Illumio Insights のご紹介 — AIを活用し、可視化・検知・封じ込めを革新する新たなソリューション
詳細はこちら

セキュリティに関して課題がありますか?

|
お問い合わせ
|
+1 855 426 3983
ブログ
/
サイバーレジリエンス

ドメイン コントローラーに移動する: ゼロ トラスト ツールを使用した保護と軽減策

Michael Adjei
システムエンジニアリング担当ディレクター、EMEA
Illumio Editorial
1月 8日、 2021
23分読む

このブログ シリーズの パート 1 では、最初の侵害で 検出 方法を使用する方法について説明しました。2つ目は、ラテラルムーブメントのためのリモートアクセスツールと組み合わせたパス・ザ・ハッシュ技術を使用した個人情報盗難の例を示しました。この最後の部分では、横方向の動きを軽減する方法を見ていきます。ラテラルムーブメントを可能にする2つの補完的なアプローチ、アプリケーションレベルとネットワークレベルの実際の例についてはすでに説明しました。

3.1

ネットワークレベルとは、実際にはネットワークを介したホスト間通信を意味し、必ずしもスイッチやルーターなどのネットワークデバイスを意味するわけではないことは明らかです。ホストは、ドメイン コントローラー マシンのようなワークロードであり、データベース サーバー マシンは物理、仮想、またはコンテナ化のいずれかです。アプリケーションレベルは、ホスト自体の内部で何が起こるかも指します。たとえば、ディスク上のバイナリ、メモリ内のプロセス、レジストリ アクションなどです。

前のブログで説明したラテラル ムーブメントでは、Windows LSASS プロセス メモリからハッシュ化された資格情報を取得することにより、アプリケーション レベルで Mimikatz 対応のハッシュ渡し手法がオペレーティング システム内で使用されました。

3.2

その後、その攻撃から派生した昇格されたアクセス トークンを使用して、Windows SCM を利用した PAexec ツールを使用してリモート アクセスを有効にしました。

3.3

上記の 2 つのレベルに対してこの特定の攻撃シーケンスを分析すると、システムのアプリケーション レベルでは、アプリケーションの 許可リスト を使用したデフォルト拒否に基づいて、Mimikatz の使用を最初に防ぐか、その PAexec に失敗するのを防ぐ必要があります。または、たとえば、ロードされたDLLやAPI呼び出しを監視することによって、メモリ内のプロセスの起動を検出する必要があります。ネットワークレベルでは、ホストレベルでマイクロセグメンテーションを適用して、システムが同じサブネットまたはVLAN上にある場合でも、システム間の移動を防ぐ必要があります。トラフィックのベースライン化により、データ流出などの異常を検出することもできます。

次の図は、Mimikatz バイナリと PAExec バイナリの両方と、インポートされた DLL などのシステム依存関係の静的分析を示しています。

3.4

メモリ内で実行中のプロセスは、Mimikatz pass-the-hash とその後のドメイン コントローラーへの PAExec 接続の両方に使用された cmd のプロセス ツリーを示します。

3.5

宛先システム (この場合はドメイン コントローラー) のフォレンジックでは、リモート管理 (この場合は横方向の移動) を容易にするために、ドメイン コントローラーで使用されるバイナリも表示されます。

3.6

また、下の画像は、関連するサービスも示しています。

3.7

デフォルトでは、バイナリ名と結果のプロセス名の両方に標準の名前付け規則が使用されます。もちろん、これは脅威アクターによって変更される可能性があります。

したがって、緩和アプローチでは、これらのレベルの攻撃、つまりアプリケーションレベルの脅威を調べる保護と、ホスト間の通信に焦点を当てたネットワークレベルのセキュリティを調べる保護を考慮することが重要です。これは、セキュリティが保護されているホストまたはワークロード (ワークロードとしての ドメイン コントローラー マシンとドメイン コントローラーにアクセスするエンドポイント コンピューターなど) とともに維持され、移動することを意味します。

この 2 レベルの概念をドメインと関連するサーバーとクライアントに適用すると、次のインフォグラフィックは、このブログ シリーズで説明されているように、ドメイン コントローラーやその他のドメイン システムに対する脅威から保護するための重要なセキュリティ上の考慮事項のいくつかを示しています。

3.8

情報の出発点として、 Microsoft の Active Directory をセキュリティで保護するためのベスト プラクティスがあり、特権アカウントでセキュリティで保護されていないコンピューターにログオンしたり、高い特権アカウントでインターネットを通常閲覧したり、ドメイン コントローラーから直接インターネットを閲覧したりしないなど、常識的なアプローチについて詳しく説明しています。効果的な権限管理とアプリケーション許可リストにより、ドメイン全体での特権アカウントの使用の制限を自動化し、承認されていないアプリケーションの使用を防ぐこともできます。

たとえば、システム保護のアプリケーションレベルでは、エンドポイント検出と応答(EDR)をゼロトラストに基づくIdentity & Privilege Managementソリューションと組み合わせることで、MimikatzやRubeusなどのツールを使用して、認証情報の盗難やLSASSメモリ操作など、ドメインシステム上のアプリケーションレベルの脅威に対処するのに役立ちます(メモリ内でのみ実行され、ディスクに触れない場合でも)。

以下の例は、EDR ソリューションである CrowdStrike Falcon が、一連の悪意のあるアプリケーションおよびシステムレベルの動作を検出する例を示しています。

3.9

ドメインコントローラーやその他のドメインシステムと同様に、システムのネットワークレベルでは、 Illumio Core のようなホストベースのマイクロセグメンテーションソリューションは、ゼロトラストセキュリティとマイクロセグメンテーションを提供できます。Illumio Edge は、この保護をドメイン内外のエンドポイントに拡張します。これは、ゼロデイ脆弱性の場合や、アプリケーションレベルおよびシステムレベルのエンドポイントセキュリティによって脅威を見逃す場合に特に当てはまります。

