脅威に基づいた保護の構築:敵、戦場、自己を知る
公開: 2021-12-28
最近のサイバー脅威の状況では、攻撃がどこから発生する可能性があり、どのように攻撃が企業に影響を与える可能性があるかを理解することが、これまで以上に重要になっています。
世界規模でのサイバー犯罪は、地球の財政状態に約1兆のグリーンバックドラッグを生み出すまでに成長しました。これは、ベルギーのGDPよりも実質的な数字です。
企業が情報と手順の大部分をデジタル化することで、これらすべての電子資産は現在、これまでのどの時点よりも大きな攻撃表面積を持つ集中的なチャンスになっています。
生産性、快適性、パフォーマンスが電子革命の原動力であり、私たち全員が相互接続され、ウェブ上がオフラインとシームレスに融合する世界を形作っています。 コロニアルパイプラインのランサムウェア攻撃は、この年の初めに、サイバー攻撃が米国の東海岸にガソリン源を持たないことによって、物理的な惑星にどのように影響を与える可能性があるかをはっきりと思い出させました。
安全の達人は現在、ハッカーがペースメーカー、インスリンポンプ、またはリンクされた自動車に集中する可能性があると警告しています。 エンドポイントはいつでも非常に多様で分散しているようになっています。 もはやPCやサーバーだけでなく、電話、カメラ、HVACの代替品、プリンター、時計、インテリジェントスピーカーなどもあります。 ランサムウェアのリスクは今や風土病です。 そして、暗号通貨の増加は、サイバー犯罪者が匿名で危険のない取引を行うことを示しています。
これらすべてをまとめて考えると、壊滅的な危険の生態系が発生する可能性が高くなります。 サイバー攻撃は、回復するのがますます困難になり、さらに大きな影響を及ぼしています。 企業は、苦労している脅威に積極的に対処するために、より賢く、より迅速に行動する必要があります。
セキュリティ技術への投資は十分ではありません。 現在、企業間で「想定違反」の目覚めが見られます。これは、通常のサイバー保護計画に加えて、対応および復旧機能を強化する方向への変革です。 暴行は「if」ではなく「when」の対象であることに注意して、組織は信頼できるインシデント対応、危機管理、および災害復旧計画を立てる必要があります。
脅威に対応し、脅威から改善するのと同じくらい効果的に判断、保護、検出できるようになることが不可欠です。これらの機能は、包括的なサイバーレジリエンスシステムのブロックを設定するものです。 しかし、サイバーレジリエンスは脅威を減らすことでもあります。どのサイバーセキュリティ活動がビジネスに最も重要な影響を与えるかを理解し、保護対策に適切な優先順位を付けます。 脅威を認識し、脅威に依存する安全計画を確立するには、攻撃者になる可能性のある人とその技術について非常によく知っている必要があります。
サイバー戦場になりましょう
チャンスは確率と悪影響の実行です。 実現する可能性が非常に高いが、影響が最小限である機能は、可能性が低い機能よりも全体としてかなり少ない可能性を提供しますが、主な傷害につながる可能性があります。
したがって、企業はまず、攻撃され続ける可能性が最も高い資産を評価し、次に、これらの資産が企業にとってどれほど価値があるかを評価したいと考えています。 個々の攻撃ベクトルを使用して攻撃される可能性を理解している場合にのみ、悪用可能な領域を完全に認識することができます。 したがって、敵とその実行方法を研究することは、この脅威に基づくアプローチの重要なセクションです。
あなたはあなたの敵、あなたの戦場、そしてあなた自身を知る必要があるでしょう。 企業は、機会攻撃者と同じように、個々の在庫(情報、方法、戦場の人物)を慎重に分析する必要があります。
敵を認識することは最も難しいセクションです。 あなたの会社に魅了されている危険な行為者は誰ですか、そしてなぜ彼らはあなたを人目を引く標的と見なしているのですか? 彼らの動機と目標は何ですか? 彼らはどのように仕事をしますか–彼らはどのような方法、アプローチ、治療(TTP)を使用し、これらはあなたの個々の自然環境にどのように適用できますか? 彼らが最も可能性の高い暴行はどこにあり、あなたのビジネスや消費者をどのように危険にさらすのでしょうか?
