Cloud Hopper:ゼロトラストの視点

政府が支援する中国の工作員(親しみを込めて「APT10」として知られている)によって組織された疑いのあるハッキングキャンペーンであるクラウドホッパーは、2014年から少なくとも2017年にかけて実施され、さまざまな業界の複数の西側企業に影響を与えました。このサイバースパイ活動の特定のコレクションは非常に重要であったため、作戦の規模、標的となった組織の範囲、収集された情報の種類、そして最も重要なのは、最初の侵害の性質そのものから、セキュリティメディアとビジネスメディアの両方で注目を集め続けました。Cloud Hopper は、攻撃者が被害者の マネージド サービス プロバイダー (MSP) を侵害し、これらを利用して MSP の「クラウド」から標的企業のネットワークに「ホップ」したため、現在ではよく知られた名前になりました。

侵害の詳細な分析を提供するPWCの詳細な Operation Cloud Hopper レポートなど、侵害に関する多くの優れた要約と詳細な記事があります。ここでは同じ情報を繰り返すのではなく、 ゼロトラスト フレームワークの観点からCloud Hopperを見て、特にこの種のセキュリティアプローチを採用することで攻撃者の有効性がどのように低下した可能性があるかを検討します。

Forrester Researchは、約10年前にゼロトラストを初めて導入し、「信頼するが検証する」というセキュリティの姿勢から、「何も信頼せず、すべてを監視し、最小限の権限」のアプローチへの移行を提唱しました。この移行は、多くの資産のグループを保護するために大規模な境界に依存することから、すべての資産をターゲットとみなす境界への移行であり、企業を攻撃に対してより脆弱にする固有の信頼を排除することを目的としています。

ゼロ トラスト フレームワークは7 つの柱にまたがっており、これらを組み合わせることで、企業を保護するための包括的な戦略が提供されます。また、これは、攻撃が成功した理由を分析し、どの柱がより強力であれば攻撃を阻止できたかを理解するための便利な出発点も提供します。後ほど明らかになるように、クラウドホッパーは過剰なレベルの信頼によって非常に成功し、攻撃者は制御の欠如という最悪の状況でそれを悪用することができました。

多くのデータ侵害と同様に、出発点は「人」の柱の侵害でした。高度に標的を絞ったスピアフィッシング攻撃では、標的の企業の部門に合わせてカスタマイズされた文書が活用されました。およびメッセージを受信する個人の職務。これにより、 悪意のあるペイロードが確実に実行され、攻撃者は MSP のネットワークに足がかりを得て被害者の認証情報を入手できるようになりました。さらに、被害者が管理アクセス権を持っていた場合は、「参入障壁」はさらに低くなります。ゼロ トラストの観点から見ると、特権アクセスは、承認されたビジネス ニーズに基づいて、承認されたシステムから「ジャストインタイム」(必要な期間のみ提供され、アクセスが不要になったら削除) で提供される必要があります。

次に倒れた柱はネットワークでした。マルウェアは組織のネットワークを偵察し、主要な資産をマッピングし、永続的な足場を確立し、意図したターゲットに最も効率的に到達する方法を特定しました。Cloud Hopper の場合、これは、MSP ネットワーク上の最初の侵害を受けたホスト (多くの場合、「橋頭保」と呼ばれます) からクライアント環境内の最終的なターゲットまでのパスを構築することを意味しました。もう一つの重要なネットワーク要素は、インターネット上のコマンド アンド コントロール (CNC または C2) 環境を通じて情報を送信し、指示を受信するマルウェアの機能です。これら 2 つのフェーズ (ネットワーク トラバーサルによる偵察とコール ホーム機能) は、ゼロ トラスト フレームワークのネットワーク セキュリティ原則で対処されている異なるタイプの障害を強調するため、個別に検討されます。

まずコールホームの部分を取り上げると、このマルウェアはCNCインフラストラクチャと通信できることに大きく依存しており、このアクセスが失敗した場合には自分自身を完全に削除します。マルウェアが最も一般的に配信されるデスクトップ環境では、インターネットアクセスが生産性に不可欠であるため、インターネットにアクセスするためにWebプロキシを使用することがよくあります。組織は、このアクセスの管理方法に細心の注意を払い、承認された認証されたユーザーのみがプロキシにアクセスできるようにし、ユーザーが通常の業務機能を実行できるように、このアクセスが最小レベルであることを確認する必要があります。ただし、これらの制御が適切に実装されているにもかかわらず、攻撃者はドメインを登録し、これらのプロキシ レベルの制御をバイパスするために Web フィルタリング プロバイダーの正当なカテゴリに配置するだけで済みます。このような場合、すべてのWebアクセスのログ記録と監視は必須であり、通常のアクティビティからの逸脱を特定して調査できるように、エンドユーザーの行動分析に結び付けられる必要があります。

Cloud Hopper の成功の本当の鍵は、攻撃者が横方向に移動できることでした。

しかし、Cloud Hopper の成功の本当の鍵は、攻撃者が各 MSP ネットワーク内でほとんど制限を受けずに 横方向に移動できること でした。これにより、悪用される可能性のある利用可能なホスト、プロセス、ポートのマップを迅速に作成し、攻撃の次の段階で活用するのに最も適しているものを判断することができました。軍事的な言葉を借りれば、これはサイバー専門家による「アイランドホッピング」キャンペーンとよく表現されます。特権ユーザー資格情報の収集に成功し、比較的無制限のネットワークアクセスにより、攻撃者は一般的な管理プロトコルを使用して正当に見える方法でシステムにアクセスでき、レーダーをかいくぐる飛行を行うことができました。比較的労力の少ないネットワーク偵察により、MSPが各クライアントのネットワークにアクセスするジャンプホストを簡単に特定でき、そこから攻撃者は実際のターゲットにアクセスすることができました。

これは、デバイス、ネットワーク、ワークロードのゼロトラストの柱の失敗が融合したものです。 フラット ネットワーク(セグメント化がほとんどまたはまったくないネットワーク) は攻撃者にとって格好の遊び場であり、この状況も例外ではありませんでした。MSP の内部ネットワークに適切なセグメンテーションや監視がなかったため、攻撃者は簡単に、そして検知されることなく移動することができました。セグメンテーションにより、ポリシーで明示的に許可されている場合を除き、攻撃者がネットワークをマッピングしたり、開いているパスを特定したり、移動したりする能力がブロックされます。すべてのネットワーク トラフィックを可視化することで、攻撃者の動きを把握でき、標的のデータが見つかる前に攻撃を阻止できるほどの早期の調査を開始できる可能性があります。ジャンプ サーバー (要塞ホストとも呼ばれる) などの主要な資産は、MSP ネットワークとクライアント ネットワークの両方に接続できましたが、ネットワーク アクセスまたはユーザー アクセスのいずれの面でも適切に保護されていませんでした。すべてのジャンプ サーバー アクセスに対して何らかの形式の特権アクセス管理を義務付けると、攻撃者がクライアント ネットワークに侵入する能力が大幅に制限されます。

Cloud Hopper攻撃は、複数の主要なセキュリティ制御の失敗を浮き彫りにし、組織が侵害の確率を100%と想定し、侵害を迅速に検出し、その影響を最小限に抑えることができるように環境を設計するアプローチである、セキュリティに対する別のアプローチの必要性を強調しています。高度な攻撃者の活動方法を考えると、最も賢明なアプローチは、すべてが 最小特権の原則 、つまりセキュリティに対するゼロトラストアプローチに基づいて構築されるアプローチです。