予測不能な脅威してセキュリティ担当者がとるべきプロアクティブな対策とは

 新たなマルウェアの亜種が発見されるたびに、それを憂慮するニュースが数多く取り上げられます。

 昨今、サイバーセキュリティ対策を強化するために、脅威情報スレットインテリジェンス)の提供が急拡大しています。このため、脅威情報に「大金をつぎ込む」企業が少なくありません。然しながら、企業がセキュリティ対策に投資できる予算は限られています。
 新製品導入にあたっては、ソリューションを担当するチームメンバーやトレーニングが必要となります。そして、アサイン後もメンバーの昇進、昇給や異動の要望に対処しなければなりません。ようやく社内を説得して予算を確保し、ソリューションを導入したものの、その時には管理するリソースが無いという可能性も否めません。

拡大する脅威


 本記事は2018年7月16日に、米国 SentinelOne 社の Migo Kedem 氏のブログを翻訳した記事になります。(原文はこちら)






1. これまでの脅威を経て得た被害と教訓

 最高情報セキュリティ責任者(CISO)は、これまでになく高度化した脅威に日々さらされる状況にきちんと対応し、一方で限られたリソースとスタッフで管理できる効率的な運用が求められる状況のもと、不測の事態に備えサイバーセキュリティの有能な人材を確保し、限られた予算内で管理・運営しなければなりません。

 これらの難しい要件を満たすために、今日のリスクを認識し、昨今のCISOが直面している課題の解決方法について、3つのケースをもとに検証してみましょう。

1-1. WannaCry

 WannaCryほどITコミュニティーに大きな衝撃を与えたことはありません。それは、「史上最大のランサムウェア攻撃」と言われ、24時間以内に150カ国以上で23万以上のコンピュータを感染させました。

拡大する脅威

図 1. WannaCry 感染画面

 WannaCryは、技術的な観点からすると、それほど洗練された攻撃手法ではありませんでした。実際、91日前から知られていた脆弱性を悪用したもので、マイクロソフトからはすでにパッチが適用されていました。それでも、最終的に13億のエンドポイントが感染したと推定されています。英国では、SOPHOS社の主要顧客である国民保険サービスがこのランサムウェアの犠牲になり、2万件の予約と手術をキャンセルしなければなりませんでした。その結果、人命の被害があったかどうかは不明ですが、わかっていることは、国の保健サービスが大きく損なわれたという現実です。


■重要なポイント

 パッチ管理は、資産を保護するためのプロアクティブなセキュリティポリシーの主流と広く考えられています。しかし、それは決して特効薬ではありません。

 既知の脆弱性に対しても同じことが言えます。大量のデバイスに繰り返しパッチを適用するには時間がかかるため、急速に進化するマルウェアが身代金獲得のために脆弱性を攻撃する時点で、間に合わないこともあります。最新のパッチをエンドポイントに適用した直後または翌日に、脆弱性が判明した場合、次の最新パッチが出る前に攻撃を受けずにいられるかどうかは単に運次第です。

 一方、SentinelOneユーザーはWannaCryから防御されていました。なぜなら、SentinelOneのBehavioral AIエンジン(動的挙動解析エンジン)が、DLLをlsass.exeにインジェクトし、悪意を持って新しいプロセスを生成させるSMBエクスプロイトを検出したからです。


 SentinelOne の概要は、下記よりご覧いただけます。

関連記事を読む




1-2.アトランタ市にランサムウェア攻撃

 2018年3月には、法執行から公共料金支払いまで、アトランタの重要な都市サービスが麻痺し、地域によっては現地の職員が手書きで記録を取る事態になりました。サービス復旧までに数週間もかかりました。


拡大する脅威

訳 : アトランタ市は現在、市民が利用するサービスへの不法行為が発生しており、料金支払いや裁判所情報へのアクセスに支障をきたしています。当市の@ATL_AIMチームは、マイクロソフトと協力して、この問題を解決するために誠実に取り組んでいます。Atlantaga.govは、これまでどおりアクセス可能です。新しい情報が入り次第、お知らせいたします。今しばらくお待ちください。


図 2. 当時、アトランタ市がアナウンスしたお知らせ


 報告書によると、攻撃に使用されたランサムウェアはSamSamと呼ばれるマルウェアでした。このマルウェアもまた、セキュリティ業界にとって目新しいものではなく、初めて確認されたのは2015年にまで遡ります。この攻撃の興味深いところは、その技術的側面よりも経済的側面でした。

 攻撃者は慎重に目標を選び、セキュリティが弱い企業や団体をターゲットに狙いを定め、その資金力を超えない範囲で身代金の額を設定していました。もしアトランタ市が身代金を支払うことになれば、52,000米ドルが失われるはずでしたが、幸いにも支払いを拒んだため事無きを得ました。

