サイバー攻撃のライフサイクルを断ち切る方法

サイバー攻撃者は、組織のネットワークに侵入してデータを流出させる戦略を決定する際、攻撃ライフサイクルを構成する一連の段階をたどります。攻撃者が攻撃を成功させるには、各段階を経る必要があります。サイクルのいずれかの地点で攻撃を阻止することで、攻撃の連鎖を断ち切ることができます。企業のネットワークとデータを攻撃から守るには、各段階で対策を施して、攻撃者が組織内にアクセスして横方向に移動したり、機密データを窃取できないようにする必要があります。以下に、攻撃ライフサイクルの各段階、および各段階で攻撃を阻止するためにとるべき手順を示します。

1. 偵察:

攻撃ライフサイクルの最初の段階では、サイバー攻撃者は攻撃手法を慎重に計画します。目的を達成できる標的を調査し、特定し、選択します。攻撃者は、Twitter、LinkedIn、企業のWebサイトなど、公開されているソースを通じて情報を収集します。また、標的となるネットワーク、サービス、アプリケーション内で悪用される可能性がある脆弱性をスキャンし、利用できる領域を綿密に計画します。この段階では、攻撃者は人間とシステムの視点に基づいて弱点を探します。

• ネットワーク トラフィック フローの検査を継続的に実施して、ポート スキャンやホスト スイープを検出し、防止します。
• 機密文書、顧客リスト、イベント参加者、業務の内容と責任(組織内での特定のセキュリティ ツールの使用)など、投稿すべきこととすべきでないことをユーザーが意識できるように、セキュリティ意識向上トレーニングを導入します。

2. 武器化および配信:

攻撃者は次に、悪意のあるペイロードの配信に使用する手法を決定します。攻撃者が利用する手法には、エクスプロイト キットなどの自動化されたツール、悪意のあるリンクや添付ファイルを使用するスピア フィッシング攻撃、マルバタイジングなどがあります。

• SSLを含め、すべてのトラフィックを完全に可視化し、リスクの高いアプリケーションをブロックします。これらの防御を、リモート デバイスやモバイル デバイスにも拡張します。
• URLフィルタリングによって、悪意のあるWebサイトや危険なWebサイトをブロックして、境界の侵害に対する対策を施します。
• IPS、アンチマルウェア、Anti-CnC、DNSモニタリングおよびDNSシンクホール、ファイルやコンテンツのブロックなど複数の脅威防御手法を使用して、既知のエクスプロイト、マルウェア、およびインバウンド コマンド&コントロール通信をブロックします。
• 未知のマルウェアを検出し、防御を世界中に自動的に配信して、新たな攻撃を阻止します。
• スピア フィッシング リンク、未知の電子メール、危険なWebサイトなどに関して、ユーザーに継続的な教育を提供します。

3. エクスプロイト:

この段階では、攻撃者は一般にエクスプロイト キットまたは武器化された文書を用いて、脆弱なアプリケーションまたはシステムに対してエクスプロイトを導入します。これにより、攻撃者は組織への最初のエントリ ポイントを確保できます。

• エンドポイント上で、既知または未知の有害な脆弱性エクスプロイトをブロックします。
• 新たな防御を世界中に自動的に配信して、その後の攻撃を阻止します。

4. インストール:

最初の足がかりを築いたら、攻撃者はアクセス、永続性の維持および権限の昇格など、さらなる活動を実施するためにマルウェアをインストールします。

• エンドポイント、ネットワークおよびクラウド サービスで、既知または未知のマルウェアのインストールを阻止します。
• ユーザー アクセス制御を厳格に適用するセキュア ゾーンを構築し、ゾーン間のすべてのトラフィックを継続的に監視および検査します(ゼロ トラスト モデル)。
• ユーザーのローカル管理者アクセスを制限します。
• マルウェア感染の兆候を特定できるように、および何かが起きた場合にどうフォローアップすればよいかわかるように、ユーザーをトレーニングします。

5. コマンド&コントロール:

マルウェアがインストールされ、攻撃者は接続の両側(悪意のあるインフラと感染したマシン)を手に入れました。攻撃者は今や、システムを積極的にコントロールし、攻撃の次の段階を指示できます。攻撃者は感染したデバイスと自身のインフラ間で通信し、データをやり取りするために、コマンド チャネルを確立します。

• ファイルやデータ パターンのアップロードだけでなく、アウトバウンド コマンド&コントロール通信もブロックします。
• 悪意のあるアウトバウンド通信を内部シンクホールにリダイレクトし、侵害されたホストを特定してブロックします。
• URLフィルタリングを使用して、悪意のある既知のURLへのアウトバウンド通信をブロックします。
• 悪意のあるドメインのデータベースを作成し、DNSモニタリングによって世界規模で認識を高め、防御を実現します。
• 認証済みアプリケーションのみを許可するきめ細かなアプリケーション制御を実施して、未知のツールやスクリプトを使用した攻撃者の横方向への移動を制限します。

6. 目的の実行:

攻撃者は制御、永続性、継続的な通信を手に入れたため、目的を達成するために、動機に従って行動します。目的には、データの流出、重要なインフラの破壊、Web資産の改変、恐怖の創出、または恐喝の手段などがあります。

• 脅威インテリジェンス ツールを使用して、ネットワーク上で予防的にセキュリティ侵害インジケータをハンティングします。
• セキュリティ オペレーション センター(SOC)とネットワーク運用センターとの間を取り持って、適切な防御ベースの制御を実施します。
• ゾーン間のすべてのトラフィックを監視および検査して、セキュア ゾーンにユーザー アクセス制御を適用します。
• ファイルやデータ パターンのアップロードだけでなく、アウトバウンド コマンド&コントロール通信もブロックします。
• URLフィルタリングを使用して、悪意のある既知のURLへのアウトバウンド通信をブロックします。
• きめ細かなアプリケーション制御とユーザー制御を実施し、企業にファイル転送アプリケーション ポリシーを徹底させ、既知のアーカイブ方法や転送方法を排除し、未知のツールやスクリプトを使用した攻撃者の横方向への移動を制限します。

高度な攻撃は非常に複雑であるため、成功させるには、攻撃者は攻撃ライフサイクルのすべての段階を経る必要があります。脆弱性をうまく利用できなければ、攻撃者はマルウェアをインストールできず、システム上でコマンド&コントロールを取得できません。

攻撃ライフサイクルを中断させるには、テクノロジだけでなく従業員やプロセスにも頼る必要があります。従業員はセキュリティ意識向上トレーニングを継続的に受けて、攻撃が最初の段階を超えて進行する見込みを最小限に抑えるベストプラクティスを学ぶ必要があります。また、攻撃者が攻撃ライフサイクル全体をうまく進めた場合のための、是正プロセスやポリシーも導入されている必要があります。

サイバーセキュリティは非対称戦争です。攻撃者が成功するには、すべてのことを正しく行う必要があります。しかし、ネットワーク防御者が攻撃を防ぐには、複数あるチャンスのうち、1つのことを正しく行うだけで済みます。攻撃ライフサイクルを中断させる方法について、およびパロアルトネットワークスが各段階でどのように防御機能を提供するかについては、「Breaking the Attack Lifecycle (攻撃ライフサイクルを断つ)」をご覧ください。