最近のSolarWinds社のサプライチェーンにおけるサイバー攻撃は,古くからあるサイバーセキュリティの常識を浮き彫りにするものであり,サイバーセキュリティの専門家としてその警鐘を鳴らし続けなければならない理由でもある: OT ,セキュリティには階層的なアプローチを用いること.
この事件は,国家の脅威行為者であるAPT(Advanced Persistent Threat:高度持続的脅威)の稀で特殊な使用事例を浮き彫りにしている.この特定のケースでは,レイヤーはやや限定的な価値を提供したが,スキルの低い攻撃者(競技場にいる攻撃者の約99%)を寄せ付けないのに役立った.
テクノロジーの境界は,国家によるAPTの影響を軽減する(残念ながら防ぐことはできない)ために利用することができる.テクノロジー・バウンダリは,追加の保護を提供するだけでなく,ネットワーク内にAPTが存在することを明らかにするのにも役立ちます.SolarWinds Orionソフトウェアに感染し,18,000の組織にダウンロードされたSunburstマルウェアのようなAPTの場合,どのように役立ったかを検証してみよう.
OT/IoT ネットワークを保護するテクノロジー・バリアとは?
テクノロジーは,インフラを追加することなく,より多くのレイヤー,さらにはレイヤーの中のレイヤーを作成するために使用することができる.攻撃者は技術的な境界線にぶつかると,それに応じて戦術を調整する必要がある.境界は,攻撃者が乗り越えるべきハードルとして機能するだけでなく,モニタリングやシグナル伝達が可能な「チョーク・ポイント」を提供する.攻撃者の前に立ちはだかるテクノロジーの境界は,ネットワークをよりよく防御するためのチャンスとなる.そして何よりも,境界はインシデントの爆発半径を制限し,攻撃の範囲を限定するために使用することができます.
複数のOSを使う
明らかになったハッキングの話はひとまず置いておいて,ソーラーウィンズ製品(または類似のソリューション)を使用している仮想の製造会社から始めてみよう.この例では,Microsoft Windowsのインフラを主に使用している.SolarWindsがサイバーセキュリティ,資産インベントリ,監視,パッチ適用のインフラストラクチャの重要な一部である場合,他の監視対象資産と同じOSを使用しているため,Windowsシステムを標的とした攻撃を受けやすい.
組織のWindowsネットワークでウイルスやワームが猛威を振るったとする.会社の環境をコントロールするために使われているシステムも脆弱なOSを実行している場合,フォレンジック調査や復旧作業中に感染して利用できなくなる可能性がある.復旧作業で通常使用される主要なツールも,最悪の場合,それ自身の復旧が必要になる...本番ネットワークを復旧しようとするときに.
もしメーカーが技術的な境界線,例えばWindowsではなくLinux上でSolarWindsを動かしていたら,復旧はもっと簡単だっただろう.ワームやウイルスは,Windowsシステムでその経路をたどるが,Linuxシステムに侵入した時点でその軌道を止めることができる.
Linux上では,ソーラーウィンズは感染したWindowsマシンの海の中で安全に活動し,安全な基盤を提供することができた.逆もまた然りである.もし感染したLinuxマシンでいっぱいの環境であれば,調査や復旧作業はWindowsやUnixのような別のプラットフォームから行うことができたでしょう.SolarWinds Orion攻撃は,この例とは区別する必要があることを再度述べておくことが重要である.
さまざまなテクノロジー・プラットフォームを利用する
もう一つの大きな技術障壁の例として,リモートアクセスがある.OSが1つしかない環境では,リモートアクセスとVPN技術を異なる技術プラットフォーム上に存在させたい場合があります.これはオペレーティングシステムだけでなく,機能も含むことができます.
リモートアクセスをめぐる障壁の構築には,接続監視がアクセス管理から独立して行われるようにすることが含まれる.ベンダー1がリモートアクセスを提供するなら,ベンダー2はそれを監視すべきである.同じソリューションがアクセスを許可し,自身の能力を安全に監視することは危険である.リモートアクセスとモニタリングの間には常に技術的な障壁があるべきで,どちらか一方のプラットフォームでインシデントが発生した場合,爆発半径は単一のビジネス機能に限定される.うまくいけば,ある製品が他の製品の障害を拾ってくれるかもしれない.
「COVID-19の大流行のおかげで,組織はリモートワークモデルにシフトした.パンデミック後も,在宅勤務は高い水準で継続し,リモートアクセスの安全確保はリスク管理の重要な分野であり続けるだろう.セキュリティチームは,リモート接続の監視をアクセス管理とは別のテクノロジーで行うようにすべきである.深層防御を実現するためには,分離されたレイヤー化されたテクノロジーが最適である.
