今秋初めにラスベガスのカジノを襲ったランサムウェア攻撃のようなセキュリティ・インシデントが発生すると、すぐにその原因を探ろうとする傾向がある。その衝動は理解できる。この攻撃の影響、つまり、カジノに来たゲストが 紙とペン, まで。 $1億ドル 一人の被害者が被った損失額は、セキュリティの失敗がもたらすコストの高さを示している。誰も次のデータ漏洩の被害者になりたくないのだ。
しかし、サイバーセキュリティでは、通常、原因は1つとは限りません。ほとんどのセキュリティ・インシデントでは、攻撃者は脆弱性の連鎖を利用し、徐々に環境へのアクセスやコントロールを高めていきます。通常は原因がないのに、原因と結果を探すのは生産的ではありません。その代わりに、セキュリティ・チームは、環境全体、アーキテクチャ、テクノロジの動作方法、およびセキュリティ・インシデントが発生する可能性のあるセキュリティ・アーキテクチャに注目する必要がある。 ビジネスプロセスと文化 そしてゼロ・トラスト・アーキテクチャに近づける。
これらの攻撃で被害を受けたカジノのように、サイバー攻撃もサイバーセキュリティも確率を競う傾向がある。通常、組織のサイバーセキュリティを危険にさらすアキレス腱は1つではない。その代わり、統計的な偶然とリスクが互いに影響し合うのだ。セキュリティ・チームは、銀の弾丸を探すべきではありません。その代わりに、雪の結晶を雪崩に変えることができる条件を理解する必要があります。
ALPHV/BlackCatがどのようにして攻撃を開始したのか、その全貌を知ることはおそらくできないだろうが、彼らが被害者に侵入するのに役立ったいくつかの条件と、それらの条件が攻撃者に有利なリスクをどのように生み出したかについてはわかっている。
彼らの中で 声明, ALPHVによると、このカジノは「我々がOkta Agentサーバーに潜み、パスワードが解読できない人々のパスワードを盗み見ていたことを知り、Okta Syncサーバーをひとつひとつシャットダウンした」という。
ALPHVがこれを実現できたのは、次のような理由からだ。 Oktaのアプリケーション・パスワード同期, 標準のAPIを使って、パスワードとオンプレミス・アプリケーションを同期させる」。製品ドキュメントはこう続く:「Okta to Application - Sync Okta Passwordが有効な場合、デフォルトの動作は既存のパスワードを同期します。Oktaパスワードは、Oktaへのサインオンに使用されるパスワードです。" と製品ドキュメントは続く。
つまり、OktaはユーザーのActive Directoryパスワードを持っているということだ。パスワードを同期させることで、ランタイムが短縮され、MFAシステムの迅速な導入と展開が容易になる。
この選択は、組織がソリューションをより迅速に展開するのに役立つ一方で、サイバーセキュリティの基本原則に反する重大なセキュリティ上のトレードオフを伴う:データの回避、言い換えれば、保存または送信する必要のないデータを保存または送信しないことである。
組織が何かを送信すれば、攻撃者がそれを盗むことが容易になるからです。BlackCatとALPHVがそうだったように、彼らはOkta Agent ADが稼働しているサーバーを侵害した可能性が高い。そこから、ヴァンパイア・タップをセットしてパスワードをコピーしたり、DLLを注入したり、メモリ・セグメントをダンプしたり、その他のアクションを取ることができた。つまり、攻撃者が侵害されたサーバー上でどのような具体的な行動を取ったかは重要ではないのです。
その代わり、リスクはパスワードを同期させるアーキテクチャを導入することから始まった。この選択によって、他のすべてが後に続く条件が整ったのだ。この決定は、岩盤ではなく砂の上に建物を建てることを選ぶのと同じです。
BlackCat / ALPHV攻撃は、サーバーの安全性を確保することがいかに難しいかを浮き彫りにしている。複数のアップデート、管理者パスワード、パスワードのリプレイは、大規模で複雑で脆弱な攻撃対象になる。この種の構成は通常、攻撃者に有利だ。
代替案は、セキュア・バイ・デザインとセキュア・バイ・デフォルトの両方を構築することである。 原則, これは、すべての製品機能、業務、プロセスにおいてセキュリティを優先し、組織をゼロトラストに近づけるものである。
多くの物事がそうであるように、Secure by DesignとSecure by Defaultは細部がすべてです。製品がセキュリティを優先していると主張するのは簡単だが、実際にその基準を満たすものを提供するのは難しい。
RSAは、これらの原則から始まるセキュリティ・ファーストのソリューションを開発しています。私たちはActive DirectoryやLDAPのパスワードを同期しません。その代わりに、オンプレミスのユーザー・リポジトリに接続し、パスワードをスニッフィングしてクラウドに同期するのではなく、リアルタイムでパスワードを検証する堅牢な仮想アプライアンスを導入するよう顧客に求めています。
ハード化された仮想アプライアンスと仮想アイデンティティ・ルーターを導入するには、少し時間と労力がかかります。パスワードの同期を行わないことで、攻撃対象は拡大するどころか、むしろ最小化されるからです。同期させなければ、パスワードを失うことはありませんし、攻撃者がそれを悪用することもありません。また、他のベンダーのソリューションは、「より高速な」ソリューションの結果、オーバーヘッドがさらに大きくなり、攻撃対象がはるかに大きくなるため、長期的にはより多くの時間と労力を費やすことになると主張します。
RSA® モバイルロック, 管理されていないデバイスの信頼性を確立し、BYODの安全性を支援するMobile Lockは、Secure by DesignおよびSecure by Defaultの原則も体現しています。Mobile Lock は、iOS および Android 向けの RSA Authenticator を使用してユーザーが認証を行おうとする場合にのみ脅威を探し、脅威を検出した場合にのみ認証を制限します。また、機能を実行するために必要最小限のデータのみを照会し、当社のパートナーであるZimperiumがエンドユーザーの個人情報を見ることはありません。ユーザーのデバイスを継続的にスキャンするような、それ以上のことをすることによるセキュリティ上の利益は、特に攻撃者が常時オンになっているバックグラウンド・サービスを標的にする可能性に比べれば、ごくわずかであろう。
当社の多要素認証(MFA)エージェントも同じです。インターネットが停止した場合、当社のMFAエージェントはフェイルセーフでオンプレミスに配置され、オープンフェイルやオフラインモードに移行するのではなく、MFAエージェント自体でOTP認証が行われます。これが意味するのは、脅威行為者は以下を行えないということだ。 MFAを回避する インターネットから切断したり、MFAバックエンド・サービスをオフラインに見せかけたりするだけである。 非政府組織 昨年のことだ。
真のセキュリティとは、決して過剰に設計されたものではありません。可能な限り単純な解決策を、必要な場合にはより複雑な解決策を、適切に組み合わせることに依存しています。サービスのあらゆるコンポーネントは、可能な限り攻撃対象領域を限定するように設計される必要がある。これは、システムが絶対に必要とする最小限の情報のみを収集し、必要なときにのみその情報を使用することを意味する。また、攻撃対象領域を不必要に拡大するのではなく、最小化するようなアーキテクチャ上の決定を下すということでもある。
サイバーセキュリティは、確率を競うことになりがちです。賢い選択をして、セキュリティを第一に考えるベンダーに賭けることで、セキュリティを向上させましょう。
