SolarStorm攻撃の教訓を活かし次の攻撃にインフラを備える
どこの組織のセキュリティチームのみなさんも、ただでさえリソースがかつかつのところへもって先週のSolarWindsの開示が重なり、年末の仕事納めどころか組織の安全確保対応に追われたのではないでしょうか。
SolarStormの攻撃者たちは、Orionソフトウェアのビルドシステムを侵害して侵入したことから、最大で18,000社にのぼるSolarWinds顧客が、気づかぬうちに侵害される事態となりました。こうして被害組織の数が増える一方、「自分たちは大丈夫」と考えてしまう組織もまた増えていて、「SolarWindsやSolarWindsの特定バージョンを実行していなければ通常業務に戻っていい」と考えてしまうケースは多いようです。
先日、私はあるセキュリティリサーチャーが、氷を入れたウイスキーグラスと葉巻の写真を投稿して仲間のリサーチャーたちに休息を促す様子を目にしました。その方は「ここからは長い冬になる」という恐れを抱いていたようです。
その写真には、何かしら違和感がありました。なぜなら、サイバー活動は減るどころか増える一方で、これまで私たちみながサイバーセキュリティは重要であると考えていたなら2020年はその考えがさらに深まった年で、物理店舗は閉じ、従業員はみな自宅から接続し、すべてのビジネスがデジタルに移行した年だったからです。
こうした事情を背景に起きたSolarWindsのインシデントは、組織のインフラの弱点を浮き彫りにしました。というのは今週は、「同社の関連製品をどこで実行しているか、どの製品がどのくらいの数あるか、どの製品が影響を受けるのか」、これらを把握する作業に追われた人々が驚くほど多かったからです。ですが、次にこの規模の侵害があったとき、この作業にそこまで時間を費やしていたのではいけません。
私のメッセージは、侵害されたことを確認した企業に向けたものではありません。今回の攻撃を免れたことで胸をなでおろしている組織の皆さんに向けたものです。これはサイバーセキュリティを現代化するための警鐘で、組織には、対応の中心に据えるべき緊喫の領域があるのです。
- 組織は、自社の環境を、完全で、正確で、最新のベースラインをもって理解することが重要です。これは単にSolarWindsの稼働の有無の確認にとどまらず、自社環境を完全に把握しなければならないという意味です。あまりにも多くの組織が、自社環境のすべてを把握しておらず、そのなかに最新バージョンにアップデートされていないものが多数存在してしまっています。そして皮肉にも、こうした更新の遅れのおかげで、汚染されたアップデートをダウンロードしなかったSolarWinds顧客を何千人も救ってもいます。重要インシデントの対応にかける貴重な時間が、インベントリ把握のためだけに費やされてしまうのは避けたいものです。組織は、システム全体、インフラストラクチャ、ソフトウェア、サプライチェーン、外部からの攻撃対象など詳細な分析を、ただちに完了せねばならないのです。動きの早い組織では、将来起きうるこうした攻撃をただ検知・防止するだけでなく、こうしたベースラインを把握することで、フォレンジック調査を迅速に実施できるのです。
- 今こそインフラの問題を根本解決すべきです。企業のITアーキテクチャには、すべてのログ、ネットワーク、セキュリティデータが相互にやり取りをしあい、それらのデータから有用なものをしっかり識別できるスマートなソフトウェアが必要です。より統合化の進んだ製品なら、攻撃キャンペーンを早期に止められていたかもしれないからです。組織は、ホスト、ネットワーク、ファイアウォール、クラウドをまたぐ数百万件のイベントをリアルタイムで検出・相関付けし、包括的検出・対応を実施できるサイバーセキュリティプラットフォームへ移行すべきでしょう。攻撃者はきわめて効率的なツールや方法論を使ってきます。組織もこれに対抗し、機械学習を援用したサイバーセキュリティプラットフォームの効率性を活用して彼らに追いつく必要があります。
- 政府はイノベーションを展開できるようにしなければなりません。 政府機関がお役所仕事の沼にはまり、それが最も必要とされる場所であるにもかかわらず新しい防御機能の採用や展開を導入できないケースがあまりに目立ちます。政府は自己の利益に反する障壁をすばやく取り除き、洗練された脅威の攻撃から自組織を守るためにもっと迅速に行動すべきなのです。
なぜこれが重要なのか、その理由を説明しましょう。2020年にうまくいったことがあるとすれば、それはテクノロジだけだったからです。リモートアクセスのおかげで、感染症が拡大しても企業や政府は動きつづけることができました。小売業者たちは、それが生き残るための唯一の方法だったことから、デジタル化を進めました。ですがこれは、ますます巧妙化する攻撃から、拡大し続ける境界線を防御することをも意味していたのです。
SolarStormと呼ばれるグループによる攻撃は、金融サービスのインフラに影響を与えた大規模なDDoS攻撃やサイバー強盗、企業やエネルギー生産を麻痺させたワイパー攻撃、政府からの機密情報の窃取、港湾、製薬工場、製造業を停止させ、企業に数十億ドルの損失を与えたNotPetya攻撃など、サイバーセキュリティの重要な転換期となるインシデントの列に加わるようなものです。
100%の攻撃を100%の確率で防ぐことはできません。ですからある時点で、ベンダやベンダの提供するセキュリティアップデートを信頼する必要はあります。ですが、常に私たちを出し抜こうとする攻撃者に対抗するには、よりプロアクティブで、将来の攻撃にも耐えうるセキュリティ対策で備えていかなければなりません。リアルタイムでは攻撃を防げなくとも、ほぼリアルタイムで検知・調査する必要があるのです。
細分化されたセキュリティ対策で、調査に長い時間をかける時代は終わりました。ここから先へと進むには、優れたデータと現実世界のAIが必要です。
ですから今は、自社が影響を受けていないことに安堵している場合ではありません。巧妙な攻撃者は何年もかけてキャンペーンを計画するものです。ですから私たちも彼ら同様、防御にリソースを割かねばなりません。今後必然的に発生する攻撃を防ぐ準備をし、後から必死で状況把握に奔走するような事態は避けねばならないのです。
合わせてパロアルトネットワークスによるラピッドレスポンス: SolarStorm攻撃に対処するも参照してください。