認証情報セキュリティ企業のBeyond Identityは、大手企業の支援を受けて、組織がユーザーの認証情報をハッキングから保護するためのゼロトラスト認証イニシアチブを立ち上げました。
ゼロトラストとは、恣意的な境界を排除し、内部と外部のすべてのユーザーとエンドポイントに認証を要求することで、インフラストラクチャとデータを保護するフレームワークです。したがって、認証情報も含まれます。
IT 部門がそれを実際にどのように適用すべきかを成文化する取り組みの一環として、Zero Scaler、Optiv、Palo Alto Networks、Crowdstrike、Ping Identity などの企業は、セキュリティ企業 Beyond Identity が主導するゼロトラスト アーキテクチャを構築し、フィッシングやランサムウェアなどの脅威から企業のアカウントと認証情報を保護する取り組みを支援しています。
同社は2023年3月15日にニューヨークでバーチャルキックオフを開催し、2022年にラストパスのエンジニアの会社のラップトップがハッキングされる原因となったような攻撃を可能にする可能性のある、セキュリティ、パスワード、MFAの脆弱なリンクに対処することを目指すプログラムを発表した。
参照: モバイルデバイスセキュリティポリシー (TechRepublic Premium)
「基本的に私たちが話しているのは認証ですが、ゼロトラストレベルにまで高められた認証です」と、Beyond Identityの最高マーケティング責任者、パトリック・マクブライド氏は述べています。「なぜなら、世の中には多くの認証プロトコルが簡単にバイパスされてしまうからです。スピードバンプさえもバイパスされてしまうのですから。」
ジャンプ先:
- パスワード不要、フィッシング対策のプロトコル
- 高いセキュリティ資格情報を取得する方法
- パスワードとMFAを超えて
- 野生の脅威
ZTA対策にはパスワードレス、フィッシングフリーのプロトコルが含まれる
同社は、組織が防御を強化し、エンドポイントを横方向の移動から保護するために実施できる一連の対策を示した。
- パスワードレス - パスワードやその他の共有秘密は使用しません。これらはユーザーから簡単に取得されたり、ネットワーク上でキャプチャされたり、データベースからハッキングされたりする可能性があるためです。
- フィッシング耐性 - フィッシング、中間者攻撃、その他の攻撃を通じてコード、マジックリンク、その他の認証要素を取得する機会がありません。
- ユーザー デバイスの検証が可能 - 要求元のデバイスがユーザーにバインドされ、情報資産およびアプリケーションへのアクセスが許可されていることを確認できます。
- デバイスのセキュリティ体制を評価可能 - 適切なセキュリティ設定が有効になっていること、セキュリティ ソフトウェアがアクティブに実行されていることを確認することで、デバイスがセキュリティ ポリシーに準拠しているかどうかを判断できます。
- さまざまな種類のリスク信号を分析可能 - エンドポイント、セキュリティ、IT 管理ツールからデータを取り込んで分析できます。
- 継続的なリスク評価 - 1 回限りの認証に頼るのではなく、セッション全体を通じてリスクを評価できます。
- セキュリティ インフラストラクチャとの統合 – セキュリティ インフラストラクチャ内のさまざまなツールと統合することで、リスク検出を改善し、疑わしい動作への対応を迅速化し、監査およびコンプライアンス レポートを改善します。
高いセキュリティ資格情報を取得する方法
マクブライド氏は、ユーザー ID に対する高い信頼を確立するには、パスワード不要でフィッシング耐性のある MFA (たとえば、FIDO2 パスキー) が重要だと述べました。
FIDO認証規格に基づき、非対称の公開鍵/秘密鍵ペアを使用するFIDO2ログイン認証情報は、ウェブサイトごとに固有であり、生体認証パスキーと同様に、ユーザーのデバイスから外部に漏洩したり、サーバーに保存されたりすることはありません。「これによりフィッシング対策も強化されます。悪意のある人物が利用できる情報をネットワーク経由で送信することはありません」とマクブライド氏は付け加えました(図A)。
図A
Beyond Identityの製品およびソリューション担当バイスプレジデント、クリス・カミングス氏は、継続的な監視がセキュリティにとって不可欠であると説明しました。カミングス氏によると、Beyond Identityのポリシーエンジンは信号を受信し、シングルサインオンのOktaへの認証または非認証、あるいは特定のデバイスに対するアクション(例えば、ユーザーまたはIT部門が検査できるまでデバイスを隔離するなど)を実行する指示を送信します。
