来週は、ソーラーウィンズのハッキングが初めて公表されてから1周年にあたる。2020年12月13日、ファイア・アイが初めて明らかにした。 サンブルスト, この「世界的な侵入キャンペーン」は、最終的には、以下のような被害をもたらした。 18,000団体, 米国商務省、国土安全保障省、財務省、マイクロソフト、デロイト、その他多くの民間企業を含む。ハッカーは最大14ヶ月間アクセスしていた可能性がある。
ソーラーウインズの情報漏えいは、大規模なポリシーの変更につながった。 インフォームド バイデン大統領は、連邦政府のすべての情報システムを改善するよう大統領令を出した。 サイバーセキュリティ.
しかし、1年経った今、ガートナーのセキュリティ・リスクおよびプライバシー担当バイス・プレジデントは次のように述べている。 ピーター・ファーストブルック ほとんどの企業は、今回の攻撃から得た主な教訓のひとつを把握していないという:「IDインフラそのものが プライムターゲット VentureBeatのカイル・アルスパックによれば、「ハッカーのため」だという。
ファーストブルックは、先月開催されたガートナー社のセキュリティ&リスク・マネジメント・サミットで、これらの教訓を振り返り、「この攻撃によるアイデンティティ・セキュリティへの影響は、企業にとって最優先事項であるべきだ」と指摘した。
SUNBURSTのニュースが最初に報じられてから1年近くが経過した今、ソーラーウィンズの情報漏えい事件以降に私たちが学んだ主な教訓のいくつかを再確認し、同じようなことが再び起こらないようにリーダーがアイデンティティを優先させるべき理由を考える良い機会である。
ソーラーウインズのキャンペーンを振り返り、ファーストブルックは、攻撃者は「主にIDインフラを攻撃することに集中していた」と述べた。
ビジネスリーダーを前に、ファーストブルックはこう語った:「IDには多くの資金を費やしてきたが、それは善人をいかに取り込むかということに過ぎない。アイデンティティ・インフラが侵害されたときの理解や、そのインフラの維持にお金をかける必要がある」と述べた。
Firstbrook氏によると、ソーラーウインズのIDおよびアクセス管理(IAM)システムは、攻撃者にとって「格好の標的」であった。ハッカーたちは、古いウェブクッキーを盗むことで多要素認証を回避し、パスワードの盗用に成功した。 カービー, SAML証明書を使い、「クラウド・サービスによるID認証を可能にする」ために、Active Directory上に新しいアカウントを作成した。
攻撃者がIDを優先させたのは、アクセス、認証を回避する能力、最初の侵入を越えて移動する能力など、必要なものをすべて与えてくれたからだ。「IDは、攻撃者が横方向に移動し、あるドメインから別のドメインにジャンプするために使用する結合組織です」とファーストブルックは述べた。
サプライチェーン攻撃 SolarWinds社による情報漏えいのように、「製品や製品提供の仕組みを操作」し、標的を下流に感染させる。より間接的な攻撃形態として、無自覚な共犯者を利用し、結果的に検知を難しくしている。
このような攻撃を防ぐにはどうすればいいかという質問に、ファーストブルックは "現実には無理だ "と答えた。
アルスパックは、ファーストブルックの皮肉を詳述し、「デジタルID管理は、企業にとって悪名高いほど困難であり、多くの企業が、人間、マシン、アプリケーションのIDを含むIDの乱立に悩まされている(例えば、以下のような)」と指摘した。 ロボティック・プロセス・オートメーション)."
この問題は、企業のベンダーにまで及んでいる。 何百 SaaSアプリの
ファーストブルック氏は、サプライチェーン攻撃(またはその他の特定の悪用)を防ごうとするのではなく、焦点を移すことで脅威に備えるよう企業に助言した。「既知の攻撃手法に対するアイデンティティ・インフラを監視し、アイデンティティ・インフラが境界であると考えるようにするのです」。
ファーストブルックの指摘は正しい。今日、企業は無数のベンダー、在宅勤務の従業員、外部ユーザー、その他のサードパーティーが自社のエコシステムにアクセスすることに対応しなければならない。ユーザーとユースケースが指数関数的に拡大する中、組織があらゆるケースで管理すべきなのはIDだ。ランサムウェアであれ、サプライチェーン攻撃であれ、サイバー犯罪の次の流行であれ、IDは新たな境界線となっている。
SolarWinds後のIDセキュリティのベストプラクティス:
- 信頼ゼロを目指す: 信頼ゼロ は、暗黙の信頼を排除するサイバーセキュリティの新しい考え方である。あらゆるユーザー、デバイス、リクエスト、アプリケーションを脅威の可能性があるものとして扱い、アクセスや権限に関するあらゆる資格を常に検証する。これは製品でもベンダーでもなく、サイバーセキュリティのスタンスに関する考え方であり、信頼ゼロに向けて構築する唯一の方法はアイデンティティから始めることである。企業は、ユーザーが誰であるか、どのように認証するか、何にアクセスする必要があるかを知ることから始めなければならない。その基盤を持つことで、企業はアイデンティティ・ファーストのセキュリティを構築することができる。
- あらゆるプラットフォームからあらゆるプラットフォームへの認証:現時点では、多要素認証(MFA)はすべての組織の必須要件であるべきだ。MFAがないことは、"MFA "導入の主要な要素であった。 コロニアル・パイプラインのランサムウェア攻撃 の重要な部分である。 バイデン大統領のサイバーセキュリティ指令.しかし MFA WindowsやmacOSから、FIDOキーやワンタイムパスコードまで、そしてユーザーがオフラインのときでさえも。
- すべてのパスワードには欠陥がある:ソーラーウインズの情報漏洩に関する初期の報道のいくつかは、「solarwinds123」という特定のパスワードに焦点を当てていた。後に、このパスワードはFTPサイト用のもので、情報漏洩とは無関係であることが明らかになった。しかし、'太陽風123すべてのパスワードは、サイバー犯罪者にとってはクラックするのが簡単すぎるし、ユーザーにとっては覚えるのが難しすぎるということだ。パスワードは安全でなく、コストがかかり、正規のユーザーにとっては摩擦を生む。企業にとっての解決策は、より複雑なパスワードを導入することではない。その代わりに、企業はパスワードを完全に廃止し、次のことを行うべきである。 パスワード不要の環境を作る これにより、ユーザーはパスワードを考えたり、入力したり、管理したりする必要がなくなる。
- 誰が何にアクセスできるかを知る:認証がネットワーク内部で誰がアクセスできるかを決定するのであれば、アイデンティティ・ガバナンスと管理(IGA)は、ユーザーがそのアクセスで何ができるかを制御する:IGA により、企業は適切なリソースへの、適切なリソースに対するアクセス権限を設定できる。IGAによって、企業は適切なリソースと適切なリソースに対するアクセス権限を設定することができる。IGAは、ユーザーまたは悪質な行為者が横方向に移動したり、事前に定義された役割を超えて移動したりすることを防止する方法である(SolarWinds社は、最初にインターンを「solarwinds123」のせいにした。)その ベストソリューション は、アクセス認証を自動化し、異常やポリシー違反に優先順位をつけることで、「アイデンティティの乱立」を抑制する。
1年経った今でも、企業は「21世紀最大級のサイバーセキュリティ侵害」を理解しようとしている。その理由の大部分は、アイデンティティの拡散、クラウドリソースへの依存の増大、恒久的なリモートおよびハイブリッド構成、ユーザー、リソース、デバイス間の相互依存の増大など、ソーラーウィンズの情報漏えいの原因となった多くのトレンドが、2020年12月13日以降に加速しているからだ。
ここからどうすればいいのか?前進する唯一の方法は、事業環境がいかに複雑になっているかを認識し(あるいは認め)、各事業環境にわたって繰り返される属性の防御を優先することである。私たちはアイデンティティを新たな境界線とし、アイデンティティを最優先しなければならない。
