可視化の重要性:インフラ・セキュリティにおいて最初に必要なものとは?

Infrastructure, Security, and the Need for Visibility

2021/09/17 DarkReading — 米国をはじめとする政府機関は、国が関与したと思われる不正侵入事件や、犯罪者が関与したと思われるランサムウェア事件が頻発していることから、重要インフラのネットワーク・セキュリティを強化しようとしている。2020年に発生した SolarWinds や Microsoft への攻撃や、最近発生した Colonial Pipeline でのランサムウェア事件などは、経済的に重要な企業のセキュリティ態勢に対する、潜在的かつ広範な脆弱性や弱点があることを示している。

これらの事象や、その他の事象を受けて、米国政府の場合は、以下のような声明/大統領令/立法措置を発表している。

・2021年5月:米国のサイバー防衛の改善を指示する大統領令
・2021年7月:産業用制御システム (ICS) を中心とした重要インフラシステムの基準と防、御の改善に焦点を当てた、国家安全保障に関するメモランダム
・2021年:超党派でのインフラ法案の中で、重要インフラのセキュリティに多額の投資を行う。

最も注目を集めているのは米国だが、重要インフラ分野におけるネットワーク防御の強化に向けた取り組みは、欧州連合 (EU) からオーストラリアに至るまで、他の国でも行われている。たしかに、複数の政府により問題が指摘されているが、これらのセキュリティ問題に対して、どのように対処するかは、ほとんどの場合、未解決の問題である。

近代化や改善を求める声の中には、ハイブリッド・クラウド導入や、ゼロトラスト・アーキテクチャの導入などの、商業的なバズワードやマーケティング用語が強調されているものもある。これらの考え方にはメリットがあり、2021年5月の大統領令の基礎となっているが、複雑で高度なセキュリティ・ソリューションを、それぞれの組織が迅速に導入実装できることが前提となる。残念ながら、米国国土安全保障省などが重要インフラと認定している部門を含めて、さまざまな業界の現実を見ると、成功に必要な成熟度が明らかに不足している。

組織や重要インフラストラクチャの当事者たちが、セキュリティ・タスクを成功させるためには、何よりもまず、エンドポイントとネットワークの両方において、最低限の可視性を確保する必要がある。率直に言って、ネットワークとプロセスに対する本質的な理解と可視性を欠く組織は、一般的なレベルでのセキュリティ確保が困難になる。その一方で、このようなセキュリティの基本を、より複雑で風変わりな可能性へ向けて飛躍させてしまうと、重要インフラ・ネットワークのセキュリティ態勢を近代化するために必要な取り組みは、良かれと思ったものであっても、ほぼ確実に失敗に終わる。

SolaWinds と Microsoft のインシデントのように、ある種の侵入シナリオは、一見すると非常に複雑で克服できない問題のように見える。しかし、よく調べてみると、ネットワーク活動の可視化と、特定イベントの調査を組み合わせることで、この最も複雑な侵入でさえも、明らかになる可能性が生まれてくる。

すでに、複数の企業が報告しているように、今回のサプライチェーン侵入後の攻撃者たちは、高度な運用セキュリティを維持していたが、それにもかかわらず、以下のような識別/検出のための成果物が生み出された。

・暗号化された情報を含む異常な DNS クエリ
・ネットワーク・インフラへの不正かつ異常なトラフィック・アクティビティ
・Cobalt Strike Beacon の Command and Control (C2) 活動

一連のイベントの背後には、Nobelium/UNC2452/Dark Halo などの攻撃者が存在し、その活動を隠蔽するために多大な努力を払っていたが、文書化され、適切に設計されたネットワーク環境であれば、上記の項目を観察することは、それほど難しくはない。それぞれの環境を十分に可視化し、観測結果を分析/理解する能力を備えていれば、完璧で難攻不落な防御レベルに至らなくても、ネットワーク防御者やシステム運用者の能力が引き上げられ、異常なネットワーク活動を検出することが可能になる。

過去10年間で重要インフラに発生したインシデントを振り返ると、基本的な可視化と調査により、早期の検知と侵入の特定が可能になった例がある。

・2015年と2016年に発生したウクライナ電力インシデントでは、ICS に特化した侵入フェーズにおいて、比較的一般的な侵入手法が展開された。ネットワーク・トラフィックの活動を、ネットワーク・フロー・レベルだけでも可視化することで、破壊的なイベントの実行前に、初期アクセス/横移動/C2 の行動を特定できた。

・2017年に発生した Triton/Trisis インシデントでは、その後の分析により、破壊的な攻撃の実行を試みるための、被害者ネットワークにおける移動のための技術の中で、横方向移動とクレデンシャル再利用が用いられることが明らかになった。

・2019年から2021年にかけて、イスラエルと米国の上下水道施設が侵入されたインシデントでは、被害者の環境での認証において、安全ではないリモート・アクセスの仕組みが利用された。トラフィック・ソースの大幅な難読化さえなければ、リモート認証とアクセス活動を監視/追跡することで、こうした試みを迅速に特定できる。

Colonial Pipeline や JBS Foods のインシデントなどの、最近におけるランサムウェア攻撃では、ランサムウェアの展開に先行して、イニシャル・アクセスと横方向への移動に標準的な侵入手法が用いられているようだ。しかし、被害者のネットワークが可視化されていないため、これらのイベントはイニシャル・アクセスから、最終的なオペレーションによる混乱まで進行してしまった。

以上のことから、各国の政府機関が重要インフラのセキュリティ強化に、真剣に取り組んでいる様子が読み取れる。しかし、次世代テクノロジーや先進的アーキテクチャを重視するあまり、重要インフラの運用者の多くが必要とする、ネットワークやホストの運用状況の可視化と理解が不足している。したがって、これらの分野におけるサイバー・セキュリティへの投資を増やすことは望ましいことだが、SecOps の基本的な問題を解決せずに、このようなアクティビティを実施しても、努力に見合うだけの価値はもたらされないだろう。

文中にある、「SolaWinds と Microsoft のインシデントのように、ある種の侵入シナリオは、一見すると非常に複雑で克服できない問題のように見える。しかし、よく調べてみると、ネットワーク活動の可視化と、特定イベントの調査を組み合わせることで、この最も複雑な侵入でさえも、明らかになる可能性が生まれてくる」という視点に期待大ですね。でも、そのためには、ネットワークの可視化が前提となります。そうすれば「異常な DNS クエリ」と、「異常なトラフィック」と、「Cobalt Strike C2 活動」が見えてくるということなのでしょう。道は遠いですが、頑張りましょうね。

%d bloggers like this: