本文の内容は、2022年3月24日にMichael Clarkが投稿したブログ(https://sysdig.com/blog/cyber-warfare-attacks-preparation/)を元に日本語に翻訳・再構成した内容となっております。
バイデン大統領は21日、制裁への対応として、ロシアが欧米の標的に対してサイバー戦争による攻撃を行う可能性について警告を発表しました。これは “evolving intelligence”に裏打ちされたもので、特に米国企業や重要インフラについて言及しているようです。大統領は、CISA “Shields Up!”の取り組みを通じて、関連する詳細を一般に共有するために、侵害に関する情報を収集し、政府と協力するよう企業に奨励しました。この情報を利用することで、企業は活発な脅威をよりよく理解し、緩和策を優先的に講じたり、自社の環境における侵害の兆候を探したりすることができます。このような警告が大統領から発せられることはあまりないため、このような事態がどのようなものか、またどのように自衛するかについて理解することが重要です。
ロシアから西側組織への攻撃は、おそらく一般的なものとは異なる形態をとるでしょう。ほとんどのサイバー攻撃は、情報を盗んだり、金銭的な利益を得たりすることを目的としています。しかし、今回のような攻撃は、混乱や破壊を引き起こすことに重点が置かれるでしょう。
この2つの教義の違いは、「コンピュータ・ネットワーク・オペレーション(CNO)」と総称されるものです。国家は外交政策や戦時活動の一環として定期的にCNOに参加しており、ここでサイバーセキュリティが登場する。NISTはCNOを次のように定義しています。
「コンピュータ・ネットワーク攻撃、コンピュータ・ネットワーク防御、および関連するコンピュータ・ネットワーク搾取を可能にする作戦で構成される」
コンピュータ・ネットワーク搾取(CNE)は、一般に諜報活動に関連するもので、多くの組織が日常のセキュリティで心配していることです。データ流出もこの攻撃の範疇に入るでしょう。軍事衝突の際には、コンピュータ・ネットワーク攻撃(CNA)作戦がCNEより優先されます。NISTはCNAを次のように定義しています。
「コンピュータネットワークを利用して、コンピュータやコンピュータネットワークに存在する情報、あるいはコンピュータやネットワーク自体を混乱させたり、否定したり、劣化させたり、破壊したりする行為」
CNAとCNEは相互に排他的ではないことに注意することが重要です。国民国家は、どちらかが必要となった場合に備えて、両方の目的で組織にアクセスすることがよくあります。CNA攻撃は、ランサムウェアの形で、かなり一般的であり、組織にとって大きな懸念材料となっています。しかし、ランサムウェアは、多くの場合、機会的なターゲットにされた結果です。また、攻撃は「焦点の定まらない」攻撃者によって実行され、その目標は国民国家とは異なるものになります。ランサムウェアの対策が施されていれば、CNAの活動も軽減されていると考えるのは危険です。
CNAの操作にはさまざまな形態がありますが、以下にその例を挙げます:
- ディスクのワイプまたは破損(ランサムウェアを含む)
- ネットワークベースのサービス拒否攻撃
- ユーザーへの情報提供を拒否するためのウェブサイトの改ざん
- 設定変更(システム、ネットワーク)
- ファームウェア攻撃による主要システムの機能停止
- SCADA/OTに対する攻撃
- システムを停止させるインサイダーの脅威
サイバー戦争攻撃を食い止めるには、異なるアプローチが必要
サイバーセキュリティの分野では、情報漏えいなどの攻撃を阻止することに多くの労力が割かれているため、CNAの運用については別の戦術を取る必要があります。しかし、最初のステップはどちらも同じで、最初のアクセスを阻止することです。これは言うは易く行うは難しですが、それでも言及する価値はあります。国家レベルの攻撃者であれば、非公開の攻撃やインサイダーの脅威があるため、これは不可能かもしれません。CNAがあなたの組織を狙った作戦に対処するためには、ミティゲーションが鍵となります。このような可能性に備えるには、いくつかの方法があります。テーブルトップエクササイズ
CNAオペレーションがどのようなものかを理解することは、非常に重要です。これは組織によって大きく異なります。この脅威に対処する最善の方法は、何が起こり得るかを話し合うことです。テーブルトップエクササイズは、この目的に最適です。参加したことがない人もいるかもしれませんが、テーブルトップでは通常、攻撃のすべての段階を経験し、非常に貴重な議論や発見をすることができます。ただし、これは議論であって、実際の攻撃ではない。インシデント・レスポンスやその他のセキュリティ企業が、この演習を実施するためにコンサルタントを派遣するサービスを提供していることがよくあります。この演習では、取り組むべき領域や問題のリストを得ることができます。テーブルトップ・エクササイズを行う場合、シナリオを決定することが非常に重要です。これは、演習を実施する人に任せてもよいし、自分たちの懸念に基づいたものを推奨してもよい。例えば、CNAの攻撃によって一定時間業務が中断されるといったシナリオは、十分に有効なシナリオと言えるでしょう。
可視化
