攻撃者が侵入に成功する可能性は、一度に複数の攻撃対象領域やベクトルを標的とすることで、劇的に上昇します。
これまで、「マルチベクトル型」攻撃、つまり、複数の侵害ポイントを経由したネットワークへの侵入の試みは、最も高度かつ資金力のある 攻撃者のみが使用するものでした。しかし、これは変わり始めています。現在、攻撃者は複数の戦術を並行して使用することが一般的になりつつあります。時にはさまざまな防衛システムに対してプレッシャーテストを行い、時にはセキュリティのわずかな隙間を悪用し、時には組織の対応能力を圧倒することもあるのです。
これらのマルチベクトル型攻撃の頻度が増加していることにより、ニッチなセキュリティサービスを淘汰するなど、さらに統合的で合理化されたセキュリティアプローチが必要とされています。
2つ、またはそれ以上の攻撃ベクトルを利用することで、攻撃の成功率が上がります。例えば、メールフィッシング、ボイスフィッシング、VPNの脆弱性の悪用など、ネットワークへの複数のエントリポイントに対して攻撃を仕掛ける場合、全体的な攻撃を成功させるためには、これらのうちのいずれか1つだけでも機能すればよいのです。まさにこの理由から、フィッシングは、マルチベクトル型攻撃の一般的な構成要素であり、多くの場合ソフトウェアの欠陥ではなくヒューマンエラーを悪用するため、阻止することが困難になります。
残念なことに、ハイブリッドワークの増加は、これらの結果をより起こしやすくするのです。よくとり上げられているように、私物デバイスを使用する(BYOD)環境の増加は、パブリッククラウド 、SaaSアプリケーション、信頼されていないワイヤレスネットワークへの依存の増加とともに、長年守られてきたネットワーク境界を侵食しています。インターネット上に保存・共有される機密データにアクセスする信頼性の低いIDやデバイスの範囲が広がることにより、セキュリティの可視性と制御が低下すると同時に、はるかに多くの脆弱性が発生します。
したがって、ランサムウェアが2021年に過去最高を記録し、2022年の第1四半期から第3四半期にかけて、3億3,840万件のランサムウェアが試行されたのも驚くには当たりません。
それなりの規模を持ち、複雑性のある組織には、攻撃者がネットワークやデバイスにアクセスできる経路や手段など、攻撃可能な多くのベクトルがあります。オープンソースのMITRE ATT&CKマトリックスでは、攻撃者が標的とするさまざまなベクトルと、それらを悪用するために使われる戦術と技術の詳細なリストを提供しています。
最近の例では、攻撃者が単一の攻撃作戦の間に複数のベクトルを組み合わせていることが示されています。2022年には、0ktapusとして知られるグループが、160以上の組織を標的とし、SMSフィッシングとリモートアクセスの仕組みを持つマルウェアのバックグラウンドダウンロードの組み合わせを使用しました。組織の多くは、程度の差はあるものの危険にさらされることとなりました。重要なことに、独自に行った攻撃の分析では、驚くことに攻撃者の経験がいささか浅いことを示しました。これは、多くのマルチベクトル攻撃で考えられる精巧さとはかけ離れています。
同様に、最近相次ぐRoyalランサムウェアベースの攻撃では、フィッシング、リモートデスクトッププロトコルの侵害、マルウェアのダウンロードを組み合わせて、重要なインフラ組織を標的としました。そして広範にわたるLog4j脆弱性は、攻撃者に、サプライチェーン侵害を他の複数のベクトルと組み合わせる機会を提供することとなりました。
企業ネットワークへのマルチベクトル型攻撃を阻止することは、多くの理由から困難な場合があります。その1つに、境界ベースのセキュリティポリシーの継続的な普及が挙げられます。例えば、攻撃者が1つのベクトルを利用して組織のVPNにアクセスした場合、ネットワ ーク全体へ制約なくアクセスできる可能性があります。
スタッフやリソースが限られていることも、もう一つの共通の問題として浮上しています。多くの組織は、セキュリティチームの人員を増やすのに苦労しており、対処できていない業務をマネージドサービスプロバイダーにアウトソーシングするのに必要な予算を持っていないかもしれません。組織の多くが何十年にもわたって従来型の防御を採用してきましたが、現在では、ハイブリッドワークとハイブリッドクラウドの増加により、従来型の防御では手薄になってしまいます。その2つの事象は、オンプレミスファイアウォール、ゲートウェイ、さらにポイントクラウドセキュリティソリューションでさえも保護を意図していなかったものです。
