ゼロトラストにより、組織がサイバーキルチェーンの各ステップにどのように対処できるか

このブログ記事では、サイバー キル チェーンについて、信頼のみを前提とするセキュリティ モデルがチェーンのステップ 1 から 6 (つまり、最初の侵害の時点までのすべて) の緩和にどのように役立つか、また、セキュリティに対するゼロ トラストアプローチが侵害前のセキュリティに重点を置く既存の制御のレベルを大幅に向上させると同時に、侵害後の検出と対応をサポートするために必要な主要な機能も提供する方法について説明します。その結果、ゼロ トラストを採用する組織は、悪意のある侵入者を検出して封じ込める準備がより適切に整う可能性が高くなります。

私たちは皆、攻撃が定着するのを防ぐための多層防御の価値を理解しています。もちろん、これが、当社が境界を保護するための次世代ファイアウォール(NGFW)、従業員のデバイスのエンドポイント セキュリティ、生産性を保護するための電子メールおよび Web セキュリティ ツールなど、数多くのセキュリティ投資を行っている理由です。

これらの予防ツールと多層防御の価値は、サイバー侵入を特定して防止することを目的としたサイバー キル チェーンに反映されています。2011 年にロッキード マーティンによって公式化されたサイバー キル チェーンは、過去 10 年間、組織がセキュリティ制御を計画する方法を定義し、その結果としてサイバー回復力を測定する方法を直接決定してきました。次の 7 つのステップがあります。

1. 偵察: 攻撃者は攻撃前にターゲットに関する情報を収集します。
2. 武器化: サイバー攻撃者は、感染した Microsoft Office ドキュメントやフィッシング メール、マルウェアなどの攻撃を作成します。
3. 配信:実際のフィッシングメールの送信など、攻撃の送信
4. エクスプロイト: システム上で実行されているエクスプロイトなど、攻撃の実際の「爆発」。
5. インストール: 攻撃者は被害者にマルウェアをインストールします (すべての攻撃にマルウェアが必要なわけではありません)。
6. コマンド&コントロール:現在侵害されたシステムは、サイバー攻撃者が制御を獲得するためにコマンド&コントロール(C&C)システムに「コールホーム」します。
7. 目的に対するアクション: 攻撃者はアクセスできるようになり、目的を達成するためのアクションに進むことができます。

サイバーキルチェーンは、「チェーンは最も弱いリンクと同じくらい強力である」といった古い格言に立ち返り、「防御は攻撃の最良の形態である」という古い格言に頼り、攻撃者が最初の感染や環境内へのアクセスを得る前に、左から右へ、あるいは別の方法で進行する攻撃者を阻止することに重点を置いています。ステップ 7 (目標に対するアクション) より前の任意の時点で悪意のある攻撃者を阻止できれば、攻撃を阻止したことになるという期待。

この結果、最近まで、 侵入を想定せず、すべての攻撃を検出してブロックできると想定したファイアウォール、ウイルス対策、Web ゲートウェイなどの予防的制御が強く（おそらく過剰に）重視されてきました。しかし、これらすべてのツールには同じ制限があります。それは、せいぜい「既知の悪影響」を防ぐだけであるということです。これらは以下の仮定に基づいています。

1. 私のオフィスと従業員を収容する建物は信頼されています。
2. ネットワーク境界は厳しく、信頼されています。
3. この信頼された境界内のネットワークは信頼されます。
4. この信頼できるネットワークに接続されているデバイスは信頼されます。
5. これらの信頼できるデバイスで実行されているアプリケーションは信頼されます。
6. これらの信頼できるアプリケーションにアクセスするユーザーは信頼されます。
7. 攻撃者は予測可能であり、同じ動作を繰り返します。

予防的制御の目的は、悪質な行為者を排除し、それによって暗黙の信頼レベルを維持することです。しかし、攻撃者が「既知の悪質な人物」から「未知の悪質な人物」に変身した場合はどうなるでしょうか。その場合、これらの防御線はどのように機能するのでしょうか。現代の高度な攻撃 (Target の侵害からCloud Hopperまで、そしてその間のあらゆるものまで) は、特にこの誤った信頼感を悪用して、キル チェーンのステップ 6 と 7 に早送りし、ステップ 1 から 5 を阻止しようとする制御を回避するように設計されています。そして、こうした予防管理は常に追いついています。

