SolarWinds Breach: ゼロトラストへのパラダイムシフトの推進
SolarWindsの妥協案とその継続的な影響により、企業が外部依存(ベンダー、顧客、パートナーなど)とのすべてのタッチポイントを管理および検証することの難しさが浮き彫りになり、「チェーンは弱点と同じくらい強くなる」という古い格言がさらに強調されています。
2010年代初頭のターゲット違反と最近のいわゆる「ターゲット」クラウドホッパー「攻撃はすでにサプライチェーンに関連するリスクを浮き彫りにしていました。特に、サプライチェーンのメンバーが何らかの形でネットワークに直接アクセスできる場合(つまり、ネットワークアクセスを必要とする第三者関係)はなおさらです。そのため、このリスクが認識されたことで、これらのネットワークタッチポイントで実施されているセキュリティ管理にさらに重点が置かれるようになりました。これらの統制が適切に実施されれば、これらのタッチポイントがどこにあるのか、何にアクセスできるのか、アクセスのレベル、アクセスがどのように監視されているのかを明確に把握できます。検出と対応の観点から見ると、この「優先順位」の情報があるため、注意すべき指標がより明確になる可能性があります。
何よりもまず、SolarWindsの侵害は、テクノロジーサプライチェーンの中で、私たちが予想していなかったポイント(つまり、信頼できるソフトウェアベンダーからの署名付きアップデート)を攻撃したため、不安なものです。それでも、バックドア攻撃者に提供した機会という点では、これは私たち全員が「完璧」だと認めるべきものです。
攻撃が成功する確率は、利用可能な認証情報、使用可能なネットワークアクセス、悪用可能な脆弱性によって決まると言えます。この場合、広範囲に及ぶネットワークアクセスと、システムやディレクトリサービスへの高い特権アクセスによってシステムを危険にさらすことは、悪意のある攻撃者の希望リストの上位に挙がることになります。Orionプラットフォームはまさにその機会を提供してくれました。
攻撃者がどのようにしてSolarWindsのコード検証とビルドプロセスを侵害したのかはまだ調査中であり、独自の開発を行うすべての組織が、同じリスクをどのように軽減できるかに大きな関心を持つことは間違いありません。
今一番気になるのは、潜在的被曝がどのような状態であり続けているかということです。まだ明らかにされていません。アクセスのレベルと範囲が広いため、攻撃者がどこに侵入して隠れることができたのかを正確に把握することは困難です。Orionアップデートの使用は、純粋に標的組織に (非常に目立つ) 足掛かりを確立するためだけのものであり、最終的なトロフィーでも、存在感やアクセスを維持するための必要条件でもないことがわかっています。
このため、継続的な検出と対応に重点が置かれています。この点で、私たち全員が果たすべき重要な役割があります。この大規模な攻撃を発見できたのは、経験豊富なインシデント対応およびサイバーセキュリティベンダー(FireEye/Mandiant)も侵害されたからです。しかし、侵害後にデータの盗難を検知し、公開し、初期対策を講じたのは、被害者リストの先頭に立った企業でした。おそらく、これはこの継続的なエピソードの希望の兆しの1つでしょう。
セキュリティベンダーは、私たちが提供するソリューションをどのように利用して攻撃の検出と拡散の抑制(または少なくとも遅延)を実現できるかを緊急に判断する必要があります。
- Blue Teamsが組織内の活動をより正確に把握し、より明確な妥協の指標を提供するために効果的に利用できるテレメトリーはありますか?
- ラテラルムーブメントを制限する、すぐに適用できるポリシーはありますか?
- 私たちのテクノロジーソリューションは、接続量、特権アクセスの使用、ワークロード上の脆弱性の数など、アプリケーションが組織にもたらすリスクを明らかにし、場合によっては軽減できるでしょうか?
- 侵害された認証情報がいつ使用されているかを迅速に特定し、それ以上のアクセスを防ぐことはできますか?
- 複数のセキュリティソリューションから、既知のTTPと新しいTTPを特定できるような簡単な相関関係はありますか?
そして、対象となる可能性のある組織についてはどうでしょうか。彼らは何をする必要があるのでしょうか?今、これまで以上に、各資産に関連するサイバーリスクを理解することが最も重要になっています。
- 最も重要なリソースを迅速に特定できているか
- これらのリソースに関するアクセスモデルをどの程度理解していますか?
- これらのサーバー/ワークロードとの間のアウトバウンド通信を制御できますか?そもそもアウトバウンド通信が存在すべきなのか?
- 各レイヤー(エンドユーザーデバイス、ネットワーク、IDおよびアクセス管理、アプリケーションなど)で適切な監視が行われているか、改善できるか?
- アクセスポリシーを厳しくして、ゼロトラスト/最小権限に近づけることはできますか?
- 安全なソフトウェア開発プラクティスを見直して、可能な限り強固なものにするのだろうか?
悪名高い「ショック・ドクトリン(Shock Doctrine)」パラダイムは、あるシステムに変革をもたらすためには、システム全体がショックを受け、そのような変化が必要であることを認識させる必要があると示唆しています。サプライチェーンのセキュリティとリスクに焦点が当てられるのは当然ですが、実際の変革は次のようになる必要があると思います。
テクノロジーベンダー しなければならない 自社が提供する既存のソリューションを検知・対応機能のサポートにどのように活用できるかを顧客に説明できる。
顧客 (つまり、組織) しなければならない 次のことに焦点を当てます。
- 最も重要な資産を特定します。
- さまざまなセンサーを使用してこれらの資産を積極的に監視し、悪意のある TTP の兆候を特定します。
- これらのアセットのアクセスモデルを理解し、それらを保護するための最小権限ポリシーを適用すること。
多くの点で、ここで提示された機会は、まさにその出発点です。 ゼロトラスト:「侵害を想定して、所有権を握りにくくする。」