.png)
クラウドホッパー:ゼロトラストの視点
政府支援の中国工作員(親しみを込めて「APT10」と呼ばれる)が組織したと疑われるハッキングキャンペーン「クラウドホッパー」は、2014年から少なくとも2017年にかけて実施され、さまざまな業界の複数の欧米企業に影響を与えました。この特定のサイバースパイ活動の集まりは非常に大きかったため、活動の規模、対象となる組織の範囲、収集された情報の種類、そして最も重要なのは最初の侵害の性質そのものから、セキュリティメディアとビジネスメディアの両方で引き続き注目を集めました。攻撃者が被害者を乗っ取ったことで、クラウド・ホッパーという名前が今ではよく知られるようになりました。 マネージドサービスプロバイダー (MSP)は、これらを活用してMSPの「クラウド」から対象企業のネットワークに「ホップ」します。
漏えいについては、詳細な内容など、優れた要約や詳細な記事が多数掲載されています。 オペレーション・クラウド・ホッパー PWCのレポートには、違反の詳細な分析が記載されています。ここでは同じ情報を繰り返すのではなく、クラウド・ホッパーを次のような観点から見ていきます。 ゼロトラスト フレームワーク、具体的には、この種のセキュリティアプローチを採用することで攻撃者の有効性がどのように低下する可能性があるかについて説明します。
Forrester Researchは、10年近く前にゼロトラストを初めて導入し、セキュリティの「信頼するが検証する」という考え方から、「何も信頼せず、すべてを監視し、権限を最小限に抑える」アプローチへの移行を提唱しました。この移行は、多数の資産から成るグループを保護するために広い境界線に頼ることから、すべての資産を標的と見なすような境界線に頼ることから、企業を攻撃に対してより脆弱にする本質的な信頼を排除することを目的としています。
ザの ゼロトラストフレームワーク は7つの柱に分かれており、これらを組み合わせると、企業の安全を確保するための包括的な戦略が実現します。また、攻撃が成功した理由を分析し、攻撃がもっと強かったらどの柱が攻撃の阻止に役立ったかを理解するための出発点としても役立ちます。これから明らかになるように、Cloud Hopper が大きな成功を収めたのは、信頼度が高すぎたためであり、攻撃者は制御不備の嵐の中でこれを悪用することができました。
多くのデータ漏えいと同様に、その出発点は人材の柱の侵害でした。 ターゲットを絞った槍 フィッシング攻撃 対象となる企業の業種と、メッセージを受け取る個人の職務の両方に合わせた文書を活用します。これにより、次のことが確実になりました。 悪質なペイロード が実行され、攻撃者は MSP のネットワークに侵入し、被害者の認証情報を取得することができました。さらに、被害者が管理者権限を持っていれば、「侵入障壁」はさらに軽減されました。から ゼロトラスト 観点から見ると、権限のあるシステムから承認されたビジネスニーズに基づいて、特権アクセスを「ジャストインタイム」(必要な期間のみ、アクセスが不要になったら削除する)で提供する必要があります。
次に倒れた柱はネットワークでした。 ザの マルウェア 組織のネットワークを偵察し、主要な資産を綿密に計画し、根強い足掛かりを確立し、どのようにして意図した目標を最も効率的に達成できるかを判断しました。Cloud Hopperの場合、これは、MSPネットワーク上で最初に侵害されたホスト(しばしば「ビーチヘッド」と呼ばれる)から、クライアントの環境における最終的なターゲットまでの経路を編み出すことを意味していました。もう 1 つの重要なネットワーク要素は、マルウェアがインターネット上のコマンドアンドコントロール (CNC または C2) 環境を通じて情報を送信し、指示を受け取る能力でした。これら2つのフェーズ(ネットワークトラバーサルによる偵察とオートコール機能)については、ゼロトラストフレームワークのネットワークセキュリティ原則で対処されている異なるタイプの障害が明らかになるため、個別に説明します。
このマルウェアは、オートコール機能を第一に考えてみると、CNC インフラストラクチャと通信できるかどうかに大きく依存しており、このアクセスが失敗すると完全に削除されてしまうほどでした。マルウェアが最も一般的に配信されるデスクトップ環境では、生産性向上のためにインターネットへのアクセスにウェブプロキシを使用することがよくあります。組織はこのアクセスの管理方法に細心の注意を払い、許可され認証されたユーザーのみがプロキシにアクセスできるようにし、ユーザーが通常どおりの業務を遂行できるように最低限のアクセスレベルにする必要があります。ただし、これらの制御が適切に実装されているにもかかわらず、攻撃者がこれらのプロキシレベルの制御を回避するには、ドメインを登録して Web フィルタリングプロバイダーの正規のカテゴリに分類するだけで済みます。このような場合は、すべてのウェブアクセスのロギングと監視を必須とし、通常のアクティビティからの逸脱を特定して調査できるように、エンドユーザーの行動分析と結び付ける必要があります。
Cloud Hopperの成功の真の鍵は、攻撃者が横方向に移動できることでした。
しかし、クラウドホッパーの成功の真の鍵は、次のような機能でした。 アタッカーが横方向に移動する 各MSPネットワーク内で、制限はほとんどありません。これにより、悪用される可能性のある利用可能なホスト、プロセス、ポートのマップを迅速に作成し、攻撃の次の段階でどれを活用するのが最も適しているかを判断できました。軍事用語で言えば、サイバー専門家はしばしば「アイランドホッピング」キャンペーンと表現します。特権ユーザー認証情報の収集に成功し、ネットワークへのアクセスが比較的制限されないことで、攻撃者は共通の管理プロトコルを使用して、正当と思われる方法でシステムにアクセスできるようになり、攻撃者は見えないところをすり抜けることができました。比較的手間がかからないネットワーク偵察により、各クライアントのネットワークへの MSP アクセスを提供するジャンプホストを簡単に特定でき、攻撃者はそこから攻撃の実際のターゲットにアクセスできました。
これは、デバイス、ネットワーク、およびワークロードに関するゼロトラストの柱の失敗を統合したものです。 フラットネットワーク セグメンテーションがほとんどまたはまったくないネットワークは、攻撃者にとって遊び場であり、この状況も例外ではありませんでした。MSP の内部ネットワークでは、適切なセグメンテーションや監視が行われていなかったため、攻撃者は検出されずに簡単に動き回ることができました。セグメンテーションを行うと、ポリシーで明示的に許可されている場合を除き、攻撃者がネットワークをマップしたり、オープンパスを特定したり、移動したりすることができなくなります。すべてのネットワークトラフィックを可視化できれば、攻撃者の動きに関する洞察が得られ、標的データが見つかる前に攻撃を阻止できるほど早い段階で調査を開始できる可能性があります。ジャンプサーバー (要塞ホストとも呼ばれる) などの主要資産は MSP とクライアントネットワークの両方に接続できましたが、ネットワークまたはユーザーアクセスのいずれに関しても十分なセキュリティが確保されていませんでした。すべてのジャンプサーバーへのアクセスに何らかの形の特権アクセス管理を義務付けると、攻撃者がクライアントネットワークに侵入する能力を大幅に制限することになります。
クラウドホッパー攻撃は、複数の主要なセキュリティコントロールの失敗を浮き彫りにし、セキュリティに対する異なるアプローチの必要性を浮き彫りにしています。これは、組織が侵害の確率を 100% と想定し、侵害を迅速に検出し、その影響を最小限に抑えられるように環境を設計するアプローチです。高度な攻撃者の行動方法を考えると、最も賢明なアプローチは、ゼロからすべてを構築するアプローチです。 最小権限の原則 — セキュリティへのゼロトラストアプローチ。
