前に迅速に問題点を突き止めることができました。
Veradigm 社が対応に成功したのは、ネットワーク全体を可視化していて、明確な計画を立てており、次の 4 項目をすぐに把握できるからです。
- どうやって侵入したのか
- まだネットワークに潜んでいるか
- 何をしたのか
- 再度侵入する可能性はあるか
Veradigm 社は、対応プロセスをストレステストにかける Talos IR のさまざまな机上訓練にも参画し、さらに迅速に適切な対応ができるよう必要に応じて計画を調整しています。
これに合わせて、シスコのエキスパートが先日集まって座談会を開き、プロアクティブな脅威ハンティング全般と、これまで特定できなかった脆弱性や弱点を組織が発見するのにこの手の活動がどう役立つかについて議論しました。座談会については以下をご覧ください。
今年 Talos が観測した地域横断的な新しい動向の 1 つは、APT グループとサイバー犯罪者の両者によるネットワークデバイスへの攻撃の増加です(2023 年『一年の総括』でも取り上げています)。両者の目的は異なる場合があります。前者の主な目的はスパイ活動や二次的な標的の選定であり、後者は金銭的利益を主な目的としています。
両者ともに、最近公開された脆弱性のほか、脆弱な認証情報やデフォルトのログイン情報を悪用します。これが、「有効なアカウントの使用」が今年確認された MITRE ATT&CK 手法のトップであり、Talos インシデント対応チームの対応業務で一貫して最も多く見られる弱点である理由の 1 つです。
パッチの適用は容易でないうえに、リスクを伴う場合があります。ここでバランスの話に戻ります。
今週初めに掲載した Reddit AMA のスレッドで、ネットワークインフラのパッチ適用の難しさに関する質問をいただきました。同僚の Lexi DiScola の返答内容が素晴らしいので、ここでご紹介したいと思います。
質問は、「最終的には、これらのネットワークデバイスにパッチが適用されることになるかもしれませんが、大幅な計画的ダウンタイム、組織のリーダーの不平不満、(存在する場合は)ネットワークチームの躊躇といった障壁があります。大きな組織では、デバイス数が数百や数千にもなります。ネットワークデバイスに関するパッチ管理において、最大の障壁は何だとお考えですか」という内容でした。
こちらが、Lexi の回答です。
「デバイスのセキュリティを保つうえでの最大の障壁は、セキュリティチームによって優先されないケースが多いことです。これには、挙げていただいたような理由があります。また、有効にできるアクセスレベルに関する認識が不足していることが理由かもしれません。デバイスのモニタリングに制限があることが多いため、大規模な侵入時においても、セキュリティチームにはデバイスが初期アクセスの経路に使われているという認識が持てない可能性もあります。組織がデフォルトのパスワードや設定を使用していることが原因で多くのデバイスが脆弱な状態にあるという事実は、そうした認識不足を一層浮き彫りにしています。デフォルトのパスワードや設定は、他のネットワークインフラですぐに修正できることが多い脆弱性です。デバイスに対するモニタリングと防御の手法を改善し、セキュリティの欠陥にパッチを適用し、安全でないデフォルトの設定を変更することを推奨します。また、従業員の意識を高めることも重要です」
『一年の総括』レポートで取り上げた動向に基づく推奨事項としては、他に何があるでしょうか。多要素認証(MFA)について取り上げていないセキュリティの推奨事項に関するブログ記事を読もうとされていたなら申し訳ないのですが、ここで触れておきたいと思います。MFA は脅威を抑えるのに最適な手段の 1 つです。
こちらの『Talos Takes』ポッドキャストのエピソードで、どの環境でも導入できる MFA の基礎、どのタイプの MFA でも導入しないよりは良い理由、特定タイプの認証の落とし穴、そして今後パスワードレス化すべきかどうかについて解説しています。
以下より『一年の総括』全文をお読みいただけます(フォームの入力は不要です)。
Cisco Talos 2023 年版『一年の総括』を読む
本稿は 2023 年 12 月 14 日に Talos Group
Tags:
