攻撃者を騙し、おびき寄せ、閉じ込める!~過検知ゼロの標的型攻撃対策とは~|マクニカネットワークス|サイバーセキュリティ.com

攻撃者を騙し、おびき寄せ、閉じ込める!~過検知ゼロの標的型攻撃対策とは~|マクニカネットワークス



Cloud Days 2016セミナーレポート第3回目は、マクニカネットワークスの提案する“過検知ゼロの標的型対策”についてのお話です。

攻撃者を騙し、おびき寄せ、閉じ込める!~過検知ゼロの標的型攻撃対策とは~

昨今、ニュースで取り上げられる大規模な情報漏洩事件。これらの共通点として、攻撃者は数カ月から数年の長期にわたり執拗に攻撃を繰り返していたことが分かっています。彼らは“高度な技術”と“明確な目的”を持ち、段階的な攻撃を仕掛けているのです。

サイバー攻撃の目的は「情報搾取」です。近年拡大が広がる「ランサムウェア」も、企業にとって重要な“情報”を人質として金銭を要求するものであり、サイバー攻撃の真の目的はやはり「情報」なのです。そして、DDoS攻撃やウィルス・マルウェアの感染は目的とする情報を得るための通過点に過ぎません。

情報搾取のための「侵入拡大」とは

それらの攻撃により侵入に成功した攻撃者は次に、システム内での「侵入拡大」を行います。

  1. 初期感染 (標的型攻撃メールや水飲み場型攻撃などで初期感染端末を設ける)
    自動化されたツールを使用するのではなく“人”がマルウェアを操作して攻撃を行う。
  2. 権限昇格 (ユーザー権限から管理者権限などの上位権限に昇格)
    一般社員、管理職、ドメイン管理者など、権限によって閲覧できる情報量が異なるため、より情報量を取得できる上位権限のパスワード搾取が行われる。その際、Active Directoryの脆弱性が利用されるケースも多い。
  3. 内部偵察 (組織内のネットワークサーバの情報収集)
    Windows標準のコマンドを利用して、共有リソースやネットワークを確認する偵察活動を行う。
  4. 侵入拡大 (脆弱性を悪用し、侵入領域を段階的に拡大)
    他の端末やActive Directory、ファイルサーバ、DBなどに侵入。
  5. 目的実行 (情報の取得と外部へのアップロード)
    パスワード圧縮や分割により、攻撃者のサーバに転送が行われる。

複数の攻撃者がグループとなり、権限昇格(2)、内部偵察(3)、侵入拡大(4)の各段階を繰り返し行う事で、目的の情報に到達する構造となっているのです。

侵入拡大を防ぐ「Deception Technology」とは

Deception Technologyは、端末やサーバ、ネットワークなどに罠を仕掛け、攻撃者を騙すコンセプトの技術です。サイバー攻撃自体ではなく、“攻撃者”を意識した新しい対策として、近年注目を浴びています。

Deceptionの有効性

Deception Technologyでは“偽情報”を用いて、攻撃者を誘導し、また攻撃スピードの遅延を発生させます。一般ユーザーはそもそも偽情報を利用しないため、過剰検知なしに攻撃のみを検知する事が可能です。“攻撃の流れ”を検知する仕組みですので、ゼロデイの脆弱性やマルウェアを利用された場合でも検知可能なため、非常に有効な対策と言えます。

Deceptionの種類

  1. Endpoint Deception
    偽端末を設置する事で、内部偵察や侵入拡大の通信を元に検知が可能。また、偽端末への攻撃により攻撃者の時間ロスを狙う。
  2. Credential Deception
    偽アカウントを利用し、攻撃者がサーバへアクセス試行することで、サーバアクセス失敗のログを取得し、侵入拡大を検知する。
  3. Data Deception
    偽データを搾取させることにより、攻撃を終わらせる。また、普段利用しない特定のディレクトリに偽データを設置する事で、情報収集活動を検知する事も可能。

攻撃者が諦めたとき、サイバー攻撃は終わる

攻撃のコストが目的とする情報の価値に見合わなくなった場合、攻撃者はサイバー攻撃自体を諦めます。Deception Technologyは、攻撃者の内部活動を困難にし、ミスを誘い、侵入拡大を早期に発見することが可能となり、攻撃活動自体を断念させる仕組みなのです。

また、偽の情報を用いる事により効率的に不振な動きのみを検知できる点は、企業にとって、過検知による業務上のストレスから解放されるという、大きなメリットと言えます。

まとめ

サイバー攻撃による大規模な情報漏洩事件が数多く報じられる昨今、セキュリティ対策を急務とする企業が数多く存在します。しかし、急激なスピードで現れる新たな攻撃手法に対して一つ一つ防御策を講じる事は現実問題不可能なのです。

Deception Technologyはこの様な現状を打開する画期的技術です。マクニカネットワークスでは、Attivo Networks社の製品を導入サポートしているそうです。攻撃自体を見るのではなく、裏に存在する“攻撃者”の心理を突いた非常に有能な防御手法だと感じました!


SNSでもご購読できます。