本ブログ記事は、2020年6月4日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
最近の調査では、インシデント対応(IR)計画を整備している組織では、侵害対応にかかる平均費用が、整備していない組織よりも123万ドル少ないことが報告されています。多層防御およびIR計画を事前に整備し、侵害を迅速に解析して封じ込め、修復に向けて一貫して取り組むことにより、損害を抑え、復旧できる可能性がきわめて高くなります。
攻撃者はグローバルインシデントをチャンスととらえます。地震であろうが津波であろうが、攻撃者はこのような世界の緊急事態を自身のキャンペーンの足がかりとして利用します。新型コロナウイルス感染症の感染拡大もまた利用されています。FBIによると、感染拡大以来、サイバー犯罪件数は300%も増加しています。コロナ禍以前は、FBIのインターネット犯罪苦情センター(IC3)が受ける苦情は1日に1,000件でした。しかし、現在は1日に3,000から4,000件にまで増えています。
インシデントへの対応は一刻を争うので、このような厳しい状況下において、脅威を特定し、封じ込め、修復するための計画を整備していないと、企業は間違いを犯しやすくなります。ここでは、インシデント対応にどのように取り組むべきか、またインシデントを初めから防ぐ方法について解説します。
サイバー攻撃の被害直後に行うべき3つのこと
侵害の可能性がわかったらとるべき重要なアクションが3つあります。
1. 攻撃の範囲の特定
インシデント後にもっとも一般的に見られる間違いの1つが、バックアップを使用してただちに環境を再構築することです。復旧への早道に思えるかもしれませんが、最終的には、より多くの時間がかかり、頭を悩ませる問題を増やすこととなります。
攻撃者がシステムにどのように侵入したかを先に把握せずにシステムを再構築すると、振出しに戻ることになります。何時間もかけて環境を再構築した後でも、攻撃者は同じセキュリティ上の欠陥を悪用できてしまうからです。たとえば攻撃者が仮想サーバーに侵入した後、これらの仮想サーバーを単に再構築しただけでは、攻撃者は引き続きサーバーにアクセスが可能で、環境全体をロックすることができます。
攻撃の範囲を完全に特定しないかぎり、それに対してどのように防御すべきかを突き止めることはできません。特定のため、次の点を把握する必要があります。攻撃者はどのようにして環境に侵入したか。どのようにして制御を行ったか。すでに何が行われたか。まだ環境内に存在するのか。どの脆弱性が悪用されたかを把握するまでは、何も修正すべきではありません。
2. 修復計画の策定と実施
攻撃者が何を行っているのか、どこにアクセスできているのか、そしてどのように水平展開しているのかを把握したら、次は環境から攻撃者を駆逐し、脆弱性を修正する修復計画を策定します。
万全を期し、攻撃者を環境から完全に切り離すためには、一貫した取り組みとして、すべてのアクションを同じ日の同じ時間に完了する必要があります。
たとえば、すべてのパスワードを変更します。また、サーバーを再構築する場合もあります。どのような手段をとる場合でも、それらをすべて同時に行う必要があります。あらゆるアクセスを同時に禁止することにより、攻撃者が適応し、制御を維持することを防ぎます。
修復計画があれば、すべての関係者がそれぞれの役割を把握し、任務を理解し、同じタイムラインで動くことが可能になります。
3. クリーンアップと再構築
攻撃者のエントリポイントを封鎖し、環境から締め出すことに成功したら、次は再構築です。この手順には時間がかかるかもしれませんが、すでに脆弱性を特定し、修復しているため、再構築は1回で済みます。
新たなセキュリティツールの追加、ユーザーのトレーニングの設定、チームに必要なスキルを確保するための人材の雇用など、このインシデントから得た教訓や改善可能な点に留意します。定期的なテストおよびシナリオトレーニングを継続し、次の攻撃を防ぐための対策を講じます。
攻撃を受ける前に備える方法
インシデントへの対応や対処が早いほど、データ、デバイス、およびネットワークへの損害が少なくなります。もちろん、予防措置を講じることも役に立ちます。攻撃が起きる前に攻撃を防ぐためのいくつかのヒントを紹介します。
1. インシデント対応計画と実践シナリオの策定
IR計画には、インシデントの数分後、数時間後、および数日後にチームがとるべきアクションの概要を含めます。インシデントの疑いが事実であることをどのように確認しますか?インシデントの特定後の各自の役割と責任は何ですか?
この計画を実施します。一般的なランサムウェアから、複数の攻撃者への同時対処まで、さまざまなシナリオで従業員のトレーニングを実施します。サイバーセキュリティを取り巻く環境の進化とともに、IR計画の更新、調整、再評価を行います。
2. 多層防御の導入
従業員がフィッシングメールを誤ってクリックするなど、人的エラーのリスクは高いため、環境のその先の領域への攻撃者によるアクセスを確実に制限する必要があります。これにはまず、多層防御を導入します。
環境全体に対するドメイン管理者の認証情報を制限します。可能なかぎり、ユーザーのエンドポイントからローカル管理者の権限を取り除きます。個人が、エンドユーザーデスクトップ上のユーザーグループにローカル管理者の権限を割り当てられないようにします。
すべてのアカウント、特に管理職に対して、多要素認証(MFA)を実装します。リモートデスクトップゲートウェイサーバーを使用していないかぎり、インターネットからリモートデスクトッププロトコル(RDP)にアクセスできないようにします。
エンドポイントを監視します。エンドポイント検知/対処(EDR)ツールは、ファイルレス攻撃、疑わしいオンラインコマンド、および悪意のあるアプリケーションの動作を対象とする機械学習脅威検知モジュールを使用して、セキュリティに新たな層を追加します。このツールは、潜在的な問題についてリアルタイムで警告し、高度な攻撃への対処を支援することにより、副次的な防御手段として機能します。
防御を軽視してはなりません。機械学習技術を活用する次世代アンチウイルス(NGAV)は、(容易に迂回可能なシグネチャベースの技術と違い)スタッフの作業負荷を減らし、EDRシステムをより効率的に活用します。NGAVによって大半の攻撃を防止することにより、セキュリティチームはより高度で持続的な(APT)攻撃の調査を行えるようになります。
3. 経験豊富なパートナーとの連携
セキュリティを完全に管理するために十分なリソースや経験がない場合は、経験豊富なパートナーとの連携を検討します。ランサムウェアからAPT攻撃まで、あらゆる脅威に対する対処の経験がある組織を選択します。フォレンジックやプログラミングなど多様な経歴を持ち、最新の状況を把握しており、サイバーセキュリティを取り巻く環境についてくまなく理解している人物を採用している組織です。
早い段階でIRパートナーを選択することにより、最初に問い合わせに応じたパートナーと連携するよりも、十分な調査を実行し、最適な判断を行うことができます。経験豊富な専門家にセキュリティを任せることにより、環境が保護されていると安心しながら、自社の得意とする分野に専念することが可能となります。
※ このブログ(英文)のオリジナル記事は SHI Blogに掲載されたものです。