攻撃の最初の兆候が、被害や停電であっては困ります。重要なインフラを可視化するツールの導入は必須です。従来は、エンドポイントやサーバー、あるいはOT(Operational Technology)部門がこれにあたります。クラウド、Kubernetes、コンテナも、組織の運用にとって重要である可能性があります。これらの技術を忘れてはなりませんし、その可視性を提供するツールも登場しています。クラウドとコンテナ環境の可視化に関しては、Cloud Security Posture Management (CSPM) と Cloud Workload Protection Platform (CWPP) ツールが良いスタート地点になります。CSPMツールは、クラウド環境の全体像を把握し、リスクのある問題を指摘することができます。CWPPは、エンドポイントやサーバーのEDRと同じように、ランタイム中のワークロードを詳細に調べることができます。
ベストプラクティスに従う
特にクラウドのワークロードに関しては、基本を正しく理解することが組織の安全を守るためにできる最善の方法であることに変わりはありません。Sysdigは、いくつかのガイドを作成しており、これを参考にすることができます。- コンテナ・セキュリティのベストプラクティス:https://sysdig.jp/blog/container-security-best-practices/
- クラウド脆弱性管理のベストプラクティス:https://sysdig.jp/blog/vulnerability-assessment/
- Kubernetesモニタリングのベストプラクティス: https://sysdig.com/resources/webinars/kubernetes-monitoring-best-practices-2/
- Google Cloud Platform のベストプラクティス: https://sysdig.jp/blog/gcp-security-best-practices-falco/
パープル(紫色)チーム
もし、あなたの組織が基本的なこと(脅威の検出プログラムなど)を行っていると感じているならば、パープルチームは次の確実なステップとなるかもしれません。パープルチームは、レッドチームとブルーチームが連携して、組織で設定した目標に到達しようとするものです。CNAの場合、組織の運営を停止させる可能性のある重要なシステムにアクセスすることが目的かもしれません。レッドチームは攻撃側となり、ブルーチームは防御側と協力して、どこにギャップがあるのか、攻撃のどの部分が見落とされているのかを理解します。また、これは素晴らしいトレーニングの機会にもなります。キーアセットは組織によって異なりますが、レッドチームがルーティングインフラやAWSの管理者アカウントにアクセスすることを目標とするのは良い例でしょう。このようなアクセス権があれば、貴社の業務を妨害しようとする攻撃者がその目標を達成するのにほとんど問題はないでしょう。
インシデント対応計画
万が一、侵害が発生した場合、迅速かつ効果的に対応する能力を持つことが重要です。これは、社内のIRと第三者の2つの方法で実現できます。組織内にインシデント対応を行うためのリソースがない場合は、サードパーティーのサービスを利用する必要があります。ほとんどのIR企業はリテーナー制を採用しており、必要なときに支援を受けられる可能性が高くなります。リテーナーを持つ顧客は、最初に支援を受けることができ、広範囲に及ぶインシデントの際には、リテーナーなしでは必要な支援を見つけることが困難な場合があります。また、多くのサイバー保険はリテーナー付きであるか、リテーナーを付けるとIR会社と特別価格で契約できることも特筆すべき点です。適切なツールを利用できるようにすることも重要です。これは、社内にインシデント対応能力がある場合に特に当てはまります。EDRは、従来のインシデントレスポンスで選択されるツールです。しかし、Kubernetesやコンテナを使用した大規模なクラウドがある場合はどうでしょうか。CWPPツールは、IRチームが仕事をするために必要な、詳細な可視性とフォレンジック機能を提供することができます。
ディザスターリカバリー
これはおそらく最も楽しくないオプションですが、最も重要なものです。CNAの運用が成功し、組織が長期間オフラインになったらどうなるでしょうか。重要なサービスを提供している場合、特に紛争時には、このような事態は受け入れがたいことでしょう。堅牢な災害復旧(DR)計画が必要であり、それは定期的にテストされなければなりません。このテストは、計画のすべての側面を説明し、実行する本格的なものであるべきです。また、攻撃者はDR計画を知っている可能性があるため、セキュリティオペレーションはDR資産もカバーする必要があります。軍事衝突が起きている状況では、多くの組織にとって、技術的な側面はまったく優先されないかもしれません。しかし、このような状況下で組織が業務を継続する必要がある場合、CNAの運用は従来のデータに焦点を当てた攻撃と同様に考慮し、防御する必要があります。セキュリティ・サービス機関に問い合わせるか、社内のグループを使ってテーブルトップエクササイズを実施することが、最初のステップとなります。これは、ツールや手順におけるギャップを埋めるための継続的な取り組みにつながります。
マイケル・クラークについて
Sysdigの脅威研究ディレクターとして、新たなセキュリティ脅威の発見と防御に取り組む専門家チームを統括しています。Rapid7、ThreatQuotient、Mantechなどの企業で、インシデント対応、脅威インテリジェンス、攻撃的セキュリティ研究、ソフトウェア開発など、さまざまな職務で20年以上の業界経験を有しています。Sysdig入社以前は、Gartner社のアナリストとして、セキュリティ運用に関するトピックについて企業顧客にアドバイスしていました。LinkedIn: https://www.linkedin.com/in/michael-clark-56792081/