セキュリティ対策において、もはや事後対応的な対応では済まされません。攻撃に気付くまで待つのではなく、脆弱であり、既に攻撃を受けていると想定する必要があります。「侵害を想定する」とは、社内外のアプリケーション、ネットワーク、ID、サービスなど、すべてのリソースが安全ではなく、既に侵害されていると想定し、それに気づいていないだけであるかのように行動すべきだというセキュリティ原則です。
見つけ出す方法の 1 つは、「欺瞞技術」を使用することです。つまり、ネットワークの戦略的な部分に囮のリソースを配置し、追加の監視機能を使用して攻撃者を騙して、攻撃者を実際のシステムに近づけないようにし、攻撃者が偵察しているときに正体を明かすようにします。
サイバー攻撃者を摘発するための罠を仕掛ける
「攻撃者は侵入に成功した後、多くの場合、暗闇の中で攻撃を開始します。つまり、どのシステムにアクセスできるのか、何をしているのか、そしてそれらが組織の他の部門とどのようにつながっているのか、正確には把握していないのです。この偵察段階において、攻撃者は他のサービスやシステムに手を伸ばしたり、調査したりする可能性が最も高くなります」と、マイクロソフト脅威インテリジェンスセンターの主任セキュリティ研究者であるロス・ベビントン氏はTechRepublicに語った。
ここで、ハニーポット(実際のサーバーやデータベースのように見えるが、実際には稼働中のワークロードを実行していないインフラストラクチャ)やハニートークン(既に稼働している実際のワークロード内のおとりオブジェクト)などの欺瞞技術が登場します。「攻撃者が関心を持つシステムやサービスに見せかけながら、実際には業務プロセスで使用されていないものにすることで、セキュリティチームに侵害後のアクティビティを警告する高精度の検出ロジックを構築できます」とベビントン氏は述べています。
欺瞞技術は、本物のシステムと偽物の違いを遠隔から見分けるのが難しい場合に最も効果を発揮すると同氏は説明した。こうすることで、攻撃者は囮に時間を浪費することになる。
さらに、攻撃者がそこにいるのが分かります。これらのリソースにアクセスする正当な理由がないため、アクセスを試みる者は明らかにシステムに精通していない人物です。トレーニングが必要な新入社員かもしれませんし(これも知っておくと便利です)、攻撃者かもしれません。
トリップワイヤーのような侵入検知として欺瞞を使用することもできるし、(マイクロソフト自身が行っているように)「侵入前に敵が何をしているかに関する脅威情報を収集する方法として」欺瞞を意図的に公開することもできる、と同氏は述べた。
「いずれにせよ、欺瞞技術の目的は、攻撃者のコストを大幅に増加させ、防御者のコストを削減することだ」とベビントン氏は述べた。
欺瞞技術の中には、より手間のかかるものもあります。「多くのお客様は、ルアー、デコイ、トラップを自分のやり方に合わせてカスタマイズしています」とベビントン氏は語りました。
しかし、追加のインフラストラクチャを運用するには時間とコストがかかります。また、機密情報をコピーすることなく、正当なワークロードのように見せかける必要があります。さもないと、攻撃者に偽物だと見破られてしまいます。ハニーポットを運用するセキュリティチームは、管理者や運用チームのように現実のワークロードの実態を必ずしも把握しているわけではありません。しかし、これまでのところ、ソフトウェアエンジニアリングチームには、こうした罠を仕掛けるためのツールがほとんどありませんでした(DevOpsの「シフトレフト」哲学によって、エンジニアリングチームがセキュリティへの関与を深めているにもかかわらずです)。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
そこで登場するのがハニートークンです。これは、既存のワークロードに、本物のリソースと一致するように、一見本物に見える名前で埋め込む偽のトークンです。ハニートークンは安価で導入も容易で、稼働中のワークロードの数だけカバーでき、メンテナンスもほとんど必要ありません。一度設定すれば、通常は数ヶ月から数年間、追加のメンテナンス作業なしでそのまま放置できます、とベビントン氏は言います。「トークンは、あらゆる攻撃者を捕捉するための低コストで高いシグナル能力を持つ方法として、現在ますます頻繁に利用されています。」