攻撃者が個人のデバイスやクラウドのデプロイメントを標的にする場合、そして攻撃者が特にネットワーク内にすでに侵入している場合には、ネットワーク境界を保護するファイアウォールやゲートウェイでは不十分です。これは非常に頻繁に起こることです。相互運用性のないポイント製品で構成された複雑で断片化したセキュリティスタックは、たとえそれが最高の組み合わせであっても、セキュリティが認識していない隙がある可能性があります。さらに、あるポイント製品が悪意のあるアクティビティを検出した場合も、他のソリューションに自動的にアラートを出すことができず、代わりにセキュリティアラートが増加することとなり、アラート疲れが発生します。
従来、組織が各ベクトルに対し個々のポイント製品を使用してネットワークを守るには、正当な理由がありました。しかしこのアプローチは、現代のマルチベクトル型攻撃には適切ではありません。その代わりに組織は、次のようなネイティブ統合アプローチを必要としています。
クラウドネイティブにして分散化させ、そのプロトコル、オリジン、宛先にかかわらず、すべてのトラフィックがセキュリティプラットフォームを通過するようにします。企業が管理するネットワーク接続を介して企業のリソースやデータにアクセスすることは、もはや安全ではありません。
認証、権限付与、監査によるアクセス制御と密接に統合します。アカウントへのアクセスが多すぎると、攻撃者はラテラルムーブメントが容易になります。IDとコンテキストの両方を検証することが最重要です。例えば、ユーザーロールやデバイスタイプは自動的に信頼されるべきではありません。
フィッシングへの耐性。フィッシングとソーシャルエンジニアリングは、初期アクセスを得ようとする攻撃者によって広く使われている技術です。攻撃の多くはフィッシングメールから始まり、さまざまなコミュニケーション手段(電子メール、Web、ソーシャル、IM、SMSなど)でユーザーを引き付け、信頼を築き、悪用しようとします。このように標的を定め、検出を回避しようとする攻撃作戦に対して、包括的な保護を導入することが不可欠です。
エンドユーザーに対してシームレス。悪意のあるスクリプト、ドライブ・バイ・ダウンロード、クレデンシャルハーベスターなどのブラウザベースの脅威にさらされることは、避けられないものとなっています。リモートブラウザ分離は、ユーザーを未知の信頼されていないWebコンテンツから分離するセーフティネットを提供できますが、それは、実体験としてローカルブラウザを使用しているのと見分けがつかない場合にのみ有効です。
コスト効率。組織は限られたリソースで脅威を軽減しなければなりません。プラットフォーム主導のセキュリ ティ統合を優先するベンダーを減らすことで、セキュリティコストを最適化することは、ここでの進むべき明確な道のひとつです。
ポイント製品やオンプレミスのハードウェアボックスは、上記の原則を実施するにあたって有用とは言えません。今日の企業は、ネットワーク内外の全攻撃ベクトルをカバーする広範な脅威防御を必要としています。
Cloudflare Oneは、ハイブリッド作業に対応するために必要な脅威防御とオンランプを統合します。Cloudflare Oneでは、セキュアWebゲートウェイとクラウドメールセキュリティサービスをネイティブに統合し、リモートブラウザ分離とデータ損失防止を提供することで、脅威から防御します。このプラットフォームでは、これらのサービスを、Zero Trustネットワークアクセス(ZTNA)やクラウドアクセスセキュリティブローカー(CASB)と統合することで、脅威防御を超えてさらにセキュアなアクセスを提供します。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事を読めば、以下が理解できます。
現在使用されている攻撃ベクトルの範囲
MITRE ATT&CKマトリックス
マルチベクトル型攻撃の軽減に対する課題
統合プラットフォームがこれらの課題を解決する方法
利用開始
リソース
ソリューション
コミュニティ