サイバーセキュリティにおいて「敵から見える自分」を知ることは結構大事な要素です。
「自社の資産をすべて把握しているから大丈夫!」と言える組織がどれくらいあるでしょうか?存在を把握しているだけで、攻撃者から見たおいしさまで把握できていなかったりしませんか?
これは、自分の性格を考えてみるとわかりやすいかもしれません。自分が思っている自分の性格や態度は、周りの方々から見えている性格や態度とは異なっていることが多いと思います。(検索すると「他人から見た自分の性格診断」って色々出てきますね。)自分の主観で見ているとわからないことが周りの人に聞くと気づくことがよくあります。
これはサイバーセキュリティにおいても同じだと思います。自分たちでは資産を把握しているつもりでも、攻撃者から見たときにはまた違う見え方をしているかもしれません。例えば、外部に公開しているシステムは10個であると認識していても外部から見たら15個見えるかもしれないですし、10個の数は同じでも攻撃の容易さに繋がる情報の公開度が自分たちの認識とは違うかもしれません。このような内部から見た自分たちの状態と攻撃者視点で見た場合のよくある状態の違いは以下の点が上げられます。
・Webサーバーの前にあるCDNの負荷分散サーバー
・リモートアクセス用のVPNの存在、およびそのVPNのOS情報公開
・本番リリース前のWebや新規利用サービスのテスト環境や開発環境の公開
・既に終わったはずのキャンペーン用サイト
・昔使っていた(旧社名や統合前の子会社など)ドメインで動いているWebやメールサーバー
・保守メンテナンス用に一時的に開けていたはずのポート
これらの状態まで本当に内部から見て把握できていますか?なかなか内部から見ている限りでは把握することが難しいのではないでしょうか。攻撃者は物理的にアクセスするわけではなく、インターネット経由でサイバー攻撃を仕掛けてきます。もちろん攻撃対象の調査もインターネット経由で情報収集をしていて、上記のような状態の外部に公開されている資産の探索を丹念に行っています。
また、一時的に状態を把握したとして、守る側はそれで終わることができません。残念なことに、攻撃者から見える状態というのは常に変化します。新たな脆弱性は常に出てきますし、利用しているクラウドプラットフォーム側の仕様変更もありますし、外部に公開されている資産から得られる情報を増やすためにツールもどんどん進化しています。攻撃に使われるツールも色々ありますが、例えば、CDNの普及に伴ってDNSの不適切な設定を突いたサブドメインテイクオーバーを狙うため、攻撃対象を見つけるツールが公開されていたり、もともとはペンテスト用のツールであるCobalt Strikeがあらゆる攻撃者に利用されていることは有名なところかと思います。
攻撃者は皆様の気持ちは考慮に入れませんので、「自分たちはできているから大丈夫」、「自分たちは攻撃されない」といった前提で行動するのではなく、攻撃者に対して「攻撃に手間がかかりそう」「攻撃できそうなシステムが見つけられない」といったように攻撃者から見ておいしくない状態を常に保つことが重要です。
今回のお話は「敵から見える自分を知る」の一例ですが、攻撃を受ける可能性の軽減に役立ちます。しかし、攻撃者も常に進化していますので攻撃者の動向によって狙われやすい資産が変わってきます。より積極的なセキュリティ対策を実施するためには「敵を知る」ということの重要性についても意識していくことをお薦めします。
CYFIRMAでは組織のセキュリティ戦略から戦術面まで活用できる、包括的な脅威インテリジェンスを提供しています。ご興味のある方は、どうぞお気軽にお問い合わせください。
CYFIRMAが独自で毎週発行している「Weekly Security Update」のメールマガジンです。
その週にあった出来事をピックアップし、さらにサイファーマならではの情報も交えてご紹介しています。
ハッカーの会話をモニタリングしているからこそ、通常では得られない様な情報もいち早く手に入れる事ができますので、
ご興味のある方は下記よりお申込下さい。
※同業他社の方はお断りする場合がございます、ご了承下さい。
脅威インテリジェンスとは何かという初歩的な内容から、MITRE ATT&CKフレームワークの活用方法、
毎月の脅威トレンド報告などなど、旬な話題を取り入れ、かつ弊社独自目線も取り入れた内容となっており、
弊社サービス紹介というよりも、脅威インテリジェンスをどう考えるか、どう活用するかという部分で
皆様のヒントとなるよう運営しております。是非お気軽にご参加下さいませ!!!
✧その他、ご不明な点がございましたらこちらからご連絡下さい。