クラウドベースのアプリケーションを保護するための攻撃チェーンアプローチの改善

情報セキュリティの専門家は、サイバー侵入を識別して防止するためのサイバー攻撃チェーン フレームワークについて聞いたことがあるかもしれません。このモデルはロッキード・マーティン社によって作成され、サイバー脅威の各段階を記述し対処するための軍事命名法のアプローチに従っています。これらの段階は、偵察、兵器化、配送、活用、設置、指揮統制、そして最後に標的に対する行動として知られています。

[[270067]]

このモデルは物理的な脅威とサイバー脅威の両方に適用されますが、すべてのサイバー攻撃が攻撃チェーンのすべてのステップを使用するわけではないことに注意することが重要です。たとえば、最初のフェーズの「偵察」と最後のフェーズの「作戦」は、通常、標的型攻撃でのみ特徴付けられます。攻撃の持続時間もその性質によって異なる場合があります。機会を狙った攻撃は迅速に実行する必要があり、悪意のある行為者の最終的な価値は、被害者の質ではなく、被害者の数によって決まることが多いです。

攻撃チェーンという用語は、サイバーセキュリティで使用される際に批判を受けています。これは、境界とマルウェア防止に基づく従来の防御戦略を強化するものであり、内部の脅威に対して十分な保護を提供していないという意見もあります。しかし、このモデルは導入以来大きく進化しており、現在では人々が一般的な操作方法を理解し、APT による標的型攻撃や、ランサムウェア、フィッシング、クリプトジャッキングなどの日和見的な脅威に対抗するのに役立っています。

しかし、もちろん、サイバー攻撃は、その標的となるテクノロジーと同じ速さで進化しており、情報セキュリティの専門家が、クラウド コンピューティング アプリケーションの出現によって攻撃チェーンがどのように変化しているかをより深く理解することを求めているのは当然のことです。クラウド コンピューティング サービスは、適切に保護されていない場合、組織の攻撃対象領域と攻撃チェーンの複数の段階を拡大する可能性があります。

したがって、組織が攻撃チェーン アプローチを使用して、重要なクラウド アプリケーションに対するこの新しいタイプの攻撃に対処する方法を理解することが重要です。

クラウドサービスを悪用する攻撃チェーン

情報セキュリティ専門家がクラウドベースのセキュリティ問題に対処する最善の方法は、攻撃チェーンの各段階に細心の注意を払い、悪意のあるアクティビティがクラウド コンピューティングを使用して従来のセキュリティ テクノロジーを回避する場所を評価することです。

偵察段階は出発点として最適です。攻撃チェーンのこの段階では、悪意のある攻撃者はさまざまな方法を使用して被害者から情報を収集することができ、クラウド コンピューティング サービスの採用が増えると、攻撃者に新たな侵入ポイントが提供されることになります。攻撃者は、被害者が使用しているクラウド サービスを調査して（被害者が使用しているアプリケーション用にカスタマイズされたフィッシング ページや悪意のあるプラグインを作成できる）、誤って構成されたクラウド リソースや公開されているクラウド リソースをスキャンして、それを悪用して標的の企業に侵入することができます。また、一見無害なクラウド サービスで共有される機密情報を悪用される可能性もあります。

武器化フェーズでは、フィッシング ページやマルウェア配布ポイントからコマンド アンド コントロール ドメインまで、悪意のある攻撃者が活動に必要なインフラストラクチャを構築します。現在、これらのリソースはクラウド サービス上で簡単にホストできるため、マルバタイジング キャンペーンでクラウド コンピューティング サービスからペイロードを配布したり、クラウド コンピューティング サービスをコマンド アンド コントロールの安全な避難場所として使用したりすることがますます一般的になっています。

重要なのは、クラウド アプリケーションは十分に定期的にチェックされていないことが多く、環境を効果的に識別および分析できない従来の手法によって完全にホワイトリストに登録されていることです。ここでは、活用段階におけるクラウド コンピューティングの役割について説明します。コンテキスト認識型システムは、たとえば組織外部の AWS または Azure クラウド プラットフォームにデータが置かれていることを検出しますが、従来のセキュリティ技術ではこれができません。そのため、サイバー犯罪者は常に監視下にありながら検出を逃れるためにクラウド コンピューティング サービスを使用します。

悪意のあるインフラストラクチャが構築されると、次の論理的なステップはクラウド プラットフォームから攻撃ベクトルを配信することです。フィッシング ページは、他の潜在的に悪意のあるペイロードと同様に、クラウドから提供されるようになりました。また、標的型攻撃で使用されるマルウェア配布サイトへのリダイレクターとしてクラウド コンピューティング サービスを悪用するキャンペーンも特定しました。

