あ
Crowdstrike のレポートによると、特定された内部関係者の脅威の 55% が、特権昇格エクスプロイトを使用したか、使用しようとしました。内部関係者が悪意を持っていた場合、昇格した特権を使用して、Metasploit、Cobalt Strike、およびシステム悪用を目的としたその他のツールなどの追加のキットを使用することが観察されました。
この調査はオンプレミス システムに焦点を当てており、おそらくクラウド アプリケーションの悪用から収集されたデータは含まれていないことは注目に値します。
彼らのレポートをよく読んでみると、ヒットの大部分は Windows と Linux システム上にあることがわかります。とはいえ、与えられたパラメータの範囲内では、これらは依然として、2024 年を迎えるにあたりセキュリティ チームが注目する価値のあるかなり重要な調査結果です。これは、内部関係者の脅威が、重要な制御を回避しながらコア システムを攻撃するための新しい革新的な方法を見つけていることを示している可能性があります。
私たちが仕事を正しく遂行すれば、従業員がどのシステムや資産にアクセスできるかという観点から、従業員が何を実行できるかを定義する管理を導入します。さらに深く掘り下げると、何にアクセスできるかだけでなく、誰かがその資産を使って何をできるかを制御できます。
アセットの読み取り、書き込み、編集、削除はできますか?自分自身または他の人の権限を変更できますか?特権のうさぎの穴はかなり大きくなる可能性がありますが、データのセキュリティにとっては非常に重要な場合があります。
理想的な世界では、すべてのユーザーが、仕事を行うために必要な最小限のアクセス権と特権を持っています。これは、最小特権の原則として知られています。これを完璧に正確に行うことはほぼ不可能ですが、それが目指すべき目標です。
難しいのは、ユーザーがプロビジョニングされた権限から権限を昇格する方法を見つけるときです。
彼らが成功した場合、彼らは私たちのシステムでできると想定されている定義された境界を突破したことになります。私たちは制御レベルを失い、内部の脅威アクターの場合、私たちの資産とその発見方法について深い知識を持つ困難な敵に直面することになります。
内部関係者のインシデントは過去数年にわたって着実に増加しており、この傾向は 2024 年も変わらないと予想されます。内部関係者の脅威はさまざまな意味で外部の攻撃者よりもはるかに困難をもたらすため、これは非常に憂慮すべきことです。
組織に悪影響を及ぼし、顧客、パートナー、社内利害関係者からの信頼を損なうだけでなく、検出が非常に困難な場合もあります。
インサイダー脅威に関する課題の 1 つは、このユーザーが組織内での足掛かりとなる一連の権限を持ってゲームを開始することです。一見すると、これは理にかなっています。その人が従業員の場合は、彼らに仕事を遂行する能力を与える必要があります。これは、有能な従業員になるために適切なシステムとデータにアクセスすることを意味します。
2 番目の課題は、組織のシステム内での従業員の移動が正常とみなされ、予約範囲から大きく逸脱しない限り、警告を発する可能性が低いことです。実際のところ、内部関係者はアクセスしたいものとその場所を正確に知っているため、内部関係者がハニーポットのいずれかに触れる可能性はかなり低いです。
そこで、これらの課題を考慮して、内部関係者による権限昇格の脅威に対抗するためのヒントをいくつか紹介します。
多要素認証 (MFA) の実装以前からサイバー セキュリティに関して長年にわたってアドバイスされてきたものの 1 つは、ソフトウェア システムにパッチを適用することの重要性です。
イランの核施設に損害を与えたり、iPhone をハッキングしたりするために使用されるようなゼロデイ脆弱性はマスコミで大きく取り上げられる可能性がありますが、ほとんどのハッカーは攻撃を成功させるために一般に公開されている既知の脆弱性を利用します。
ハッカーは通常、次の 2 つの方法のいずれかでこれらの脆弱性に遭遇します。 1 つ目は、一般の利益のために MITRE Corporation によって公開された公開脆弱性 (CVE) を確認できることです。 2 つ目は、さらに厄介なことに、彼らはソフトウェアのアップデートを見て、何が修正されたのかを把握し、それを悪用する方法を見つけようとする可能性があります。上記のような理由から、新しいバージョンが利用可能になったらすぐにパッチを適用してください。