さらに先に進む前に、予防措置はあらゆる組織のサイバー防御の重要かつ不可欠な部分ですが、もはやそれがすべてではないことを強調しておくことが重要です。実際のところ、これらはほんの始まりに過ぎません。それは、それらの前提がもはや通用しなくなったからです。特に2020年は世界的なパンデミックによってあらゆる分野の組織の働き方が根本的に変化し、新たな常態が生まれました。

1. 私の会社は特定の場所にはありません。
2. 境界は存在しますが、すべてを網羅しているわけではありません。
3. 多くの場合、ネットワークは私の組織に限定されません。
4. 私が制御していないデバイスがネットワーク上に存在します。
5. 多くの場合、ビジネスが使用しているアプリケーションは、私がホスト、所有、管理していません。
6. ユーザーはどこにでもいます。
7. 攻撃者は予測不可能であり、常に新しい攻撃手段を探しています。

これらの新しい仮定は、絶対的に信頼できるものはほとんどないことを示しているため、私たちは侵害を防ぐ可能性が低い状況に存在するため、私たちの焦点は検出、対応、封じ込めに移らなければなりません。そして、ここでゼロトラストを導入します。

ゼロトラストを3つの主要な領域に分割することが重要です。

1. コントロール
2. モニタリング
3. 自動化とオーケストレーション

ゼロトラスト制御

ゼロトラスト制御は、名目上は、かつての境界モデルに由来する予防制御に匹敵しますが、出発点は異なります。

• ペリメーターモデルは、内側のすべてが信頼できると仮定しているため、ペリメーターの強度に過度に重点が置かれており、画一的なアプローチです。
• ゼロトラストでは、この暗黙の信頼の仮定は存在しないため、私たちはより賢くなることを余儀なくされます。
• 最も保護が必要なものは何ですか?
• 誰がアクセスする必要がありますか?
• どこから?
• いつ。
• なぜでしょうか。
• 相互依存関係とは何ですか?

これらは、ゼロトラストポリシーを構築するために使用するデータポイントです。

これを攻撃者の視点で考えると、侵入を成功させるためのハードルがかなり高くなっていることがわかります。ラテラルムーブメントの実行、権限の昇格、ホームへのコールバックなど、ネットワークへのアクセスを取得するだけで十分であるとはもはや考えられなくなっています。マイクロセグメンテーションの有効性に関する Bishop Fox レポートで見てきたように、このようなゼロ トラスト制御により、攻撃者は行動を変えて他の手法を活用するようになり、それによって防御側が検出できる可能性が高まります。制御に対するゼロ トラスト アプローチは、悪用される可能性のある攻撃対象領域を削減するのに役立ちます。ゼロ トラスト制御モデルは多層防御のアップデートであり、重要なデータを保護するレイヤーを備えているため、攻撃者が防御技術を回避したとしても自由に移動することが困難になります。

MITRE ATT&CK Framework

ゼロ トラストのコンテキストでの監視と自動化/オーケストレーションについて説明する前に、 MITRE ATT&CK フレームワークについて説明しましょう。フレームワークの出発点は侵入の想定であり、最初の侵入からミッションの成功までの間に攻撃者がどのように行動するかを理解することに重点が置かれています。これを理解することで、特定のイベントを監視する検出機能を定義することができます。これらのイベントは、単独または相関関係にある場合に、さらなる調査を必要とする異常な動作の指標を提供します。

ゼロトラスト監視

MITRE ATT&CKフレームワークは、できるだけ多くのデータソース(ネットワーク、ファイアウォール、プロキシ、AV、EDR、IAM、OS、クラウドサービスプロバイダー、アプリケーション、DB、IoTなど)からの忠実度の高いイベントという可視性を重視し、防御チームが既知の攻撃に関連するさまざまな行動をモデル化し、攻撃者とその手法に関するさらなる知識が得られるにつれて進化し続けることができるようにします。ゼロトラストアプローチは、以前のアプローチではなかった可視性を重視しており、実際、ゼロトラストのモットーは「目に見えないものは守れない」かもしれません。したがって、ゼロトラストプログラムの一環として可視性を向上させることから始め、MITRE ATT&CKフレームワークを使用して組織が受ける可能性のある敵対的な行動をモデル化することと組み合わせることで、すでに存在する機能を使用してサイバーキルチェーンの防御側に価値をもたらすことができます。