最新のネットワークのほとんどは、特にリモートワークの時代において、異種混在で複雑で拡張されています。この結果、最初に焦点を絞った戦略を持たずにセキュリティを確保することは特に簡単ではありません。特に大規模なネットワークの場合、さまざまなセキュリティポリシーを持つ異種で複雑なシステムが多数あるため、効果的なセキュリティを実現することはほとんど不可能に思えるかもしれません。したがって、基本に立ち返って次のことが重要です。

  1. 自分が持っているものを知る
  2. 彼らが何をしているのかを知る
  3. それらを保護します

これは、ワークロードがデータセンターまたはクラウドに保存されている場合に特に当てはまります。何を持っているかを知る最も簡単で効果的な方法は、最初にシステムを場所、環境、アプリケーションなどの特定の属性でグループ化することです。これにより、重要なシステムやアプリケーショングループ、グループ間で使用されるコアサービス、その他の重要度の低いシステムやアプリケーションを簡単に特定できます。当然のことながら、最も重要な資産、最高の宝石アプリケーション、およびコアサービスに主な焦点が当てられるようになります。

3.10

効果的なセキュリティは単独で存在するものではないため、どのアプローチでも次の重要な考慮事項を考慮する必要があります。

  • 可視
  • 統合
  • 大規模なパフォーマンス
  • 効果

最初の重要なポイントは可視性です。ゼロトラストワークロード保護のためのイルミオのコアソリューションの以下の例に示すように、アプリケーションの依存関係マッピングとさまざまなアプリケーショングループとその接続の表示により、ドメインコントローラー、データベースサーバー、およびドメイン内のその他の重要なワークロードシステム(物理、仮想、コンテナ、またはクラウド)などのホストシステムで直接、情報に基づいたポリシーの定義とプロビジョニングへの道が開かれます。これは、異なる地理的位置にまたがり、異なるプラットフォーム上に存在するシステムを持つ平坦なブラウンフィールド環境でもマイクロセグメンテーションを適用できることを意味します。これは、システムがネットワーク上で何をしているかを知るのに役立ちます。次の例は、 アプリケーション依存関係マップ内のアプリケーショングループとそのトラフィック関係を示しています。

3.11

このような有用なシステムレベルの情報は、SIEM、脆弱性スキャナー、CMDBなどの既存のセキュリティ投資に統合することもできます。次の例では、ホストベースのマイクロセグメンテーションソリューションからの情報がSIEMまたはセキュリティ分析ソリューションに供給されます。この例は、Splunk SIEMとの統合を示しています。

3.12

そして、この 2 番目の例では、QRadar を使用します。

3.13

これは、新しいソリューションを既存のセキュリティ投資と組み合わせて、ドメインシステム全体を保護できることを意味します。コンテナやクラウド移行などの固定環境とアジャイル環境の両方でセキュリティをスケールアップまたはスケールダウンできるように、大規模なセキュリティソリューションのパフォーマンスと有効性も重要な考慮事項である必要があります。

これらすべてが整うと、すべてのシステムで一貫したセキュリティポリシーを簡単に定義して、異常な動作を監視、検出、防止できます。次の図は、ネットワークレベルであるホスト間のリアルタイムトラフィックパターンに基づいて適用できるさまざまなタイプのマイクロセグメンテーションポリシーを示しています。

3.14

Windows 10 や Server 2016 などの新しいバージョンの Windows では、イベント 4768 - Kerberos 認証チケット (TGT) が要求され、イベント 4769 - Kerberos サービス チケットが要求され、その後の関連付けは、ゴールデン チケットまたはシルバー チケット攻撃の開始を指す可能性があります。Microsoft は、資格情報のダンプから保護することを目的とした Credential Guard などの新しい保護も実装しました。サイバーインシデントが発生した場合、 サイバーインシデント対応戦略 がすでに整備されていることが重要です。

アプリケーションレベルとネットワークレベルの両方の保護は、「侵害を想定する」戦略によって支えられ、全体として、分析、継続的な監視、および検出によってサポートされるアクティブな脅威ハンティングが、自動化された構造化された方法で常に有効になるようにする必要があります。

関連トピック

アイテムが見つかりませんでした。

関連記事

新しいTCPポート135のセキュリティ脆弱性から保護する方法
サイバーレジリエンス

新しいTCPポート135のセキュリティ脆弱性から保護する方法

TCP ポート 135 を悪用してリモート コマンドを実行する方法により、ポート 445 の脆弱性が導入され、TCP セキュリティを確保するためにポート 135 を保護する必要がありました。

詳細はこちら
DORAの準備:2人のサイバーセキュリティコンプライアンス専門家からの洞察
サイバーレジリエンス

DORAの準備:2人のサイバーセキュリティコンプライアンス専門家からの洞察

BTのサイバーセキュリティ担当マネージングディレクターであるTristan Morgan氏と、Evelyn PartnersのデジタルサービスパートナーであるMark Hendry氏から、DORAコンプライアンスのナビゲートに関する洞察を得ることができます。

詳細はこちら
2021年のサイバーセキュリティ予測
サイバーレジリエンス

2021年のサイバーセキュリティ予測

クラウドがすべてを解決すると仮定すると、エンドポイントセキュリティを見落としている組織が多すぎます。これがDevSecOpsとサイバーリスクにとって何を意味するかは次のとおりです。

詳細はこちら
アイテムが見つかりませんでした。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る