脆弱性の報告と公開のプロセスの一環として、ソフトウェアを所有する企業、またはオープンソース ソフトウェアの場合はプロジェクト マネージャーには、通常、情報が公開される前に製品の問題を修正するための 90 日間の期間が与えられます。これにより、ソフトウェア所有者に行動を促す必要性と、バグの修正を開発するために必要なスペースとのバランスがとれます。
しかし、彼らが発行するパッチを使用しなければ、彼らの努力はすべて無駄になります。これは、CVE のパッチを実装し、Patch Tuesday の必要事項を実行し、一般にシステムが最新バージョンであることを確認することを意味します。
パッチ適用は非常に面倒な作業になる可能性があり、実際にパッチ適用を行うべき組織は存在しません。最も重要なシステムにパッチが適用されることを祈りながら、常に数足遅れをとっています。
クラウドへの移行により、エンドユーザーからパッチ適用の責任がなくなり、より多くの責任がSaaSソリューションを提供するベンダーに押し付けられるようになることが期待されています。ただし、AWS、Azure、GCP などのクラウド インフラストラクチャ (IaaS) の場合はこの限りではないことに注意してください。そのため、IT チームとセキュリティ チームは、今後しばらくの間、これらのシステムを最新の状態に保つために稼働し続ける必要があります。 。
内部関係者、またはそのふりをした誰かが、通常とは異なるシステムにアクセスする権限を昇格させることができた場合、重大なフラグが立てられるはずです。もちろん、それをキャッチするための監視が設置されている場合。
ユーザー行動分析ツールを使用して通常のアクティビティのベースラインをキャプチャすることは、不審な動作がいつ起こっているかを把握するために不可欠です。
ここでの利点は、動作の監視がバックグラウンドで実行され、権限に対する不正な変更の影響を受けないことです。彼らが触れたシステムや彼らがとったその他のアクションは、あなたが彼らにとって正常であると定義した範囲から逸脱した場合に検出され、記録され、警告されます。
アラート機能以外にも、環境を監視するもう 1 つの利点は、インシデント後の調査に使用できることです。インシデント対応における最大の課題の 1 つは、どのシステムが影響を受け、修復が必要であるかを理解することです。特定のユーザーに関連付けられた機密システムでのアクティビティのセッション記録を保持すると、調査に費やす時間を大幅に削減できます。
Facebook のマーク ザッカーバーグは、企業を成功に導くスタートアップ精神の一環として、「迅速に行動して物事を打ち破る」という考えを広めました。企業の堅苦しい考え方から抜け出すことは、イノベーションに関しては多くのメリットをもたらしますが、少なくとも一部のガイドラインの範囲内にとどまることにはいくつかの利点があります。
企業のマシンにダウンロードできるソフトウェアの種類や承認プロセスに関する会社のポリシーには理由があります。特定の政策でさえ、まったく意味のあるものであるというよりは、むしろ障害であるように思えます。
従業員にルールを守らせる最善の方法は、ムチを使うというよりは、ルール違反がどのような潜在的な影響をもたらす可能性があるかを従業員に説明して、従業員を同意させることです。
理想的には、パワーポイントによる死を避け、セッションをもう少しインタラクティブなものにします。より効果的であることが証明されている方法の 1 つは、ポリシーが破られたさまざまなケースを割り当て、それがどのように展開されたかをグループに提示することです。
これは、軍隊で生と死の安全に関する教材を教えるために使用されているのと同じ方法論であり、非常に記憶に残ります。
レポートを読んでみると、ここでのニュースは見た目ほど悪くはありません。
著者らは、インシデントの 45% は、脅威を意図した悪意のある内部関係者によって引き起こされたものではないようだと指摘しています。事件の中には、内部関係者が規則を破って、雇用主に損害を与えること以外の理由で、本来は許可されていないソフトウェアを組織のマシンにダウンロードすることができるというものもあります。
従業員が制御を回避して、業務用マシンに torrent やその他の違法なソフトウェアをダウンロードできることを考えてください。
おそらく、このような最高の物語の 1 つは、昔ながらの、いつも元気いっぱいの職場の労働者についての物語です。
一方で、危害を加える意図がないからといって反則がないわけではありません。による
ベスト プラクティスに従い、チームを教育することで、悪いインシデントを一瞬の誤った判断と完全な悪意の行為として説明する必要がなくなることを願っています。