APT・インシデントレスポンス(IR)

標的型攻撃対策

ITシステムのセキュリティ対策の中でも厄介で脅威となっているサイバー攻撃。ここでは、特定のターゲットを定めて執拗に攻撃を仕掛けてくる標的型攻撃、APT( Advanced Persistent Threat )への対処の一端をお伝えします。

急増するサイバー攻撃。狙われている日本の情報資産。標的とされていることを前提とした、より包括的なセキュリティ対策を

報道される標的型攻撃の事案は氷山の一角であり、実際には、侵入されていることに気づかずにいる被害組織はかなり多く存在しています。

標的型攻撃に見られる特徴

標的型攻撃に見られる特徴

  • ステルス性の高い攻撃(潜伏期間が長い)
  • ソーシャルエンジニアリングを利用した巧みな手口
  • 国家を背景とした攻撃組織
  • 狙われる産業:防衛、航空、宇宙、機械、化学、病院、公的機関、エネルギー、報道機関など
  • 攻撃というより情報を狙った諜報活動(スパイ活動)に近い

高い目的意識と技術を持った攻撃者の脅威から、私たちの情報資産を守るにはどうしたらよいのか…。
標的型攻撃対策の取り組み方の1つをご紹介します。

認識するべき課題

ウイルス対策製品などのレガシー対策の存在は、攻撃者にとっては百も承知です。初期侵入段階や潜伏段階におけるツール、テクニック、手法が多様化しており、攻撃者の知見は、防御側のそれを圧倒的に凌駕していると言わざるを得ないのが現実です。

標的型攻撃に見られる特徴
  • レガシー対策の限界(検知回避テクニックの存在)
  • 初期侵入されることは避けられない
  • 攻撃者の知見や技術スキル >> 防御側の知見や技術スキル
  • セキュリティ人材の不足
  • 事後対処の課題

もはや攻撃は止められない。
攻撃に備えてしておくべきことは何か?攻撃された時にどのように対処するか?

攻撃者の手を知る

企業が自社のセキュリティ体制を見直す上で欠かせないフレームワークが、攻撃の手順をプロセスごとに階層化した「Cyber Kill Chain※」です。「Cyber Kill Chain」は、Lockheed Martin社のMike Cloppert氏らによって提唱された考え方です。

  • Cyber Kill Chain(サイバー・キル・チェーン)サイバー空間の標的型攻撃における攻撃者の行動を分解した考え方を「Cyber Kill Chain」と呼びます。いずれかの階層で脅威を断ち切るという多層防御の考え方を理解、設計するのに役立ちます。

Cyber Kill Chain 各階層における対策

入口対策
予防
  • ユーザ教育
ブロック
検知
  • SNS・掲示板などの監視
フォレンジック
入口対策
予防
ブロック
  • ホスト型ウイルス対策
検知
  • EDR
フォレンジック
  • EDR
入口対策
予防
  • 実行形式の添付ファイルの禁止
  • ネットワーク分離
ブロック
  • メール/Web ゲートウェイ
  • URLフィルター
検知
  • サンドボックス
フォレンジック
  • ログ解析
  • SIEM
  • ネットワークフォレンジック
入口対策
予防
  • パッチ管理
  • ユーザ教育
ブロック
  • IPS
検知
  • サンドボックス
  • EDR
  • IDS
フォレンジック
  • ネットワークフォレンジック
  • EDR
入口対策
予防
  • アプリケーションホワイトリスト
ブロック
  • ホスト型ウィルス対策
検知
  • サンドボックス
  • EDR
フォレンジック
  • EDR
出口対策
予防
  • PFW(プロセスベースアウトバウンド制御)
ブロック
  • URLフィルター
検知
  • サンドボックス
  • EDR
フォレンジック
  • ログ解析
  • SIEM
  • ネットワークフォレンジック
  • EDR
出口対策
内部対策
予防
  • パッチ管理
  • 特権管理
  • 2要素認証
  • SMB/RDPの無効化
ブロック
検知
  • EDR
  • ディセプションネットワーク
フォレンジック
  • ログ解析
  • SIEM
  • EDR
出口対策
内部対策
予防
  • 暗号化
ブロック
  • DLP
  • データベースFW
  • ファイルサーバFW
検知
フォレンジック
  • ログ解析
  • SIEM
  • EDR
  • ネットワークフォレンジック

現在利用しているセキュリティ製品をこのフレームワークに照らし合わせることが「どの領域が甘いのか」「どこに投資を行うか」の判断をする助けとなるでしょう。
また、上位階層での対策で防御できることが望ましいです。しかし、上位階層で防げないケースを想定し、下位の階層でも対策を施しておくことが大切です。一つの製品で検知に失敗しても、他の製品で検知ができるような多層防御の考え方が必要です。
さらに、攻撃の既知・未知の両面を意識した対策を打つこともポイントです。

攻撃者の一歩先へ

攻撃者は、私たちが思っている以上に勉強熱心です。そのため、ある時点での最新テクノロジーが、数年で陳腐化することも十分あり得ます。つまり、防御する側も、常にセキュリティに関する最新の情報を入手し、攻撃を先回りする「攻めの防御」に努める必要があるのです。そして、そういった情報をタイムリーに提供してくれる「信頼できるパートナー」を見つけておくことが重要です。

標的型攻撃に見られる特徴

「攻めの防御」へ向けた戦略例

  • 多層防御
  • パターンマッチングから振る舞い検知へ
  • セキュリティベンダのインテリジェンスやOSINTの活用
  • 攻撃者をだます技術
  • マシンラーニング
  • アタックサーフェスの徹底管理
  • SOC/CSIRTの立ち上げ
  • 止めないセキュリティ