「継続性という概念はパロアルトネットワークスに由来しています」と彼は述べた。「彼らは継続性を非常に重視しており、私たちと提携する理由は、私たちがゼロトラスト認証の7つの要素の一つである継続的な検証を提供しているからです。そして、彼らはそれをアプリケーションアクセスにも適用しています。」
実装の重要な側面は使いやすさであり、有効なエンドポイント デバイスのユーザーにとって時間のかかるタスクを排除することだと McBride 氏は指摘しました。
マクブライド氏は、エンドユーザーはデバイスに素早くアクセスしたいと考えており、面倒で煩雑なセキュリティ対策を強制すると、デバイスを完全にオフにしてしまうケースが多いと説明した。「高いセキュリティと低摩擦という、まさに両立できると考えています」とマクブライド氏は述べた。
パスワードとMFAを超えて
マクブライド氏によると、ZTA原則は、組織がパスワードや多要素認証の限界を超えるのに役立つという。「認証方法は機能していません。パスワードには根本的な欠陥があり、保存したりネットワーク経由で転送したりすると盗まれてしまいます。初期アクセスの75%から80%は、こうした問題に起因しています」と彼は述べた。
ZTA プロトコルには、リスク スコアリングと同社が継続的認証機能と呼ぶ機能が含まれています。同社によると、これは「常時接続」のゼロ トラストの世界向けのサイバー セキュリティ ツールからのデータに基づいてリスクに基づいて更新される認証決定です。
参照:1Passwordはパスワードフリーの未来を目指している。その理由はここにある(TechRepublic)
脅威の実態:有効なアカウントを介した複数の攻撃ベクトル
Mitre ATT&Kフレームワークは、サイバー脅威の攻撃者と攻撃手法のログを記録します。その中には、既存のアカウントの認証情報を取得・悪用してアクセス権限の取得、システム内での永続化、権限の昇格などを行う17種類の認証情報アクセス手法が含まれています。Mitreによると、これらの認証情報は、VPN、Outlook Web Access、ネットワークデバイス、リモートデスクトップなどのリモートシステムや外部サービスへのアクセスにも利用される可能性があります。
Mitre の報告によると、過去 15 年間に有効なアカウントを悪用した 40 以上の脅威グループには、次のようなものがあります。
- APT18: 正当な資格情報を利用して外部のリモート サービスにログインし、テクノロジー、製造、人権団体、政府、医療業界を標的にします。
- Axiom: 以前に侵害された管理者アカウントを使用して権限を昇格した疑いのある中国のサイバースパイグループ。
- Spider Wizard: ドメイン コントローラーへのアクセスを目的として、特権アカウントの有効な資格情報を使用するロシアの国家攻撃者。
- Polonium: レバノンを拠点とするグループは、侵害された有効な認証情報を使用して、重要な製造、情報技術、防衛産業の企業を含むイスラエルの組織を主に標的にしています。
「攻撃者にとって、最初の選択肢は有効なアカウントです」とマクブライド氏は述べた。「高度な技術を持つ攻撃者は、常に有効なアカウントを利用しており、それらを利用する攻撃者のリストは膨大にあります。そして、攻撃者はアカウントが『簡単なボタン』であるがゆえに、アカウントを利用するのです。簡単なボタンがあれば、ゼロデイ攻撃を仕掛けたり、非常に高度な手法を使ったりするのを避けたいのです。」
彼はさらに、一般的な認識に反して、フィッシングはランサムウェアを展開する2番目に多い方法だと付け加えた。1番目は、盗んだ認証情報を使ってログインし、ソフトウェア、デスクトップ、またはサーバーにリモートアクセスする方法だ。「認証の脆弱性は、現実世界に悪影響を及ぼします」と彼は述べた。
「年々、IDと認証の脆弱性がランサムウェアやセキュリティ侵害の最大の原因となっており、この脆弱性を解消し、組織がホワイトハウス、NIST、CISAが発行したセキュリティ規制を満たすためには、何かが根本的に変わる必要がある」と、この取り組みを支持するエリック・ソフトウェアの最高戦略責任者、チェイス・カニンガム氏は声明で述べた。
IDCのリサーチ担当副社長ジェイ・ブレッツマン氏は、次のように述べています。「ユーザーとデバイスのIDを継続的に検証することは、ゼロトラストの実現に不可欠です。Beyond Identityは、セキュリティ基準を向上させ、EDRおよびSASEツールへの既存のセキュリティインフラストラクチャ投資を最大限に活用するために、セキュリティインフラストラクチャからの信号をほぼリアルタイムで利用するアプローチを採用しています。」
