攻撃経路分析とは

攻撃経路分析 (APA) は、攻撃者がネットワークやシステムに侵入するために悪用する可能性がある経路を特定します。 

攻撃経路マッピングを使用することで、ネットワーク上の資産やアイデンティティに関連する脆弱性、設定ミス、権限がどのように組み合わさって悪用可能なシナリオを生み出すのかをより詳しく理解できます。

このようなサイバーセキュリティのアプローチでは、多くの場合、侵害されたリソースと、重要資産に対するその潜在的な影響の関連性を示すために攻撃グラフが使用されます。 簡潔に言えば、APA は次のような点で役に立ちます。

• 把握: 攻撃者が重要資産を侵害するために悪用する可能性がある資産、アイデンティティ、リスクの関係を把握します。
• 特定: 攻撃者が悪用する可能性がある攻撃経路内の特定のリスク、テクニック、またはチョークポイントを特定して、攻撃の連鎖を断ち切り、1 つ以上の攻撃経路を遮断します。 
• 提案: 具体的にどのようなパッチ、設定変更、対策を利用すればリスクを軽減できるのかを提案します。

攻撃者を出し抜くには、攻撃者の視点に立って考える必要があります。 APA が重要なのは、攻撃者がシステムの侵害のために実行する可能性がある一連のステップの可視化に役立つからです。 APA は、攻撃者が、アタックサーフェス内のどの場所にアクセスして、ラテラルムーブメントを行い権限を昇格させて、サービスの中断、機密データの抽出、ネットワークやデータを人質に身代金要求などの意図した結果を達成する可能性があるのかを明らかにします。 

APA のインサイトにより、セキュリティチームは予防的な対策を講じて、的確かつ迅速に対処し、サイバーセキュリティ防御を強化できます。

• アタックサーフェスには、外部システムからアイデンティティや脆弱性まで、攻撃者がデジタル資産を悪用する可能性がある、すべての方法が含まれます。 アタックサーフェスは、組織の規模、業界、テクノロジースタックによって異なります。
• 攻撃手法とは、攻撃者がアタックサーフェスの脆弱性、設定ミス、または過剰な権限を悪用する際に使用する可能性がある手法を指します。パッチが未適用のソフトウェアの脆弱性、設定ミス、マルウェア、アイデンティティ侵害などが含まれます。
• 攻撃経路とは、攻撃者が環境内に侵入してラテラルムーブメントを実施し、意図した目的を達成するために段階的に悪用する可能性がある資産、アイデンティティ、リスクの関係性を指します。

攻撃経路分析は、攻撃者の戦術、テクニック、手順 (TTP) を分類する MITRE ATT&CK フレームワークと緊密に連携しています。 APA は、以下を行うことでこのフレームワークを補完します。

• MITRE ATT&CK フレームワークで概説されている TTP のうち、攻撃者が環境内で悪用する可能性がある TTP を特定する。
• 攻撃者が悪用する可能性がある TTP の組み合わせを特定する。
• 優先度の高い攻撃手法の軽減戦略に役立つ情報を提供する。

APA と MITRE ATT&CK フレームワークを統合することにより、理論的な脅威モデリングと実用的なセキュリティ対策のギャップを解消できます。

1. 攻撃経路を使用して潜在的な影響を可視化し、パッチ管理やその他の軽減のニーズを検証して優先順位付けする。
2. 重要な資産につながる脆弱を詳細に把握して、アクティブな侵害をすばやく追跡して軽減する。
3. 隔離された環境の完全性を損なう可能性がある不正な資産や接続を特定する。 
4. ミッションクリティカルなアプリケーション、システム、アイデンティティの侵害につながる可能性がある危険な設定、権限、脆弱性を特定する。 
5. 個々のリスクの数の話ではなく、経営幹部や取締役が理解できる言葉でリスクを伝える。
6. 攻撃者による重要なシステムやデータへのアクセスを防ぎ、ビジネスの継続性を確保する。
7. SOC 2 や GDPR などの基準に準拠するために、規制違反につながる可能性がある攻撃経路を特定して対処する。

