ランサムウェアの攻撃は相変わらずメディアの見出しを賑わせています。このことからもわかる通り、防御を中心とした従来型のセキュリティアプローチだけでは十分ではありません。今日のランサムウェアの攻撃力とその頻度に対処するためには、「侵害を前提とした」セキュリティアプローチへの移行が必要です。そのためには、高度な検知および対応機能が重要な役割を果たします。このブログでは、イギリスの大手多国籍保険会社が、自社のセキュリティニーズを満たすためにWipro社のベンチャーパートナーであるVectraを選んだ理由についてもご紹介します。
2021年に多発し、注目を集めたサイバー攻撃は、セキュリティに対する防御的な考え方に内在する脆弱性を示す結果となりました。Colonial Pipeline社への攻撃では、VPNアカウントの認証情報が盗まれただけでネットワークが侵害されました。どんなに多くの防御策を講じていても、1つの障害点があれば、その対策は効果を失ってしまうのです。
適切なセキュリティ衛生管理は非常に重要であり、防御的な管理が時代遅れというわけではありません。重要なのは、複雑なIT環境の中では、何かを見落としてしまうことがあるということです。組織が防御に重点を置いたセキュリティに代わるものを持たない場合、ネットワークへの侵入があると、通常、データ漏洩やランサムウェアがインストールされててしまうことにつながります。防御と検知および対応機能のバランスをとることが賢明なのです。
防御的なセキュリティ対策は失敗することが多いだけでなく、それに大きく依存することでビジネスに影響を及ぼします。さまざまなセキュリティ上の脅威を防ぐために多くのポイントソリューションを導入するにつれ、セキュリティとビジネスの最適化のバランスをとることが難しくなってしまいます。バラバラで統合されていないセキュリティツールが環境に多数あることは、通常のビジネスオペレーションとユーザの生産性を促進することを困難にします。
「侵害を前提とする」考え方とは、現代のサイバー脅威に照らし合わせて、既存のセキュリティ対策の限界を認識するセキュリティの考え方です。このアプローチでは、攻撃者がネットワーク環境への侵入方法を見つけ出すことを前提にしています。
従来、企業はネットワークへの侵入者を防ぐために、防御的なアプローチをとってきました。しかし残念なことに、悪意のある攻撃者は、十分な動機、時間、リソースがあれば、防御を回避することができ、しかもそれを隠れて行うことができます。
侵害は起こるものであるという前提を持つことで、組織のセキュリティ課題に対する考え方も変わります。脅威を排除するための防御的な管理に重点を置くのではなく、環境内部の十分な可視性を確立することで、脅威を軽減するための高度な検知および対応の機能を組み込むことに重点を置くのです。
より現代的なアプローチは、物事がうまくいかないときに備え、組織が対策できるようにするのです。
ゼロトラストは、「侵害を前提とする」アプローチにおいて重要な役割を果たします。ランサムウェアによる攻撃では、企業の初期の境界管理を回避した結果、攻撃者が企業のリソースに無制限にアクセスできるようになった例が数多くあります。企業ネットワーク内にいるユーザーやデバイスなら信頼できるということはないのです。
ゼロトラストモデルは、ユーザーやデバイスをデフォルトでは信頼しないことで、物理的な場所に関わらず、ネットワーク上のユーザーやデバイスのIDを継続的に検証します。ユーザーやデバイスがさまざまなリソースへのアクセスを要求するたびに認証を要求することで、ユーザーやデバイスを無条件に信頼してしまうという問題を軽減します。その結果、攻撃者が防御的対策の弱点を見つけた場合でも、デフォルトで信頼性がないため、その人がネットワーク上でできることの範囲が制限されます。
「侵害を前提とする」という考え方は、セキュリティ担当者に侵害の実態を教育する上で、いくつかの課題をもたらします。もし、セキュリティチームがハッキングされることを前提としているのであれば、オフェンシブセキュリティの基礎をしっかりと身につけることが、この考え方の変化を定着させるのに有効です。
デジタルトランスフォーメーションとクラウドの導入は、コロナの流行によりさらに加速しました。中小企業はウェブサイトで製品やサービスを販売するようになり、企業はリモートワークを導入し、イノベーションを起こすために、より多くのワークロードをクラウドに移行するようになりました。最終的に、デジタルトランスフォーメーションとクラウド戦略は、企業に生産性、コスト効率、革新、成長をもたらします。セキュリティ担当者は、このような変革をより安全に実現する必要があります。
このような機会を捉えることは、あらゆる規模の企業にとってプラスになることは間違いありませんが、デジタル・トランスフォーメーション・プロジェクトでは、設定ミスが起こりやすく、クラウドセキュリティ監視の新たな課題が発生します。「侵害を前提とする」という考え方を持つことは、ビジネスプロセスの変革から生じる不可避の変化とリスクに対してセキュリティチームを備えることになります。
セキュリティオペレーションの観点から、デジタルトランスフォーメーション戦略では、次のような質問に答えることが重要です。
今日、ランサムウェアは、機密ファイルや重要なシステムを暗号化する前に、データを流出させることに重点を置いています。最初の侵害に続いて、ネットワークを通じてラテラルムーブメント(横移動)を行い、権限を拡大することが、攻撃者の活動の特徴です。テクノロジーとプロセスに関して言えば、ほとんどの企業が防御的な管理を行っていることは明らかですが、それだけでは十分ではないのです。
高度な検知および対応機能による可視性の向上は、「侵害を前提とする」考え方との適切な連携を実現し、今日の最も危険なランサムウェア攻撃を未然に防ぐことにつながります。クラウドインフラは、セキュリティプロセスを拡張し、自動化する機会を提供します。
RoyalSun Alliance(RSA)Insurance Groupは、まさにそれを実行しました。ロンドンに本社を置く損害保険会社であるRSA Insurance Groupは、最新のランサムウェア攻撃に対抗するために、検知および対応能力を成熟させ、セキュリティ担当者の能力を高めるために、複数のベンダーの製品を検討しました。
RSA社がVectraを採用したのは、以下のような理由からです。
RSAのCISOであるNuno Andrade氏、Wiproの欧州サイバーセキュリティ&リスクサービス責任者であるJohn Hermans氏、VectraのCTOオフィス・テクニカルディレクターであるTim Wade、Vectraのグローバルサービスプロバイダー&システムインテグレーター担当ディレクターであるSacha Rehmatのディスカッションにご興味がある方は、こちらからオンデマンド動画をご覧いただけます。
このブログ記事は「AssumeCompromise: It's time to change your security mentality」の翻訳版となります。
Attack Signal Intelligence を活用して、既知および未知の脅威をリアルタイムで検知、追跡、調査することで、セキュリティチームは可能な限り早い段階で攻撃を特定し、侵害となる前に阻止できるようになります。
© 2023 Vectra AI, Inc. All rights reserved.
