ゼロトラストにより、組織がサイバーキルチェーンの各ステップに取り組む方法

このブログ記事では、サイバーキルチェーンについて、信頼を前提としたセキュリティモデルが、チェーンのステップ1から6、つまり最初の侵害に至るまでのすべてを軽減するのにどのように役立つのか、そしてどのように役立つのかを見ていきます。 ゼロトラスト セキュリティへのアプローチは、侵害前に焦点を当てた既存の統制を大幅に強化すると同時に、侵害後の検出と対応をサポートするために必要な主要な機能を提供します。その結果、ゼロトラストを採用している組織は、悪意のある侵入者を検出して封じ込めるための準備が整う可能性があります。

攻撃が定着するのを防ぐための多層防御の価値は、誰もが理解しています。もちろん、これが私たちが投資してきた理由です 次世代ファイアウォール (NGFW) を使用して周辺を保護し、 エンドポイントセキュリティ 従業員のデバイス、生産性を保護するための電子メールやWebセキュリティツールなど、私たちが行っているセキュリティ投資は数多くあります。

これらの予防ツールと多層防御の価値は、サイバー侵入の特定と防止を目的としたサイバーキルチェーンに含まれています。2011年にロッキード・マーティンによって正式化された サイバー・キル・チェーン は、過去10年間、組織がセキュリティ統制をどのように策定し、その結果として、サイバーレジリエンスの測定方法を決定する方法を定義してきました。7 つのステップは次のとおりです。

1. 偵察:攻撃者は攻撃前にターゲットに関する情報を収集します。
2. 武器化:サイバー攻撃者は、感染したMicrosoft Officeドキュメントやフィッシングメール、マルウェアなどの攻撃を行います。
3. 配信:攻撃の伝達（実際のフィッシングメールの送信など）
4. エクスプロイト:システム上で実行されているエクスプロイトなど、攻撃の実際の「起動」。
5. インストール:攻撃者は被害者にマルウェアをインストールします (すべての攻撃がマルウェアを必要とするわけではありません)。
6. 指揮統制:サイバー攻撃者が制御を奪うため、攻撃者は攻撃者が攻撃を仕掛けるため、攻撃者は攻撃者が攻撃を仕掛けるため、攻撃者は攻撃者に攻撃を仕掛けることになります。
7. 目標に対するアクション:攻撃者はアクセスできるようになり、目標を達成するためのアクションに進むことができます。

サイバーキルチェーンは、「チェーンの強さは最も弱いリンクによって決まる」、「防御は最善の攻撃形である」という古い格言に逆らい、左から右へ、つまり別の言い方をすれば、攻撃者が最初の感染や環境内へのアクセスに成功する前に、攻撃者を阻止することを重視しています。ステップ 7 (目標に対するアクション) より前の任意の時点で悪意のある攻撃者を阻止できれば、攻撃を正常に阻止できたことになります。

その結果、最近まで、ファイアウォール、アンチウイルス、ウェブゲートウェイなど、そうではない予防的制御に強く（そしておそらく過度に）重点が置かれてきました。 違反を想定; むしろ、すべての攻撃を検出してブロックできると想定しています。しかし、これらのツールにはすべて同じ制限があります。それは、せいぜい「既知の悪者」を防いでくれるということです。これらは以下の前提に基づいています。

1. 私のオフィスと従業員を収容する建物は信頼されています。
2. ネットワーク境界は厳しく、信頼できます。
3. この信頼できる境界内のネットワークは信頼されています。
4. この信頼できるネットワークに接続されているデバイスは信頼されています。
5. これらの信頼できるデバイスで実行されているアプリケーションは信頼されています。
6. これらの信頼できるアプリケーションにアクセスするユーザーは信頼されています。
7. 攻撃者は予測可能で、同じ行動を繰り返します。

予防的統制の目的は、悪者を排除し、それによって暗黙の信頼レベルを維持することです。しかし、攻撃者が「既知の悪者」から「未知の悪者」に変身した場合はどうなるでしょうか。では、これらの防御線はどのように重なるのでしょうか。最新の高度な攻撃（ターゲットへの侵入から、ターゲットへの侵入まで） クラウドホッパー そして、その間とそれ以降のすべてのもの）は、この誤った信頼感を悪用して、ステップ1から5を妨げようとするコントロールを迂回して、キルチェーンのステップ6と7に早送りするように特別に設計されています。そして、こうした予防的統制は常に追いつきつつあります。

