/
サイバー・レジリエンス

ドメインコントローラーのところへ連れて行って:ゼロトラストツールを使った保護と緩和

パート 1 このブログシリーズでは、その方法を見てきました 検出 方法は最初の妥協案で使用できます。は 第二 パス・ザ・ハッシュ技術とリモート・アクセス・ツールを組み合わせて個人情報盗難の例を示しました 横方向の動き。この最後のパートでは、横方向の動きを軽減する方法を見ていきます。ラテラルムーブメントを可能にする2つの補完的なアプローチ、つまりアプリケーションレベルとネットワークレベルの実践例についてはすでに説明しました。

3.1

ネットワークレベルとは、実際にはネットワークを介したホスト間通信を意味し、必ずしもスイッチやルーターなどのネットワークデバイスではないことは明らかです。ホストはドメインコントローラーマシンのようなワークロードであり、データベースサーバーマシンは物理、仮想、さらにはコンテナ化されています。アプリケーションレベルとは、ホスト自体の内部で何が起こるかを指すこともあります。たとえば、ディスク上のバイナリ、メモリ内のプロセス、レジストリアクションなどです。

前回のブログで説明したラテラルムーブメントでは、Windows LSASSプロセスメモリからハッシュされた認証情報を取得することで、Mimikatz対応のハッシュパス・ザ・ハッシュ手法がアプリケーション・レベルでアプリケーション・レベルで使用されました。

3.2

その後、その攻撃から派生した昇格されたアクセストークンを使用して、Windows SCMを活用したPaExecツールを使用してリモートアクセスを可能にしました。

3.3

この特定の攻撃シーケンスを上記の 2 つのレベルと照らし合わせて分析すると、システムのアプリケーションレベルでは、最初にMimikatzが使用されたり、PaExecが失敗したりすることを防ぐ必要があります。これは、デフォルト拒否を使用した場合です。 許可リスト アプリケーションの。あるいは、ロードされた DLL や API 呼び出しを監視するなどして、メモリ内のプロセスの起動を検出する必要があります。ネットワークレベルでは、システムが同じサブネットまたは VLAN 上にある場合でも、システム間の移動を防ぐために、ホストレベルでマイクロセグメンテーションを実施する必要があります。また、トラフィックのベースライン化を行うと、データ漏洩などの異常を検出できるようになります。

以下の画像は、Mimikatz と PaExec バイナリの静的解析と、インポートされた DLL などの一部のシステム依存関係を示しています。

3.4

メモリ内で実行中のプロセスには、Mimikatz pass-the-hash接続とそれに続くドメインコントローラへのPAExec接続の両方に使用されたcmdのプロセスツリーが表示されます。

3.5

送信先システム (この場合はドメインコントローラー) のフォレンジックでは、リモート管理 (この場合はラテラルムーブメント) を容易にするためにドメインコントローラーで使用されているバイナリも表示されます。

3.6

また、下の画像には関連するサービスも表示されています。

3.7

デフォルトでは、バイナリ名と結果プロセス名の両方に標準の命名規則を使用します。もちろん、これは脅威アクターによって変更される可能性があります。

したがって、緩和アプローチでは、これらのレベルの攻撃を考慮に入れることが重要です。つまり、アプリケーションレベルの脅威を考慮した保護と、ホスト間通信に焦点を当てたネットワークレベルのセキュリティを考慮した保護です。そうなると、セキュリティは保護されているホストやワークロード (例: ドメインコントローラー ワークロードとしてのマシン、およびドメインコントローラーにアクセスするエンドポイントマシン)。

以下のインフォグラフィックは、この2段階の概念をドメインと関連するサーバーとクライアントに適用して、このブログシリーズで説明したように、ドメインコントローラーやその他のドメインシステムへの脅威から保護するための重要なセキュリティ上の考慮事項をいくつか示しています。

3.8

情報の良い出発点は アクティブディレクトリを保護するためのマイクロソフトのベストプラクティスでは、セキュリティで保護されていないコンピュータに特権アカウントでログオンしたり、権限の高いアカウントで通常どおりインターネットを閲覧したり、ドメインコントローラから直接インターネットを閲覧したりしないなど、常識的なアプローチについて詳しく説明しています。また、効果的な権限管理とアプリケーション許可リストにより、ドメイン全体での特権アカウントの使用制限を自動化し、許可されていないアプリケーションの使用を防止することもできます。

一例として、システム保護のアプリケーションレベルでは、Endpoint Detection and Response(EDR)とゼロトラストに基づくIDおよび権限管理ソリューションを組み合わせることで、MimikatzやRubeusなどのツールを使用して、認証情報の盗難やLSASSメモリ操作などのドメインシステム上のアプリケーションレベルの脅威に対処できます(メモリのみで実行され、ディスクに触れない場合でも)。

以下の例は、EDRソリューションであるCrowdStrike Falconで、アプリケーションレベルおよびシステムレベルで一連の悪意のある動作を検出した例を示しています。

3.9

システムのネットワークレベルでは、ドメインコントローラーや他のドメインシステムと同様に、ホストベースのマイクロセグメンテーションソリューションは次のようなものです。 イルミオコア ゼロトラストセキュリティとマイクロセグメンテーションを提供できます。 イルミオエッジ この保護をドメイン内外のエンドポイントにまで拡張します。これは特に、ゼロデイ脆弱性の場合や、アプリケーションレベルおよびシステムレベルのエンドポイントセキュリティが脅威を見逃す場合に当てはまります。

