ブログ一覧へ戻る

外部イベントと内部脅威

著者
Jonathan Barrett
|
2022-03-15

外部イベントと内部脅威 

脅威とは外部からやってくるものだと考えるのは、人としてとても自然なことです。この考え方は、組織のセキュリティアプローチにも当てはまることが多く、だからこそ一般的に境界セキュリティ対策が重視されています。しかし、このようなアプローチは、ゼロトラストの方法論と相反するものです。組織は、内部から内部、そして内部から外部へのトラフィックに関しても、外部からのトラフィックと同様に注意しなければなりません。

SidekickMDRチームの使命は、これら3つの軸すべてにおいて脅威を監視することです。悪意のあるアクティビティの発信元になってしまった場合、その組織の評価はターゲットとなった場合と同様に最悪な結果をもたらします。組織はすぐにブラックリストに登録され、通信が遮断されるため、ビジネスに支障をきたします。また、攻撃が成功してしまった場合、法的責任や、何らかの仕返しをされる可能性もあります。このような状況に陥った場合は、迅速な対応が必須となります。

外部イベントが内部脅威となり得る仕組み

最近、VectraのSidekickMDRチームは、ある内部トラフィックを発見しました。あるサービス会社(仮にAcme 社とします)の社員が、Acme社をロシアとウクライナの紛争に巻き込むために、行動を起こしたのです。この社員は、Acme社のインフラを利用して、ロシアとベラルーシの金融サービス会社と海運・物流会社に対して、サービス妨害攻撃 (DoS攻撃)を行いました。SidekickMDR チームはこの活動を特定し、Acme社に通知したところ、同社は速やかにアウトバウンド攻撃をシャットダウンしました。

セキュリティチェーンの中で、人が弱点であるとよく指摘されますが、人は、味方としても敵としても最も強力なツールになります。今回の例では、一人のユーザーが非常に大きな影響を及ぼす可能性がありました。今回の不正を起こした従業員は、非常に強い感情につき動かされています。そして、その感情の大きさゆえに、人の行動力が、企業のポリシーや既存のセキュリティ対策を上回ってしまうのです。

以前にも、SidekickMDRチームは、ユーザー(時には管理者の場合も)が企業資産にクリプトマイナーをインストールする事例を複数確認しています。これは、大学や研究所の共有マシンで典型的に見られる現象です。金銭的な動機から、無料で使えるものとして組織のリソースを使用するようになり、そこから悪用につながるのです。同じような状況で、道徳的な義務感に突き動かされた人がいた場合、どうなるのか想像してみてください。

ネットワークについて学び、基本を守る

組織は、脅威を適切に減らすための全体的な理解と取り組みが必要です。報道記事、脅威に関する精度の高いフィード情報、ブログ記事は、外部脅威認識するための最良の方法であることに変わりはありません。しかし、自らのネットワークに関する詳細を知るために教師なし学習が必要なように、ニュースの情報だけでは、自らがどのようなレスポンスをすべきかがわかりません。

CISA(米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)が説明するような基本的なステップに従うことは、サイバー攻撃から組織を保護する上で大きな意味を持ちます。しかし、すべての脅威が外部で発生するわけではなく、環境の内部から発生する脅威も現実的にあり得ることを忘れてはなりません。今のような時代に、外部からの脅威ばかりに目を向け、大規模なDDoS攻撃キャンペーンを他人事ととらえるのはあまりにも危険です。組織として保護すべきネットワークは、意図的であろうとなかろうと、悪意のあるキャンペーンの道具になり得るのです。信頼性の高い監視を行い、可能な限り最高のカバレッジを提供することが最も重要なことです。

このブログ記事は「Insider Threats FromExternal Events」の翻訳版です。