先に進む前に、予防措置はどの組織にとっても重要かつ不可欠な部分であることを強調することが重要です。 サイバー防御しかし、それらはもはやすべてではありません。実際、これらはほんの始まりに過ぎません。これは、特に世界的なパンデミックがあらゆるセクターの組織の働き方に完全な革命を余儀なくされ、その結果、ニューノーマルが生まれた2020年には、これらの前提がもはや成り立たないためです。

1. 私の会社はもう特定の場所にはありません。
2. 境界線は存在しますが、すべてを網羅しているわけではありません。
3. 多くの場合、ネットワークは私の組織だけのものではありません。
4. 管理していないデバイスがネットワーク上に存在します。
5. 多くの場合、企業が使用しているアプリケーションは、私がホスト、所有、管理しているわけではありません。
6. ユーザーはいたるところにいます。
7. 攻撃者は予測不可能で、常に新しい攻撃手段を探しています。

これらの新しい仮定から、絶対的に信頼できるものはほとんどないことが明らかになったため、私たちは侵害を防ぐ可能性が低い状況にあります。そのため、私たちの焦点は、検出、対応、封じ込めに移す必要があります。そして、ここで私たちがゼロトラストを導入するのです。

ゼロトラストを3つの主要分野に分けることが重要です。

1. コントロール
2. モニタリング
3. 自動化とオーケストレーション

ゼロトラストコントロール

ゼロトラスト統制は、名目上は昔の境界モデルに由来する予防統制と同じですが、出発点は異なります。

• 境界モデルは、内側にあるすべてのものが信頼できることを前提としているため、境界の強度を強調しすぎています。これは万能のアプローチです。
• ゼロトラストでは、このような暗黙の信頼という前提は存在しないため、私たちはより賢くならざるを得ません。
• 最も保護が必要なのは何ですか？
• アクセスする必要があるのは誰か?
• どこから?
• いつ?
• なぜ?
• 相互依存関係とは?

これらは、ゼロトラストポリシーを構築するために使用するデータポイントです。

攻撃者の立場から考えると、侵入を成功させるにはかなり高い基準が課されていることがわかります。攻撃者は、ラテラルムーブメントを実行したり、権限を昇格したり、帰国電話をかけたりする場合でも、ネットワークにアクセスするだけでは十分だとは考えられなくなりました。からわかったように マイクロセグメンテーションの有効性に関するビショップ・フォックスの報告、このようなゼロトラスト制御により、攻撃者は行動を変えたり、他の手法を利用したりする必要があります。これらはすべて、防御側の検出の可能性を高めます。ゼロトラストアプローチによる制御は、悪用される可能性のある攻撃対象領域を減らすのに役立ちます。ゼロトラスト制御モデルは、多層防御のアップデートです。重要なデータを保護する層を設けることで、たとえ防御技術を回避したとしても、攻撃者が自由に行動しにくくなります。

マイターAT&CK フレームワーク

ゼロトラストのコンテキストにおける監視と自動化/オーケストレーションについて説明する前に、次のことを説明しましょう マイターAT&CK フレームワーク フレームワークの出発点は、侵害を想定することであり、最初に妥協してからミッションが成功裏に終了するまでの間に攻撃者がどのように行動するかを理解することに重点を置いています。この理解は、特定のイベントを監視する検出機能を定義するのに役立ちます。これらのイベントは、単独で、または相関関係がある場合に、さらなる調査が必要な異常行動の指標となります。

