名前:WRECK Takeaways — マイクロセグメンテーションが可視性と抑制にどのように役立つか
NAME: WRECK の脆弱性コレクションにより、攻撃者はドメインネームシステム (DNS) 応答の処理における欠陥を悪用して、重要なサーバーや IoT デバイス (境界ファイアウォールの背後にあるものも含む) をリモートで侵害できます。医療技術、スマートデバイス、産業機器など、世界中の何億台ものデバイスが NAME: WRECK によって侵害される可能性があります。
ForescoutとJSOFが最近発表した調査では、DNS応答解析を利用するこの一連の脆弱性が詳しく説明されています。これらの欠陥は多くのオペレーティングシステムの TCP/IP スタックに見られ、ターゲットシステム上でリモートコード実行やサービス拒否につながる可能性があります。これらの脆弱性を悪用するには、攻撃者は、脆弱なクライアントと DNS サーバーの中間に身を置いて、有効な DNS クエリに返信できなければなりません。その応答には、脆弱性を引き起こすようにペイロードがフォーマットされている必要があります。脆弱であることが示されているプラットフォームには、データセンター全体で普及しているFreeBSDや、IoTのオペレーティングシステムとして広く使用されているNucleusとNetXなどがあります。 OT デバイス。NAME: WRECKに関する記事全文はこちらからご覧いただけます ここに。

最初の侵害は攻撃者がターゲットデバイスへのネットワークアクセスを持っているかどうかにかかっており、侵害後にラテラルムーブメントを行うには広範囲にわたるネットワークアクセスが必要であることを考えると、可視性とマイクロセグメンテーションは、起こり得る攻撃の検出と軽減の両方をサポートできる機能を提供します。
どちらの場合も、影響を受けるプラットフォームを実行している環境内のデバイスの正確な資産インベントリから始める必要があります。これは、データセンターのサーバーにとっては簡単かもしれませんが、キャンパスに点在する IoT デバイスや OT デバイスにとってはさらに困難です。この情報が完全ではない場合は、ネットワーク内のどこに展開されているか (特定の IP ではないにしてもサブネットレベルでも) を知ることから始めるとよいでしょう。
可視性
攻撃者は悪意のある DNS レスポンスを注入するためにMITM(中間者)を実行する必要があるため、不正な接続を特定するのは難しい場合があります。ただし、次の情報からある程度の洞察が得られる可能性があります。
- 認識されない、または予期しないDNSサーバーへのDNS接続を試みました。
- 特定の DNS サーバーに対するアクティビティの量が異常に多い。
- ペイロードが大きいDNSレスポンス。
妥協後の潜在的な横方向の動きは、以下によって検出できます。
- 通常は接続しない内部デバイスへのターゲットエステート (FreeBSD、NetX、Nucleus) 接続。
- ターゲットエステートから新しいインターネット接続を試みます。
- ターゲットエステートとの間での新しい大容量データ転送。
コンテインメント
組織はマイクロセグメンテーションを活用して、潜在的な攻撃対象領域を減らし、ラテラルムーブメントを抑制することができます。
- 承認されたDNSサーバー(内部と外部の両方)にのみアクセスできるようにデバイスを制限します。
- ルールが事業運営に必要なフローのみを許可するようにデバイスへの/からのアクセスを制限し、ネットワークへの無制限のアクセスを防ぎます。
- デバイスのインターネットへのアクセスを禁止するか、アクセスを特定のドメインのみに制限します。
Illumioのお客様は、Illumio Coreの比類のない可視性を活用してこの監視を可能にし、適切なセグメンテーションポリシーを構築できます。その方法については、イルミオのアカウントチームにお問い合わせください。