- 2020/08/20
- セキュリティ
攻撃者の戦術を「防御のために」用いる
Post by : ALLIE MELLEN
最先端のサイバーセキュリティは、事後対応的な防御から脱却しつつあります。つまり、アナリストは脅威の発生を待つのではなく、自らの環境の中にいる攻撃者をプロアクティブに探し出すようになっています。攻撃者はダイナミックです。攻撃者は常に変化し、その能力を向上させています。防御者は、これに後れずについて行くために、自らの能力を向上させ、より迅速に攻撃者の変化に適応する必要があります。プロアクティブな防御とは、攻撃者が自分に対して行う可能性のある、できるだけ多くの動きを、予測し、理解し、回避することです。あなたは敵の一歩先を行き、敵を自分の罠へと誘い込まなければなりません。
このような理由から、当社はサイバーセキュリティ空間でレッドチーミングを行っています。レッドチーマーからなるグループは、攻撃者の役割を引き受けることで、防御力を向上させるために挑戦します。彼らは、食べて、寝て、呼吸をするように、攻撃者の行動を「合法的に」実施します。
レッドチーミングは、サイバーセキュリティにおける防御を形作る最善で重要な構成要素となっています。レッドチーミングは正当に評価されており、それなりの影響力もありますが、それは防御の改善のみを目的としています。もしも敵を理解するというこのアイデアを防御の外へと、さらに一歩進めたらどうなるでしょうか?
アノニマス、ウィキリークス、国家脅威アクターは、オープンソースインテリジェンス(OSINT)やスパイ活動を利用することで、標的とする個人の生活を詳細に調査しています。彼らはハッカーの技術、戦術、手順を使用することで、コントロール手段として個人を積極的に標的にしています。いったんこの種の情報へのアクセス権を取得すると、妨害工作から暗殺に至るまで多くの悪事を働くことができるようになります。
しかし、もし私たちがこれらの攻撃者が使う方法であるOSINTを社会的な大義のために利用したらどうなるでしょうか?これらの技術は、悪事を働くためだけに利用されなければならないのでしょうか?
社会全体として、私たちは、これまでハッカー文化を完全に敬遠し、ハッカーを 地下室にいるフードをかぶったティーンエイジャーとしてステレオタイプ化する傾向にありましたが、今ではハッカーを受け入れ彼らを認めるようになってきました。私たちは、多くのハッカーが新しいことに挑戦したい好奇心旺盛な個人であることを認識し始めています。
彼らは、インターネット時代のパズルを解く人たちです。それどころか、彼らはテクノロジー産業のサイバーレジリエンス(回復力)にとって必要な存在でもあります。極度の潔癖症であることが病気になるリスクを高めるのと同じように、ハッカーの考え方を認めず採用しないことが原因で、安全性の低いシステムが出来上がる可能性があります。
ハッカーに関する受け入れの一環として、私たちは、防御のためだけではなく、攻撃者の技術を受容しそれに目を向け始めることにより、今日それらの技術をどの分野に積極的に適用できるかを見極める必要があります。私たちは今日、OSINTや諜報テクニックを使うことで、人々の生活をより良くするために何ができるでしょうか?
ランサムウェアの破壊で世界的に有名となったハッカーであるファビアン(Fabian)の場合のように、私たちは、個人のホワイトハットハッカーがハッカーの被害者を助ける事例を目にしてきました。しかし、このような事例はほとんどなく、攻撃者の活動ほど組織的なものでもありません。
そこで非営利団体の登場です。攻撃者の戦術を「良いことのために」用いるグループが現れてきています。その一例が Trace Labsであり、これは警察とハッカーの間に立って実際の行方不明者を見つけるために連絡を取る非営利団体です。このグループは、悪事のためのスパイ活動でよく利用されるOSINTのテクニックを使うのではなく、その分野の専門家を雇い、それらの専門家の能力を駆使することで、行方不明の子供たちを両親や親戚の元へ連れて帰る手助けをしています。これは、業界を支配している攻撃-防御の型から脱却したサイバー時代のユースケースです。
ちょっとしたイノベーションにより、私たちが長い間プライバシー崩壊や攻撃の脅威と結び付けていた手法を、良いことのために使うことが可能になります。すなわちアクティブでダイナミックな攻撃者の一歩先を行き、私たちの回復力を高めるためにプロアクティブに活用できるようになります。これは、単に悪者から身を守ることや防御の強化を意味するものではありません。これは、あなたが自分なりの方法で世界をより良い場所にするために、安全で合法的な実践に参加することを意味しています。
既存の人材やツールを活用することで自社のセキュリティチームのパフォーマンスを向上させたいとお考えの方は、そのようなプロセスを確立するための方法を紹介した、当社の最新のホワイトペーパーをお読みください。
ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」
このホワイトペーパーでは、MITER ATT&CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/
