境界防御について再考する:レベルアップした攻撃者たちの回帰に備えて- NCSC

Securing Perimeter Products Must Be a Priority, Says NCSC

2024/03/04 InfoSecurity — 英国のサイバー・セキュリティ専門家たちが警告するのは、企業ネットワークの境界における安全とは言えないセルフ・ホスト製品を、脅威アクターたちが標的にし始めていることだ。先週末のブログ投稿で NCSC (National Cyber Security Centre) は、ネットワーク防御者は対策と環境をアップグレードし、進化する脅威に適応する必要があると主張している。攻撃者たちは、境界から露出した製品の大半が、Secure by Design から逸脱していることに気づいており、また、一般的なクライアント・ソフトウェアよりも簡単に脆弱性を見つけ出せる対象だと知っている。


専門家たちは、「さらに、これらの製品には、適切なロギングを持たないものや、フォレンジック調査が容易でないものも多い。したがって、すべてのクライアント・デバイスが、ハイエンドの検出機能を実行しているはずのネットワーク環境において、絶好の足がかりとなる」と指摘している。

脅威アクターたちがゼロデイ脆弱性を見つける可能性が高いのは、ファイル転送アプリケーション/ファイアウォール/VPN などを含む製品群である。

専門家たちは、「ゼロデイ脆弱性や、新規の脆弱性を見つけることは、非常に高度なことに聞こえるかもしれないが、これらの多くは Web 脆弱性において、広く理解されたものであり、見つけて悪用することは容易である。そして、ひとたび脆弱性が知られると、他の攻撃者たちも加わり、結果として大規模に悪用されることになる。」と述べている。

先週の木曜日 (2月29日) における Five Eyes Intelligence Partnership の共同勧告は、この数ヶ月間において、Ivanti Connect Secure/Policy Secure Gateway の脆弱性が、広範に悪用されていることへの警告である。

攻撃者たちはペリメータ製品の単純な脆弱性を見つけ出し、ログイン・サービスの不十分なパスワードを悪用している。David C が “The Early Years of The Internet” と表現する時代から、多くの点で攻撃手法は一巡している。

研究者たちは、「より多くの組織がオンライン化するにつれて、防衛側はペリメータをロックダウンし、脆弱性スキャンを実施し、システムにパッチを当てられるようになった。その一方で攻撃側は、ユーザーのデバイスをダイレクトに狙うことで、そのユーザーからアクセスされるファイルやリソースに、即座にアクセス可能になることに気づいた。その結果として、数多くの攻撃者たちは境界線を気にすることを止め、その代わりにクライアント・ソフトウェアをフィッシング・メールで狙う世界へと移動した」と分析している。

それにより、当初は甚大な侵害につながったが、やがてベンダー・コミュニティは、サンドボックスやメモリ・セーフ言語などの、深層防御/Secure by Design を、クライアント・ソフトウェアに組み込むことで追いついた。

それにより、拍車が掛かったのは、認証情報やクラウド・データへのアクセスを目的としたフィッシングであり、また、ペリメータを狙う標的型攻撃への回帰であると、NCSC は述べている。

より良いペリメータ・セキュリティへの4つの Step

そこで、NCSC は、ネットワーク防御者に対して、以下のアドバイスを提示している:

  • Secure by Design をベンダーに要求する。
  • それをベンダーが保証できない場合には、クラウド・ホスト版を選択する。
  • セルフホスト型のペリメータ製品が不可欠な場合には、インターネットに面したソフトウェアにおいて、不要なインターフェイス/ポータル/サービスを OFF にするか、ファイアウォールでブロックすることでリスクを軽減する。
  • 自社で開発した境ペリメータ製品が、設計上安全であることを確認する。

David C は、「残念なことに、境界線に完全なパッチを適用すれば安全という時代は、とっくに終わっています。高度な攻撃者であれば、簡単に侵入してくる。たとえ完全なパッチが適用されていたとしても、境界線上にあるものは攻撃対象になり始めており、攻撃に耐えられるという証拠がない限り、それを取り除き、ポートの削除を検討すべきである」と述べている。

このタイミングで、英国の NCSC が、このようなメッセージを出すということは、2月から続いている Ivanti の脆弱性侵害や、最近の ConnectoWise の問題が、その背景にあるのだろうと想像してしまいます。たしかに、強固な境界防御は重要ですが、そこが侵害されると甚大な被害につながってしまいます。どうのように、防御を多層化すべきなのでしょうか? よろしければ、Secure by Design で検索も、ご利用ください。