組織がこのように深く理解した後は、適切な安全管理と投資のために脅威を修正した優先順位を決めることができます。 攻撃者が何をすることができるかを予測することは、防御のギャップを特定し、安全性を高める場所を決定するのに役立ちます。 逆に、攻撃者があなたに対して使用しようとしている方法を理解していなければ、生産的なサイバーレジリエンスソフトウェアを構築することは非常に困難です。
攻撃的な姿勢を取ることは、敵を理解することから始まります
では、攻撃者の可能性を特定して理解するにはどうすればよいでしょうか。 脅威インテリジェンスツールは通常、ソリューションの提供を保証しますが、安全システムで重要な役割を果たすことができる場合、最終的には主に侵入の痕跡に基づいた事後対応型の回答になります。 フィルタリングされていない情報が多すぎる傾向があり、脅威の指標は絶えず変化しています。 一方、敵のTTPを研究することは、積極的かつ的を絞った行動方針でなければなりません。 ありがたいことに、企業が脅威アクターの動作を理解するのに役立つオープンなアップソースリソースが多数あります。
MITER ATT&CKデータベースは、認識されている敵の方法と戦略の非常にアクセスしやすいライブラリとして、良い開始位置です。 サイバー攻撃者の行動の詳細が含まれており、攻撃のライフサイクルのさまざまなフェーズと、彼らが標的とすることが認められているプラットフォームを反映しており、危険ハンター、レッドチーマー、ディフェンダーが攻撃を分類および評価するために一般的に使用するフレームワークを提供します。
ThaiCERTは、危険なアクターの別の役立つ百科事典を提供します。 ただし、すべての攻撃者の包括的なストックは1つではありません。また、攻撃者は、独特の装いの下で機能することがよくあります。
最新の洞察のいくつかについて、保護サプライヤーはアクターを監視し、この情報を公開します。 たとえば、脅威プロファイルはDattoのDanger Administration Cyber Discussion Boardで無料で提供され、脅威管理チームが危険プロファイル、署名、およびMSPローカルコミュニティとSMBクライアントに集中する脅威の詳細を共有します。 ごく最近、追加のプロファイルには、ロシアの国家支援ハッカーチームAPT29が含まれています。これは、CozyBearおよびDarkishHaloと見なされ、LockBitはランサムウェアおよび悪名高いサイバー犯罪グループWizardSpiderを愛しています。
すべてのプロファイルには、アクターの概要、その動機、TTP、実行可能な緩和策または防御策、検出オプション、および追加された資産が含まれています。 科学者たちはまた、情報を簡単に実行できるようにするために、アクターをMITRE ATT&CKフレームワークとCIS VitalProtectionSafeguardsにマッピングし直しました。
サイバー攻撃者をその領域に配置する:理解、優先順位付け、保護、テスト
どのリスクアクターが潜んでいる可能性があるかについて必要な洞察を得た時点で、それらの方法をシミュレートすることで、企業内で宣伝される可能性が高い場所と、この危険を軽減するために何ができるかを理解するのに役立ちます。 以前の違反をリバースエンジニアリングすることで、明確な関係者に対抗して、最も効率的な安全管理に自信を持って優先順位を付けて実行できます。
構成の調査を支援するために、Caldera(ATT&CK製品を活用)やPinkCanaryのAtomicPink Groupなど、特定の敵をエミュレートするさまざまなオープンアップソースの無料機器があります。
敵のエミュレーションは、シナリオを使用して一意の敵のTTPをテストするという点で、侵入テストや深紅色のチーム化とは異なります。 人々の技術はあなたの周囲で防止または検出されますか? 技術的なノウハウやプロセスを人々と同じくらい効果的に調査して、防御がすべて一緒にどのように機能するかを完全に認識することが重要です。 最終的にこの敵との戦いを勝ち取る準備ができるまで、このシステムを繰り返します。
SMEは、暦年または主要な新しい脅威が発生するたびに、少なくともこれを実行する必要があります。大企業やMSPは四半期ごとに発生しますが、企業にとって、脅威に基づく防御プログラムは継続的な取り組みであり、大変な作業です。
さらに、どの企業もCIS Vital Security Controlsを遵守する必要があります。最小限として、重要なサイバークリーンのためにImplementation Group 1(IG1)コントロールに十分な時間を費やします。
主な要因は、単に始めることです。 事業に混乱していると感じる必要はありません。 CIS IG1に向けたアクションごとの穴の評価から始めます。リスクベースおよび脅威ベースのソリューションに7日間1時間投資するだけでも、全体的な安定性を高めるのに役立ちます。
サイバーレジリエンスを確保する生産的な脅威教育型セキュリティソフトウェアを設定するには、企業のリスクプロファイルの貧弱な関係者に精通していることが不可欠です。 企業がハッカーのように感じ始めると、ハッカーの知識が豊富な決定を下す準備が整い、自社でシールドできるようになります。
Ryan Weeks、CISO、 Datto