ゼロトラストモニタリング

MITRE ATT&CKフレームワークは可視性を重視しています。可能な限り多くのデータソース (ネットワーク、ファイアウォール、プロキシ、AV、EDR、IAM、OS、クラウドサービスプロバイダー、アプリケーション、DB、IoTなど) からの高忠実度イベントにより、防御チームは既知の攻撃に関連するさまざまな行動をモデル化し、攻撃者とその手法に関するさらなる知識が得られるにつれてこれらを進化させ続けることができます。ゼロトラストアプローチは、以前のアプローチではできなかった可視性を重視します。実際、ゼロトラストのモットーは「見えないものは保護できない」ということかもしれません。したがって、ゼロトラストプログラムの一環として可視性を向上させることから始めて、MITRE ATT&CKフレームワークを使用して組織が受ける可能性のある敵対的行動をモデル化することと組み合わせることで、既存の機能を活用してサイバーキルチェーンの防御側に価値をもたらすことができます。

素晴らしい BBC ポッドキャスト」13 ミニッツ・トゥ・ザ・ムーン」は、悪名高いアポロ13号の探検の第2シリーズを取り上げ、アポロ宇宙船の設計と運用チーム全体の支援は、最善の予防策を講じているにもかかわらず、検出と対応の重要性を強調する良い例えとなります。アポロ計画のために設計された宇宙船には、すべてのコンポーネントに信じられないほどの回復力とフェイルセーフが組み込まれており、予想される可能性のある結果を確実に回復できるように、多数の障害シナリオがテストされました。アポロ13号では、1基のブースターエンジンの損失は、他の4基の発射によって補われましたが、ミッションを危険にさらす爆発を引き起こした配線絶縁材の摩耗を防ぐことができる設計はありませんでした。これが発生すると（違反と同様）、乗組員とミッションコントロールは、宇宙船からの遠隔測定、宇宙飛行士の観測、現場の専門家が問題を検出し、切り分け、復旧します。これは、関連するデータソースから正確なデータが入手可能になり、このデータを効率的に分析できるようになったことで、セキュリティ運用チームがインシデントをより正確にトリアージする準備がはるかに整い、どのイベント（またはイベントの組み合わせ）をさらに調査する必要があるか、どのイベント（またはイベントの組み合わせ）をさらに調査する必要があるか、どのイベントを無視しても問題ないかをより適切に（かつ迅速に）決定できることを示す好例です。

ゼロトラストオートメーション

セキュリティオーケストレーション、オートメーション、レスポンス（SOAR）プラットフォームの台頭は、攻撃の検出後のフェーズ全体を取り入れ、検出から対応に効率的に移行するためのテクノロジーを提供することに重点を置いています。一般的な悪意のある行動パターンについては、このシーケンス全体を自動化して、アナリストの時間をより高度な攻撃の調査に充てることもできます。こうした効率化を実現するSOARプラットフォームは、関連データを提供したり、必要な対応策を講じたりするテクノロジー・ソリューションと統合できるかどうかにかかっています。これが、オーケストレーションと自動化がゼロトラストの重要な (しかし見過ごされがちな) 柱である理由です。自動化によって新しいセットアップを調整したり、計画された変更の一環として既存の設定を変更したりできることは運用上の大きなメリットをもたらしますが、真のセキュリティ上のメリットは、セキュリティインシデントに対応するために同じプラットフォームを迅速かつ一貫して調整できる場合に実現されます。

それで、私たちが始めたところに戻って:

• セキュリティに対する従来の境界アプローチは、サイバーキルチェーンの一部にしか対応しておらず、侵害後の段階についてはほとんどわかりません。
• ゼロトラストは、保護対象（重要なデータや重要なアプリケーションなど）の監査から始め、これに関する統制が適切な権限の低いアプローチで構築されるようにすることで、防止策を大幅に強化します。
• ゼロトラストは、「侵害を想定する」という立場から始め、侵害後の検出をサポートする高品質のログを提供するソリューションを重視しています。
• さらに、顧客によるゼロトラストの実現を支援することを目的としたテクノロジーには、優れたオーケストレーションと自動化が必要であるという主張は、SOARプラットフォームがインシデントへの自動対応をサポートできることを意味しています。

したがって、ゼロトラストアプローチを採用することで、サイバーキルチェーンの最初の6段階を阻止することに重点を置いてきた従来の境界アプローチが強化されるだけでなく、攻撃者がステージ7に到達して意図した行動を取ろうとした場合に、攻撃者の検出と阻止に集中できるようになります。

ゼロトラストに対するイルミオのアプローチの詳細については、以下をご覧ください。 https://www.illumio.com/solutions/zero-trust