 しかし結果的には、攻撃者からサービス停止の解除が得られず、重要な都市サービスが麻痺し、推定260万ドルに及ぶ被害を納税者に負わせることになってしまったのです。



■ 重要なポイント

 企業に十分な防御能力がなければ、攻撃者の脅迫に対して「払うべきか払わざるべきか?」というジレンマに直面します。ランサムウェア攻撃は、展開が容易で安価であるため必然的に蔓延し、企業に困難な決断を強います。攻撃者にとっては、どちらにころんでもメリットがあるように思えます。もし企業が安易な解決策をとると、攻撃者は現金を手にするだけでなく、アトランタ市のケースのようにニュースを賑わすことで、将来の犠牲者へ恐怖を煽ることができるからです。



1-3.CCleaner - サプライチェーン型攻撃

 セキュリティ対策の在り方を形成するもう一つの例は、CCleanerのケースです。2017年9月、SentinelOneは一見すると誤検出と思われる報告を受けました。その顧客によると、CCleanerの特定のバージョンが悪質なものとして検出された、というのです。数週間前、攻撃者はCCleanerの正規Webサイトのオリジナル版をバックドア版に置き換えていたらしく、この悪意あるソフトウェアは既に227万人のユーザーにダウンロードされてました。


拡大する脅威



 これは特殊なケースではありません。SentinelOneは、一見すると正規のアプリケーションが不正にデータを収集する例や、侵害によりマルウェアが混入されるケースを時折発見しています。

拡大する脅威

■ 重要なポイント

 多くのセキュリティソリューションは、いわゆる信頼性が高い、あるいは評価が高いと言われているソフトウェアについてはスルーし、未知であったり信用できないファイルやアプリケーションに注力しています。「それが何をしているのか」ではなく「それがどこから来たものか」に頼ることで、サプライチェーン型攻撃への扉を開いてしまいます。ここで、Behavioral AIエンジンによる検出と多層防御セキュリティに基づいたSentinelOneが本領を発揮します。

 SentinelOne の概要は、下記よりご覧いただけます。

関連記事を読む




2. The only constant is change

 CISOの悩みをどのように解決すればよいのでしょうか?

 当然ながら、企業は自社が脅威にさらされることを望んでいません。しかし、脅威のすべてを予防するには、あまりにも多くのセキュリティホールがあります。

 まず、プロアクティブであることが何を意味するかを再考することから始めましょう。すべての脅威を積極的に阻止するために、個々の攻撃ベクトルに手作業で対処するような不可能なことを試みるのではなく、あなたに代わって仕事をしてくれるAIのような最新技術を活用してください。
 現代のCISOには、リスクの監視と除去をスタッフ任せにするのではなく、マルウェアの企てを予防し、一掃するための自動化が必要です。AI技術は、侵害された後のフォレンジック分析を提供するだけでなく、エンドポイントの侵害をプロアクティブに防止することができます。

 基本的に、プロアクティブであることとは、ネットワーク全体に渡って存在するセキュリティ層に投資することを意味します。そのような保護には以下の事項が求められます。

  • クラウドとVDIを含む既存のすべてのOSをサポートします:攻撃者は常に最も脆弱なリンクを探しています
  • 並行して攻撃を検出できる複数タイプの技術を装備することで、セキュリティ層を分離します
  • 脅威の予防を含め、効果的に運用するために人に依存することはしません
  • ネットワーク上の他のセキュリティソリューションと統合することで、データセキュリティを堅牢化します
  • すべての資産を可視化します
  • 資産のバックアップが可能です


 The only constant is change - Heraclitus...「唯一不変なものは変化することである」という言葉があります。

  • 変化なくして成長なし
  • プロアクティブに変化を続けていく事が、大事なのではないか?


 変化を受け入れ、変化に適応し、時には自分自身で外部に影響を及ぼす変化を生みだす。あらゆるビジネスシーンにおいて共通する大切な考え方があります。企業のセキュリティを防御するシステムも、プロアクティブに進化を続け、脅威に対抗していく必要があるのではないでしょうか。







さいごに

 将来、マルウェアの作成者がデータと資金を盗み取る革新的な方法を考え出すであろうことは容易に想像できます。しかし、SentinelOneの技術は、ゼロデイ脆弱性や未知のマルウェア、その他の高度なエクスプロイト攻撃を、事前に防御できることを幾度となく実証しています。

 SentinelOneがユニークである理由は、AIと自動化を含む、多層防御と可視性を単一エージェントに実装していることです。特別に訓練された専門家を必要としない、使い易い包括的防御をSentinelOneは提供します。攻撃者はかなり前から自動化のメリットに気づいていました。今こそ、攻撃者より有利な状態を継続するために、防御側も自動化を味方につけ武装する時期であるといえます。

 SentinelOne の詳細については下記よりご覧いただけます。



関連記事を読む