欠点は、ハニートークンをトリップしたときに攻撃者が誰なのか、何をしようとしているのかを深く理解できないことです。ハニーポットは、セキュリティ チームに攻撃者に関する詳細な情報を提供します。
ベビントン氏は、必要なのは脅威モデルによって異なると指摘する。「ハニーポットは、攻撃者が誰で、何をしようとしているのかに関する膨大な脅威情報を防御側に提供できる可能性がありますが、CPUとメモリを必要とし、マシンまたは仮想マシンにインストールされ、継続的なメンテナンスが必要となるため、コストは高くなります。」多くの組織はそのような追加情報を必要とせず、トークンだけで十分だと考えているかもしれない。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
ハニートークンを簡単に
マイクロソフトは、多くの攻撃者がマイクロソフトのサービスや顧客アカウントへの侵入を試みるため、長年にわたりデセプション技術を活用してきました(これはマイクロソフトが「センサーネットワーク」と呼ぶものの一部です)。「トークンやハニーポットなどの技術を社内のセキュリティ体制に組み込むことに大きな価値があると認識しています」とベビントン氏は述べています。このデセプションデータは、マイクロソフトのアナリストがWindows、Linux、IoTデバイスに対する新たな脅威を発見するのに役立っています。公開されているDocker APIサーバーを公開することで、Weave Scope監視フレームワークを使用してコンテナを侵害する攻撃者が発見され、その他のデセプション技術によって、MoziやTrickbotなどのIoTデバイスがどのように攻撃するかが明らかになりました。
攻撃者がインフラを侵害する方法を解明すれば、マイクロソフトはDefenderサービスに特定の攻撃に対する保護機能を追加できます。また、検知のためのデータ処理を自動化する方法を模索する研究者向けに、欺瞞データを公開しています。
しかし、Azure Key Vault にデコイキーとシークレットを埋め込むための新しい Microsoft Sentinel Deception (Honey Tokens) ソリューションがあれば、デセプション技術を実行するためにセキュリティ専門家である必要はありません。「Sentinel と最近リリースされた Azure Key Vault トークンのプレビューの目標の一つは、これらのソリューションの導入の複雑さを軽減し、この技術に関心を持つあらゆる組織が簡単かつ安全に導入できるようにすることです」と Bevington 氏は述べています。
これには、ハニートークンのアクティビティ(攻撃者が監視を無効化しようとする場合も含む)を監視するための分析ルールと、ハニートークンのデプロイ(およびAzure Security Centerの推奨事項)とハニートークンインシデントの調査のためのワークブックが含まれています。ハニートークンの名前は既存のキーとシークレットに基づいて付けられ、実際のトークンと同じキーワードプレフィックスを使用できます。
Azure Key Vault のような重要なサービスに攻撃者を効果的に招き入れるのは直感に反するように思えるかもしれませんが、実際には、マネージド ID などのオプションを使用してサービスが適切に保護されているかどうかを確認するだけです。秘密情報やアクセス資格情報を装うハニートークンの場合、「鍵は攻撃者にとって非常に大きな報酬となるため、このデータにアクセスするために多大なリソースを費やす可能性があります」と Bevington 氏は指摘します。MFA やパスワードレス認証などの基本的なセキュリティ対策プロセスとプラクティスを導入し、ハニートークンやその他の欺瞞技術に関するアラートを注意深く監視することが重要です。
これを防御の新たなレイヤーと考えてください。実際の攻撃者を欺いて偽のリソースを狙わせるだけでなく、実際の攻撃がどのようなものかを予測することもできます。例えば、Red ButtonやBreakingPoint Cloudなどのサービスを使用して、Azureサービスで保護しているリソースに対するサービス拒否攻撃をシミュレーションできます。Stormspotterなどのレッドチームツールを使って、Azureサブスクリプション内のどのリソースが可視化されているかを確認すれば、攻撃者がシステム内を偵察し始めた際に何が見えるのかを把握できます。
欺瞞の手法から攻撃者の行動について学んだことを活用して実際のリソースを保護すると、一歩先を行くことができます。
