Cyber-Attack Chain

English -> Visit original BeyondTrust page

サイバーアタックチェーン ( cyber-attack chain サイバー キル チェーン – cyber kill chain とも呼ばれる) は、組織の IT 環境に対する外部からの攻撃に関係する一連のイベントを理解する方法です。サイバー攻撃チェーン モデルを理解することで、IT セキュリティ チームはさまざまな段階で攻撃を「阻止」または封じ込めるための戦略とテクノロジを導入し、IT エコシステムをより適切に保護できるようになります。

ロッキード・マーティンのサイバーキルチェーンとBeyondTrustのサイバー攻撃チェーン

サイバー キル チェーンは、もともとロッキード マーティンによって開発されました。同社は「キル チェーン (Wikipedia 英語)」という用語を借用し、軍事攻撃 (攻撃的または防御的) の構造を識別可能な段階で構成されるパターンに分解するために使用されます。

ロッキード・マーティンのサイバーキルチェーンは、外部からのサイバー攻撃を 7 つのステップに分解します。

  • 偵察
    侵入者はターゲットを選択し、調査し、脆弱性を探します
  • 兵器化
    侵入者は脆弱性を悪用するマルウェアを開発する
  • 配達
    侵入者はフィッシングメールやその他の媒体を介してマルウェアを送信します
  • 搾取
    マルウェアはターゲットシステム上で実行を開始します
  • インストール
    マルウェアは、攻撃者がアクセスできるバックドアやその他の侵入口を設置する。
  • コマンドと制御
    侵入者は被害者のシステム/ネットワークに永続的にアクセスします
  • 目標に対する行動
    侵入者は、データの盗難、データの破損、データの破壊などの最終目標のアクションを開始します。

ロッキード マーティンが構想したオリジナルのサイバー キル チェーン モデルは、攻撃をモデル化して防御するための有用な出発点ですが、他のセキュリティ モデルと同様に、IT 展開はそれぞれ異なり、侵入攻撃は原則としてモデルの手順に従う必要はないことに留意してください。

長年にわたり、攻撃の状況は変化しており、サイバー キル チェーンは役立つものの、従来の境界が変化したという現実に対応するために更新する必要があると多くの人が主張しています。中には、多くの場合、サイバー キル チェーンは消滅したと言う人もいます。

現代のサイバー攻撃: 特権と脆弱性に焦点を当てる

Forrester Research によると、今日のセキュリティ侵害の約 80% は特権認証情報に関係しています。現代のサイバー攻撃における特権の脅威要素をよりわかりやすく示すために、BeyondTrust は 2017 年にサイバー攻撃チェーンの最新モデルと、各ステップで攻撃を解体する方法に関するガイダンスを公開しました。

ここでは、BeyondTrust サイバー攻撃チェーン モデルの主要部分と、各フェーズで攻撃を阻止するための戦術について説明します。

ステップ1: 境界の活用

これらは、IT 組織のシステムやデータにアクセスしようとする初期の試みです。一般的な手法には次のようなものがあります。

  • ソフトウェアとハ​​ードウェアの既知の脆弱性を悪用する
  • パスワードやログイン情報にアクセスするためのソーシャルエンジニアリングとフィッシング
  • ネットワークへの不正アクセスをインストールして許可するマルウェアとダウンロード
  • 直接的なハッキング – 開いているポートやその他の外部アクセスポイントを探す

この段階で攻撃を解体または封じ込める方法:

  • 脆弱性を特定して修正します。多数のセキュリティ調査で、パッチが適用されていない脆弱性が最初の攻撃の主な原因であることが報告されています。このため、脆弱性スキャンとパッチ管理を含む徹底した脆弱性管理プログラムが必要です。また、ペンテストは、ハッカーのようにリスクを積極的に特定し、セキュリティのギャップを埋めるのに役立つ貴重な方法です。これらの対策を実装すると、組織の攻撃対象領域が大幅に減少します。
  • 機密資産へのアクセスを制限します。これは、脆弱性ベースのアプリケーション管理 (VBAM) を活用することで実現できます。これは、脆弱性データを特権アクセス要求および権限と関連付け、リアルタイムのリスクに基づいてアクセスを制限するために BeyondTrust が開発した機能です。たとえば、資産またはアプリケーションに脆弱性がある場合は、それらに昇格された権限の実行を許可するかどうかについて、さらに慎重に検討する必要があります。
  • 最小権限の適用: ハッカーやマルウェアは権限を欲しがります。多くの場合、悪意のあるコードは、より高いレベルの権限がなければ実行できません。可能な限り管理者権限を削除し、最小権限を適用することで、侵入者や悪意のあるコードが実行できるアクションを縮小できます。

ステップ2: 権限の乗っ取りとエスカレーション

この段階では、攻撃者は権限を昇格させ、他の特権パスワード/アカウントを乗っ取ろうとします。

この段階で攻撃を解体または封じ込める方法:

  • 共有アカウントとパスワードの共有を排除します。アカウントとパスワードが共有されると、横方向の移動とハイジャックがさらに容易になります。特権パスワード管理ソリューションにより、組織はパスワード セキュリティのベスト プラクティスを適用しながら、共有アカウントとデフォルト パスワードを識別して排除できます。
  • 最小限の権限を適用します。繰り返しになりますが、ユーザー権限を制限すると、攻撃者の動きをあらゆる段階で阻止するのに役立ちます。
  • すべての特権ユーザー、セッション、およびファイル アクティビティを監視および監査します。すべての特権アクティビティをログに記録し、特権セッションの監視と管理 (疑わしいセッションを一時停止または終了できる) を適用することで、疑わしいアクティビティや望ましくないアクティビティを分析、警告、レポートし、場合によっては停止することができます。

ステップ3: ラテラルムーブメントの移動と流出

ここで、ハッカーはより多くの権限/特権アカウントを取得してシステム内を移動し、他のエクスプロイトや弱点を見つけようとします。最終的に、侵入者は目的を達成するために必要に応じてネットワーク、ユーザー アカウント、データ、システムをジグザグに移動します。

この段階で攻撃を解体または封じ込める方法:

  • ユーザーと資産の行動を相関させて分析し、進行中の攻撃を特定します。このステップでは、特権アクセス管理 (PAM) と脆弱性管理 (VM) の完全な統合が必要です。脅威と行動の分析が総合的であればあるほど、セキュリティ制御の変更 (権限やアクセスの削除など) によって攻撃者を出し抜き、侵害を阻止できる可能性が高くなります。

サイバーキルチェーンモデルの適用が組織のセキュリティを向上させる方法

サイバー攻撃/サイバー キル チェーンは、攻撃ベクトルとセキュリティ リスクを理解する唯一の方法ではありませんが、これらのモデルは、サイバー エクスポージャーを削減するための有用なフレームワークを提供します。サイバー セキュリティ コントロールを適切に階層化することで、組織は攻撃を完全に防止し、進行中の攻撃を阻止し、侵害が発生した場合の影響を最小限に抑えることができます。

現在のセキュリティ体制を評価する

このチェックリストを使用して、影響のあるすべての領域にわたって現在のセキュリティ アーキテクチャを測定し、ギャップがある可能性のある場所を見つけます。

チェックリストをダウンロード (BeyondTrust 英語サイト)