素晴らしい BBC ポッドキャスト「 13 Minutes to the Moon 」では、第 2 シリーズで悪名高いアポロ 13 号探検を取り上げています。アポロ宇宙船の設計とそれをサポートする運用チーム全体は、最善の予防策にもかかわらず、検出と対応の重要性を強調する良い例えとなっています。アポロ計画のために設計された宇宙船は、あらゆるコンポーネントに信じられないほどの回復力とフェイルセーフが組み込まれており、あらゆる可能性のある予測される結果から回復できることを保証するために、多数の障害シナリオがテストされました。アポロ 13 号では、1 基のブースター エンジンの喪失は他の 4 基のエンジンの点火によって補われましたが、配線絶縁体の摩耗を防ぐ設計上の欠陥により爆発が発生し、ミッションが危険にさらされました。この爆発 (破損に類似) が発生すると、乗組員とミッション コントロールは、問題の検出、問題の切り分け、復旧を、宇宙船からのテレメトリ、宇宙飛行士と地上の専門家の観察に全面的に依存せざるを得ませんでした。これは、関連データ ソースから正確な忠実度のデータが利用可能になり、そのデータを効率的に分析する能力と組み合わせることで、セキュリティ運用チームがインシデントをより正確にトリアージする準備が大幅に整い、どのイベント (またはイベントの組み合わせ) をさらに調査する必要があり、どのイベントを安全に無視できるかについて、より適切かつ迅速な決定を下せるようになるという素晴らしい例です。

ゼロトラスト自動化

セキュリティオーケストレーション、自動化、対応(SOAR)プラットフォームの台頭は、攻撃の検出後の段階全体を取り、検出から対応まで効率的に移行するためのテクノロジーを提供することに重点を置いています。一般的な悪意のある動作パターンの場合、このシーケンス全体を自動化して、アナリストがより高度な攻撃の調査に時間を割くこともできます。SOARプラットフォームは、これらの効率性を実現するために、関連データを提供するテクノロジーソリューションと統合したり、必要な応答アクションを実行したりする能力に依存しています。これが、オーケストレーションと自動化がゼロトラストにおいて不可欠な(しかし見落とされがちな)柱である理由です。自動化によって新しいセットアップを調整したり、計画された変更の一環として既存のセットアップを変更したりできることは、運用上大きなメリットをもたらしますが、セキュリティ インシデントに対応するために同じプラットフォームを迅速かつ一貫して調整できる場合に、真のセキュリティ上の利点が実現されます。

それでは、私たちが始めた場所に戻ります。

• セキュリティに対する従来の境界アプローチは、サイバーキルチェーンの一部にしか対処せず、侵害後の段階にはほとんど目が見えません。
• ゼロトラストは、保護されているものの監査から始めることで、予防を大幅に強化します(例:重要なデータまたは主要なアプリケーション)を呼び出し、これに関する制御が適切な最小特権アプローチで構築されるようにします。
• ゼロトラストは「侵害を想定する」という立場から始まり、侵害後の検出をサポートする高品質のログを提供するソリューションを重視します。
• さらに、顧客がゼロトラストを達成するのを支援することを目的としたテクノロジーには、優れたオーケストレーションと自動化が必要であるという提唱は、インシデントへの自動対応においてSOARプラットフォームをサポートできることを意味します。

したがって、ゼロトラストアプローチを採用することで、サイバーキルチェーンの最初の6段階を阻止することに重点を置いていた従来の境界アプローチを強化すると同時に、攻撃者がステージ7に到達して意図した行動を取ろうとした場合に、攻撃者の検出と阻止に集中する能力を組織に提供することができます。

Illumio のゼロトラストへのアプローチの詳細については、 https://www.illumio.com/solutions/zero-trustをご覧ください。