• 管理されていない IT リソースやシャドー IT リソースなど、ネットワーク内のすべての資産とアイデンティティを自動的に特定する。
• ネットワークの新たな脆弱性や変化を検出するために、アタックサーフェスを定期的に更新して評価する。
• 潜在的な攻撃経路をわかりやすくマッピング (攻撃経路を可視化) し、攻撃者がどのようにして段階的に脆弱性を悪用する可能性があるのかを示す。
• 脆弱性の深刻度と潜在的な影響を評価し、リスクと資産の重要度に基づいて修正の優先順位を決定する。
• 既存のセキュリティツールやフレームワークとシームレスに連携することで一元的な防御戦略を実現する。
• 攻撃経路とチョークポイントを明確かつ直感的な表示方法で可視化する (攻撃グラフで可視化)。
• シャドー IT やクラウドリソースなど、すべての資産を自動的に特定してマッピングする。
• 環境の変化を継続的に追跡して新たなリスクや攻撃経路をリアルタイムで特定する。
• リスクに対処するための実用的なインサイトとステップバイステップの修正ガイダンスを利用できる。
• 攻撃元、攻撃対象、深刻度の詳細情報を含む、明確なリアルタイムの攻撃経路マッピングを確認できる。
• 複数の攻撃経路が交差する部分を明らかにしてリスクの軽減に注力できるようにする。
• 動的なクラウド環境とハイブリッド環境のサポートを利用できる。
• 重大なリスクと推奨される修正ステップをチームに通知する。

• 認証情報および権限昇格攻撃経路では、盗み出した認証情報、脆弱な認証メカニズム、または設定ミスのある権限を使用して、攻撃者がどのように権限を昇格させるかという点に注目しています。 Pass-the-Hash、Kerberoasting、アカウントへの過剰な権限付与などのテクニックにより、攻撃者がさらに高いアクセスレベルを取得し、多くの場合ドメイン全体の侵害につながる可能性があります。
• ラテラルムーブメント攻撃経路によって、攻撃者は初期アクセス後にネットワーク内を移動できるようになります。 攻撃者は、設定ミスのある委任、SMB リレー攻撃、脆弱なグループポリシーを悪用して、権限の低いアカウントやマシンから、ドメインコントローラーや機密性の高いデータベースといった重要度が高い資産へと移動します。
• 脆弱性悪用経路は、攻撃者が、パッチが適用されていないソフトウェアの脆弱性やシステムの弱点を悪用して不正アクセスを行うことを前提としています。 攻撃者は、重大な CVE、ランサムウェアの侵入口、設定ミスのあるハイブリッド Active Directory (AD) 環境を標的にして、コードを実行したり、権限を昇格させたり、ネットワーク内を探索したりします。
• 不十分なネットワークセキュリティや設定ミスは、不正アクセスや権限昇格を可能にするネットワークと設定ミスがベースの攻撃経路を生み出します。 攻撃者は、オープンなネットワーク共有、公開されている管理インターフェイス (RDP、SSH)、脆弱なドメイン間の信頼関係を悪用し、さらなる攻撃の足掛かりとする可能性があります。
• ドメイン侵害経路では、Active Directory をコントロールして認証メカニズムと承認メカニズムを操作することを目的としています。 攻撃者は、DC Sync、DC Shadow、ゴールデンチケットの攻撃を悪用して特権ユーザーになりすまし、永続的なアクセスを維持してドメイン全体を乗っ取ります。
• 攻撃者は、設定ミスのあるクラウド環境、ID およびアクセス管理 (IAM) ポリシー、露出したストレージバケット、脆弱なアイデンティティフェデレーションメカニズムなどのクラウドおよびハイブリッドの攻撃経路を悪用して、クラウドベースのリソースを侵害するおそれがあります。 OAuth トークンのハイジャックやハイブリッド Active Directory の信頼関係を悪用することで、攻撃者はクラウド環境とオンプレミス環境間を検出されることなく移動できます。

APA をセキュリティプログラムに組み込めば、以下によってサイバーハイジーンを改善することができます。

• 潜在的な脅威を顕在化する前に積極的に予測して軽減する。
• 最も必要な場所に的を絞った防衛セキュリティ対策を的確に導入する。
• リスクの高い脆弱性に注目し、セキュリティリソースの割り当てを最適化する。
• セキュリティインシデントを検出して分析し、対応することでインシデント対応を強化する。
• リスクの高い攻撃経路に含まれる脆弱性に対処して優先順位付けを行うことにより、脆弱性管理と修正の作業を最適化する。
• 攻撃経路を可視化してリスクをより詳細に把握し、技術関連のステークホルダーとそれ以外のステークホルダーにリスクを伝達する。
• 脅威インテリジェンスを使用して、貴重な資産に直接的な脅威をもたらす最も重大な脆弱性の修正を優先して処理する。
• セキュリティリスクと脆弱性に対するコントロールを実証することでコンプライアンスをサポートする。