マルウェアがインストールされた後、コマンド アンド コントロール インフラストラクチャに接続する必要があります。攻撃者はこの接続を利用して情報を盗み出したり、ボットネット内の侵害されたエンドポイントを制御して DDoS 攻撃やスパム キャンペーンを開始したり、横方向に移動して被害者組織のデータをさらに深く調査するための足がかりを確立したりすることができます。攻撃者は AWS や Google Drive などの信頼できるクラウド サービスを使用して通信チャネルを隠すことができるため、このフェーズでもクラウド コンピューティングが重要な役割を果たします。理由はいつも同じです。逃げるためです。

クラウド コンピューティングの特性もこれらの段階で重要な役割を果たします。攻撃者は、直接または侵害されたエンドポイントを介してクラウド コンピューティング サービスにアクセスすると、クラウド プラットフォーム間を横方向に移動できるようになります。クラウドでホストされている重要なサービスの設定を変更したり、権限を昇格させてアクセス権を取得したり、データを盗んだり、痕跡を消したりできるだけでなく、クリプトジャッキングなどの悪意のある目的で新しいインスタンスを起動することもできます。

もちろん、攻撃チェーンについて考え、それに対応する際には、クラウド コンピューティングの攻撃ベクトルと攻撃対象領域を囲んだり分離したりしないことが非常に重要です。攻撃では、Web や電子メールなどの従来の攻撃ベクトルと、クラウド コンピューティング サービスの組み合わせが使用される可能性があります。 「混合脅威」という用語は、このハイブリッドなアプローチを利用する攻撃を定義するために使用されます。

クラウドベースのコンピューティングの課題を克服する方法

攻撃チェーンの各段階を見ると、情報セキュリティ専門家が慎重に行動するのが正しいことがわかります。クラウドの導入率はさまざまな企業や業界で 96% に達しており、オンプレミスのリソースが近い将来になくなる可能性は低いものの、クラウド コンピューティングは現在、ほとんどの IT インフラストラクチャと戦略の基盤となっています。

ご覧のとおり、クラウド コンピューティング アプリケーションはセキュリティに関して重大かつ独自の課題を提示しており、クラウド ネイティブ時代に誰もが直面する最大の課題は、クラウド コンピューティングのインフラストラクチャとサービスが常に進化していることです。

クラウド ネイティブの脅威から保護する唯一の方法は、クラウド ネイティブのセキュリティ テクノロジーを使用することです。クラウドネイティブ テクノロジーだけがクラウドネイティブの脅威を検出して軽減できることは明らかであり、Netskope のような統合された脅威認識型およびインスタンス認識型プラットフォームは、ユーザーの場所のより完全な画像を提供し、複合的な脅威を検出し、使用ポリシーを適用できます。

テクノロジーが導入されると、クラウドベースのセキュリティの課題に対処するための独立した取り組みが数多く行われるようになるでしょう。

これらには、悪意のある攻撃者によって悪用される可能性のある誤った構成を防ぐためにすべての IaaS リソースの定期的な継続的なセキュリティ評価を実行すること、および不注意に漏洩した情報が悪意のある攻撃者によって悪用されるのを防ぐために認可されたクラウド アプリケーション内の外部共有コンテンツに対して定期的なデータ損失防止 (DLP) スキャンを実行することが含まれます。

組織は、承認されていないサービスや認可されたクラウド コンピューティング サービスの承認されていないインスタンスに備え、従業員がクラウド コンピューティング サービスを安全かつセキュアに使用するための効果的なトレーニングを受けていることを確認する必要があります。多くの脆弱性は人為的なエラーが原因であるため、たとえソースが正当なクラウド サービスであるように見えても、信頼できないソースからの署名されていないマクロを実行しないように警告するなど、クラウド コンピューティング アプリケーションの欠陥についてユーザーに警告することが重要です。さらに重要なのは、組織は、無害であると確信できる場合を除いてファイルを実行しないようにユーザーに警告し、拡張子やファイル名に関係なく、信頼できない添付ファイルを開かないようにアドバイスする必要があることです。

実装するポリシーの例としては、管理されていないデバイスからのマルウェアのスキャンを要求するものから、アップロードされたすべてのクラウド アプリケーションの承認まで多岐にわたります。良い選択肢としては、承認済み/よく知られているクラウド アプリケーションの不正なインスタンスをブロックして、攻撃者がクラウドに対するユーザーの信頼を悪用するのを防ぐか、組織外の S3 バケットへのデータ転送をブロックすることが挙げられます。これは少し制限があるように思えるかもしれませんが、クラウド プラットフォームを介したマルウェア侵入の試みのリスクを大幅に軽減します。

過去 10 年間でクラウド コンピューティングがデータとアプリケーションの展開方法に革命をもたらしたのと同様に、IT セキュリティ要件も根本的に変化したことは明らかです。

実際、従来のセキュリティ プロセスは現代のワークロードを保護する上で依然として役割を果たしているかもしれませんが、クラウド コンピューティングによってもたらされるセキュリティとコンプライアンスの要求に全面的に取り組んでいる組織は、クラウド ネイティブ時代に合わせてセキュリティ戦略を完全に変革する必要があります。