攻撃経路管理の理解: 基礎

サイバー攻撃とは、不正なユーザーがシステム、ネットワーク、データへアクセスしようとする悪質な試みです。 攻撃者はデータの盗取、破壊、改ざんを試みる可能性があり、システムや関連資産が破壊される可能性もあります。

攻撃経路とは、悪意のある攻撃者がアタックサーフェスの脆弱性や弱点を突いた後にたどる可能性のある経路です。 これは、攻撃者が資産を侵害するために取りうる、侵入口からの経路を可視化したものです。 例えば、攻撃者がいったんネットワークに侵入すると、攻撃経路に沿って資産間を移動できるようになります。 セキュリティチームは、侵入が発生した場合に攻撃を阻止し、ネットワーク全体へのさらなる移動を防げるように、社内の潜在的な攻撃経路をすべて把握することが重要です。

攻撃者は、攻撃の一環として、目的達成のためにさまざまなツールやテクニックを利用します。 例えば、攻撃者はエクスプロイトを使って、ネットワーク上での最初の足がかりの確保、資産に対するアクセスの維持 (永続性)、権限昇格、ネットワークデバイス間の横方向への移動 (ラテラルムーブメント) を可能にします。 そして最後に、例えば重要インフラのサービス拒否 (DoS)、機密情報の盗取、既存サービスの妨害などの目的とする攻撃の達成を試みます。 これが攻撃経路として知られているものです。 攻撃経路には 1 つ以上の攻撃テクニックが含まれ、この経路により攻撃者は目的を達成できるようになります。

攻撃経路の影響範囲は、攻撃者がある資産から侵入した後にラテラルムーブメントでの移動が可能な距離を示しています。

攻撃経路管理 (APM) は、攻撃者の視点から見たセキュリティ上の弱点についてインサイトを提供します。 潜在的な攻撃経路を把握することで、より強力なセキュリティ防御を構築できるようになります。したがって、セキュリティチームは攻撃経路を迅速に遮断し、攻撃者がシステムとネットワークに深く侵入する前に攻撃を封じ込めることができます。

攻撃経路管理とは、攻撃者がネットワークとシステムへのアクセスで悪用する可能性のある脆弱性、設定ミス、その他のセキュリティ上の問題点を継続的に特定するために、セキュリティチームが採用するプロセスです。 APM とも呼ばれる攻撃経路管理を採用することで、企業はオンプレミスとクラウド上で、サイバー空間に露呈されたすべてのリスクを先行的に特定できる態勢を整えられるようになり、セキュリティチームは効果的な修正を優先できるようになります。 また、攻撃経路管理によって、セキュリティ制御が設計どおりに機能しているか、どこに弱点があるのかも把握できるようになるため、現在のリスクとその修正に必要なことを踏まえて、より適切なビジネス上の意思決定が可能になります。

攻撃経路のマッピングにより、すべての資産に関連する既知の攻撃経路と隠れた攻撃経路の視覚的なロードマップが作成されます。 攻撃経路マップを作成することで、セキュリティチームは、攻撃者が資産への侵入に成功した後に実施する可能性のあるすべてのシナリオ (または経路) をよりよく把握できます。 攻撃経路のマッピングとは、簡単に言えば、大局的に見て、「攻撃者が X を仕掛けたら、何が起こりうるか」、「攻撃者は次にどこに移動する可能性があるか」と問いかけることです。

攻撃経路は企業ごとに異なりますが、共通する攻撃経路もあります。 例えば、Active Directory (AD) の設定ミスにより、攻撃者がセキュリティの弱点を悪用できるようになり、AD へのアクセス取得後に、その AD に接続された他のシステムや資産へのラテラルムーブメントが可能になることがあります。

攻撃経路管理には多くのメリットがあります。攻撃経路管理を行う上で特に重要なメリットは、ネットに露呈されたリスクの特定、攻撃者のネットワークを通じた移動方法と場所の把握、詳細関連情報のチームへの提供が可能になることです。これらにより、セキュリティチームはセキュリティ制御強化のために事前対策を講じ、攻撃があった場合には効果的に対応できるように準備することができます。 攻撃経路管理は、成熟したサイバーセキュリティ対策において重要な役割を果たし、リスクの低減に貢献します。

Active Directory は Microsoft Windows のディレクトリサービスです。これにより、企業はネットワーク上のユーザー、認証情報、システム、アプリケーション、およびデータを効率的に管理できます。 多くの場合、どのユーザーがネットワーク内のどのデータにアクセスできるかを管理する、ID およびアクセス管理 (IAM) によって使用されます。

Active Directory のセキュリティでは、Active Directory 内のセキュリティの弱点を特定し、優先順位を付けて修正します。 残念ながら、AD のセキュリティは、多くの企業で見落とされがちです。 攻撃者はこのことを知っているため、Active Directory 攻撃を常套手段としています。 攻撃者が AD へのアクセスに成功すると、ネットワーク全体でのラテラルムーブメント、権限昇格、ドメイン制御が可能になります。 平均的な攻撃者は、20 分以内にドメイン全体の制御を支配できます。 Active Directory のセキュリティを確保することで、攻撃者によって悪用される可能性のある領域について洞察を得られるため、攻撃経路を予防的に遮断してリアルタイムでイベントに対応できるようになります。

2 つの用語は同じ意味でよく使われますが、攻撃経路と攻撃手法は別物です。 攻撃手法 (Attack Vector) とは、攻撃者がセキュリティ上の弱点を突くために使うものです。一方、攻撃経路 (Attack Path)とは、攻撃者が悪用に成功した後で使用する経路やマップのことです。

Tenable を使用すると、Attack Path Analysis (攻撃経路分析) がデータを取得し、高度なグラフ解析および MITRE ATT&CK® フレームワークと組み合わせて、調査結果をまとめます。 この調査結果により、資産と情報に脅威となる影響を与えて増幅させる「未知なるもの」を理解して手を打つことが可能になります。

アタックサーフェス管理とは、自動的かつ継続的に資産の包括的な可視化を実現するものです。資産の内容、使用状況、脆弱性やセキュリティ上の問題点を、常にユーザーと攻撃者の視点から把握できるようになります。 アタックサーフェス管理により、セキュリティチームはセキュリティ上の問題を探し出し、修正に優先順位を付け、攻撃者の一歩先を行くことができます。