アンドレア・カルカーノ,共同設立者兼CPO,Nozomi Networks
このバリア戦術は,有毒化学物質や爆発性化学物質の混合など,高いリスクや危険なプロセスを伴うオペレーション・テクノロジー(OT)環境や,人命に関わるような場所で頻繁に使われている.事故が広範囲に混乱を引き起こしたり,都市全体に影響を及ぼす可能性がある状況では,安全が最優先されます.このような施設では,リスクを軽減するために安全計装システム(SIS)が使用されます.また,多くの場合,特定の条件が満たされた場合にモニタリングを行い,対策を講じるために別の技術が使用されます.
例えば,ある施設では,生産環境ではベンダーXを使用しているが,SISシステムにはベンダーYまたはベンダーZを使用している.例えば,ベンダーXのシステムのセンサーが故障し,危険な状態が発生した場合,独自の監視と制御を行う独立した別個のシステムによって生み出されるテクノロジー・バリアが活躍する.独自の読み取り値で介入し,危険な状態を特定し,アラームを発生させるか,セキュリティ・チームがそれに応じて行動するために必要な洞察を提供する.
ベンダーX1社で稼働している工場がAPT攻撃を受けることを想像してみてほしい.生産システムがオフラインになるだけでなく,安全停止システムも利用できなくなるという最悪のシナリオが生まれる可能性がある.これを防ぐために,SIS環境では別々のテクノロジー,チーム,プロセスを使って境界を作るのが一般的だ.
セキュリティの各層は,あなたの組み合わせロックに別の桁を追加します.
技術的な障壁は,APTの脅威行為者が発見されずに横方向に移動することを困難にする効果的な方法である.私は,攻撃者が金庫の中身,つまり貴重品にアクセスするために金庫を破ろうとするようなものだと考えたい.攻撃者があなたのセキュリティ境界を突破するのを防ぐ唯一のものは,組み合わせです.セキュリティの1つのレイヤーでは,1桁の組み合わせだけが必要です.新しいセキュリティのレイヤーが増えるごとに,組み合わせにさらに1桁の数字が追加されます.
国家の APT を利用する攻撃者は,さまざまなゼロデイ脆弱性にアクセスし,他の脆弱性を購入するのに十分な資金を持っています.攻撃者があなたのシステムのゼロデイを持っている確率はどれくらいでしょうか?仮に25%の確率だとしよう.では,別のベンダーを使って,もう1層セキュリティを追加したとしよう.同じ確率で言えば,APTがそのレイヤーを突破できる可能性も25%ある.しかし,キャンペーン期間中に両方のレイヤーが同時に破られる必要がある.コンビネーション・ロックで2つの数字が正しく並ぶ必要があるのと同じように,ネットワークに侵入するためには,両方のゼロデイが同時に配置される必要があるのだ.(コンボ1を開ける確率 * コンボ2を開ける確率 = アクセスの確率).つまり,25% * 25% = 6.25%)
第3,第4の技術をミックスに加えれば,保護が大幅に向上し,攻撃者がアクセスする確率は0.01%と0.003%になる(これも仮定の数字である).
テクノロジーの境界は脅威発見の機会にもなる
技術的な境界線としての役割に加え,これらのハードルは発見の機会を生み出す.攻撃者が複数の課題を迂回しようとすると,エンド・ツー・エンドの攻撃を仕掛けることが難しくなる.実行中,攻撃者は必ず偵察活動を行い,自分が閉じ込められている境界を探る.
攻撃者がベンダーX(マイクロソフト,リナックス,アップルなど)の未知の弱点を利用して,気づかれることなく一日中スキャンしているとしよう.これらのパケットが,秘密スキャン戦術に脆弱でないベンダーY(チェックポイント,パロアルトNetworks ,ユニックスなど)のマシンにヒットすると,発見の機会が生まれる.各テクノロジーの障壁は,別の隘路であり,異なるツールを使って状況を評価する機会であり,異なる視点を提供する.
製品が解釈できるプロトコルが多ければ多いほど,保護メカニズムも豊かになる.例えば,攻撃者がベンダーXに存在するプロトコルを使用しているが,幅広いベンダー(ベンダーX,ベンダーY,マイクロソフト,Linux,ロックウェル,シーメンス,ABBなど)のプロトコルを理解するベンダーZ(Nozomi Networks )も使用している場合,それぞれの技術的障壁の範囲内で動作する攻撃者を観察する機会がいくつかある.
最良の防御は「奥行きのある防御
まとめると,国家によるAPTに対する最善の防御策は,各層に複数のテクノロジー・バリアーを使用し,レイヤーを組み込むことである.同じサイバー脅威に脆弱でない,独立した安全性の高い監視ツールを採用すれば,貴社の重要なOT システムの安全性は格段に高まる.
SolarWindsの攻撃の一部としてネットワークに侵入されたことを懸念している場合,当社のThreat Intelligence サービスは,その侵害に関連するIoC(Indicators of Compromise)を検出するだけでなく,マルウェア全体のキャンペーン中に流出したFireEye Red Teamツールの使用も検出します.
Nozomi Networks Threat Intelligence サービスがどのように脆弱性や新たな脅威の迅速な検出と対応に役立つかをお知りになりたい場合は,弊社までお問い合わせください.