現代のネットワークのほとんどは、特にこのリモートワークの時代において、異種で複雑で拡張されています。そのため、最初に焦点を絞った戦略を立てなければ、セキュリティを確保することは特に容易ではありません。特に大規模ネットワークの場合、さまざまなセキュリティポリシーを持つ多種多様な複雑なシステムが非常に多いため、効果的なセキュリティを実現することはほとんど不可能に思えるかもしれません。そのため、基本に立ち返って次のことを行うことが重要です。

  1. 自分が何を持っているか知っている
  2. 彼らが何をしているのか知っている
  3. それらを保護してください

これは、ワークロードがデータセンターまたはクラウドに保存されている場合に特に当てはまります。何があるかを知る最も簡単で効果的な方法は、まず、場所、環境、アプリケーションなどの特定の属性別にシステムをグループ化することです。これにより、重要なシステムやアプリケーショングループ、グループ全体で使用されるコアサービス、その他の重要度の低いシステムやアプリケーションを簡単に特定できます。当然のことながら、最も重要な資産、至高のアプリケーション、およびコアサービスに主に焦点が当てられます。

3.10

効果的なセキュリティは単独では存在しません。そのため、どのようなアプローチでも、以下の重要な考慮事項を考慮する必要があります。

  • 可視性
  • インテグレーション
  • 大規模環境でのパフォーマンス
  • 有効性

最初の重要な点は可視性です。ゼロトラストワークロード保護のためのイルミオのコアソリューションの以下の例に示すように、アプリケーションの依存関係をマッピングし、さまざまなアプリケーショングループとその接続を表示することで、ドメインコントローラー、データベースサーバー、およびドメイン内のその他の重要なワークロードシステム(物理、仮想、コンテナ、クラウド)などのホストシステムで、情報に基づいたポリシーの定義とプロビジョニングを直接行うことができます。つまり、マイクロセグメンテーションは、システムが地理的に異なる場所にまたがり、さまざまなプラットフォームに存在するフラットなブラウンフィールド環境でも適用できるということです。これは、システムがネットワーク上で何をしているのかを知るのに役立ちます。以下の例は、におけるアプリケーショングループとそのトラフィック関係を示しています。 アプリケーション依存関係マップ

3.11

このような有用なシステムレベルの情報は、SIEM、脆弱性スキャナー、CMDB などの既存のセキュリティ投資に統合することもできます。以下の例では、ホストベースのマイクロセグメンテーションソリューションからの情報が SIEM またはセキュリティ分析ソリューションに送られます。次の例は、Splunk SIEM との統合を示しています。

3.12

そして、この2番目の例では、QRadarを使用して次のようになります。

3.13

つまり、新しいソリューションを既存のセキュリティ投資と組み合わせて、ドメインシステム全体を保護できるということです。コンテナやクラウド移行などの固定環境とアジャイル環境の両方でセキュリティをスケールアップまたはスケールダウンするには、大規模なセキュリティソリューションのパフォーマンスと有効性も重要な考慮事項です。

これらがすべて整えば、すべてのシステムで一貫したセキュリティポリシーを定義して、異常な動作を監視、検出、防止することが容易になります。以下の図は、ネットワークレベルのホストからホストへのリアルタイムのトラフィックパターンに基づいて適用できるさまざまなタイプのマイクロセグメンテーションポリシーを示しています。

3.14

Windows 10やServer 2016などの新しいバージョンのWindowsでは、イベント4768(Kerberos認証チケット(TGT)が要求され、イベント4769(Kerberosサービスチケット)の監査が要求されました。その後の相関関係により、ゴールデンチケット攻撃またはシルバーチケット攻撃が開始された可能性があります。マイクロソフトは、認証情報のダンピングを防ぐことを目的とした認証情報ガードなどの新しい保護機能も実装しました。万が一、サイバーインシデントが発生した場合には、次のことが重要になります。 サイバーインシデント対応戦略 すでに設置されています。

アプリケーションレベルとネットワークレベルの保護はどちらも、「」によって支えられている必要があります違反を想定「分析、継続的な監視、検出に支えられた全体的な積極的な脅威ハンティングが、自動的かつ構造化された方法で常に実施されるようにするための戦略。

関連トピック

アイテムが見つかりません。

関連記事

マルウェアペイロードとビーコン:悪意のある通信の開始方法
サイバー・レジリエンス

マルウェアペイロードとビーコン:悪意のある通信の開始方法

マルウェアビーコンは、攻撃者がスクリプトを通じてマルウェアを実行する方法です。それらを認識することは、検出および封じ込め戦略の策定に役立ちます。

サイバーセキュリティの最も重要な3つのベストプラクティスに関する業界専門家
サイバー・レジリエンス

サイバーセキュリティの最も重要な3つのベストプラクティスに関する業界専門家

マイクロソフト、IBM、Cylera、AWSなどのリーダーから、今すぐ実装すべきサイバーセキュリティのヒントをご紹介します。

新しい TCP ポート 135 のセキュリティ脆弱性から身を守る方法
サイバー・レジリエンス

新しい TCP ポート 135 のセキュリティ脆弱性から身を守る方法

TCPポート135を悪用してリモートコマンドを実行する方法により、ポート445の脆弱性が生じ、TCPセキュリティを確保するためにポート135を保護する必要が生じました。

アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?