攻撃経路分析を脆弱性管理に組み込めば、次のようなメリットも得られます。

• 攻撃経路マッピングは、最も重大な脆弱性を見つけて優先順位を付けるのに役立つ。
• 先行的なリスク評価をサポートする。
• アクティブな攻撃経路上の脆弱性に注力するため、無駄な労力とリソースを削減する。
• 相互に関連するリスクを明らかにしてアタックサーフェスの可視性を向上させる。
• 先行的なリスク管理を可能にしてコンプライアンスの遵守をサポートする。

攻撃経路分析を自動化するツールは、以下の機能を提供します。

• 資産、アイデンティティ、脆弱性の関係を可視化する。
• 設定と権限の間の有害な組み合わせや危険な重複を特定する。
• 既知の戦術やテクニックに基づいて攻撃者の動きを予測することにより、攻撃シナリオをシミュレートする。

APA ツールを選ぶときは、以下について確認してください。

• そのツールは、マルチドメインをカバーしたうえでネットワーク全体の潜在的な攻撃経路のすべてを評価できるか。
• 直感的で使いやすく、攻撃経路をわかりやすく可視化できるか。
• ビジネスニーズや進化するネットワークアーキテクチャに合わせて柔軟に拡張できるか。
• 既存のセキュリティツールやワークフローとシームレスに統合できるか。
• 新たな脅威や脆弱性に対処するための更新プログラムが、ベンダーによって定期的に提供されているか。

1. 範囲の設定と検出: 分析の範囲を定義して、重要な資産 (IT 資産、データベース、特権アカウント、ドメインコントローラーなどの) を特定し、ネットワークのレイアウトを把握します。 目標は、インターネットに露呈されているサービス、設定ミスのあるクラウドリソース、その他のセキュリティコントロールなどの潜在的なアタックサーフェスを特定することです。
2. データを集約して関連付けて、ユーザー、ドメインコントローラー、システム、脆弱性の関係をマッピングします。 これにより、複数のシステムで使用中の脆弱な認証情報や、権限昇格につながる可能性があるパッチ未適用の脆弱性など、隠れた攻撃手法が明らかになります。
3. グラフモデリングと可視化を使用して、攻撃者が脆弱性を悪用したり、権限昇格、ラテラルムーブメントを行ったり、設定ミスを利用したりして、どのように環境内を移動できるかを確認できます。
4. 修正の優先順位付け: 潜在的な攻撃経路を特定したら、悪用される可能性 (攻撃のしやすさ)、チョークポイントの優先順位、影響 (ビジネスへの影響)、発生の可能性 (MITRE ATT&CK で使用されている実際の攻撃テクニック) などのリスク要因に基づいてランク付けします。 ドメイン管理者アクセスやビジネスにとって重要な資産につながるような、最も重大な経路を最優先します。

APA は、CTEM フレームワーク内で次のような役割を果たします。

• 潜在的な攻撃経路をマッピングしてサイバーエクスポージャーを特定します。
• 軽減策の優先順位を決定できるよう、重大な侵害につながる可能性がある最も重大な脆弱性を明らかにします。
• 全体的なセキュリティ態勢を強化してレジリエンスを高めるための、先行的な防御戦略に役立つインサイトを提供します。

APA は、事後対応型のセキュリティ対策と事前対策型のセキュリティ対策をサポートします。

• 事後対応型のセキュリティ: 攻撃のステップを追跡してその進行状況を把握し、侵害された資産を特定することでインシデント対応を支援します。
• 事前対策型のセキュリティ: チームが潜在的な攻撃手法を予測して、悪用を防ぐための防御策を実装できるようサポートします。

Tenable One のようなサイバーエクスポージャー管理プラットフォームを使用した攻撃経路分析が、DX 時代のアタックサーフェス全体にわたる複雑性の克服にどう役立つのかをご覧ください。 従来の IT にとどまらず、マイクロサービス、ウェブアプリ、アイデンティティサービス、オペレーショナルテクノロジー (OT) などの多くの要素を含む今日の複雑な環境では、脆弱性を評価するための多様なツールが必要です。 堅牢なプラットフォームが 1 つあれば、予測、優先順位付け、実用的なインサイトの提供に役立つはずです。