- 2020/01/07
- セキュリティ
2020年のサイバーセキュリティを占う:2019年からの拡張(パート1/4)
Post by : Sam Curry
2019年の場合と同じように、2020年を迎えた現在、サイバーセキュリティの計画をする前に、今こそ全員一丸となって冷静に計画の見直しを行うべき時です。今年は攻撃者に動機や機会を提供する、または世界を混乱に陥れることで、多くのサイバーアクティビティを誘発する可能性のある主要な3つの地政学的イベントが実施されます。
これら3つのイベントとは、米国大統領選挙、英国のEU離脱(Brexit)、そして東京オリンピックです。もちろん、これらのイベント以外にも、例年通り多くの出来事が発生するはずであり、2019年の場合と同じく、サイバー空間はその固有の戦場となると同時に、その他の抗争手段のすべてに影響を与えることでしょう。
現在のサイバーセキュリティ状況
では、まず現状分析から始めましょう。当社では、現在のサイバーセキュリティ状況を次のように認識しています。
セキュリティ市場の大半は競争を最重要視する一方で、真の敵である攻撃者を無視
セキュリティ市場は、いくつかのイノベーションが見られますが、全体的に低品質の製品が、顧客からますます多くの金を搾り取り続けています。Ian Grigg氏による素晴らしい2008年度のSilver Bulletレポートへの参照を見かけましたが、結局、セキュリティ市場の大半は競争を最重要視する一方で、真の敵である攻撃者を無視しています。2020年を迎えようとしている現在、攻撃者は、サイバー抗争の非対称性における優位性をなおも確保し続けています。
攻撃者は「LOLbins」の利用を大幅に拡大
攻撃者は、以前「ファイルレスマルウェア」と呼ばれており、現在ではより一般的に「LOLbins(living off the land binaries)」と呼ばれるようになったものの利用を大幅に増やしています。このような攻撃用のツールセットや手段が、将来急速に広まり多様化するであろうことは理にかなっています。
我々は最もインテリジェントな敵対者である「人間」を相手にしているのであり、成功したツールセットや手段を利用することは彼らにとって当然です。これは、LOLbinが単なるPowerShellのエクスプロイトに終始するのではなく、Microsoft OfficeスクリプトからWMIに至るまで、最もユビキタスで強力なユーザーにとって不可欠なツールへと分岐していることを意味します。
IOCを把握するだけでは、現代的な脅威を防ぐことはできない
IOCだけでは十分ではありません。Operation Soft Cell攻撃において、当社では、「同一のサイバーキルチェーン」における同一の攻撃者が使用する同一バイナリが、同じハッシュを持っていなかったことを確認しています。
たとえば、同一の攻撃モーションにおける後続マシン上に投下されたPoison Ivyの同一インスタンスが、異なるIOCを持っていたことが確認されています。もはやIOCを把握するだけでは、現代的な脅威を防ぐことはできません。このような脅威に対処するために、我々は新しいインジケーターであるIOBを必要としています。
2019年、何が起こったでしょうか?
答えは簡単です。人々は、旧式の防御ツールに関して自分なりの道を見つけようとしています。私は自分が現在使っているアンチウイルスやファイアウォールやSIEMを廃棄するつもりはありませんが、それらを自社のセキュリティ戦略の要(かなめ)と見なすことはもはやありません。
2020年およびそれ以降の年を単に「攻撃された人々が存在しており、攻撃されたことを知らない人々もいる」と嘆き続ける年にはしたくなく、我々は、セキュリティ分野におけるイノベーション、コラボレーション、および率直な緊急性に関する新たな活性化を必要としています。従来型の防御ツールを使い続けるだけでは十分ではありません。
2020年のサイバーセキュリティ状況を完全に把握するために、今後3回にわたって『2020年のサイバーセキュリティを占う』というタイトルの記事をシリーズで投稿します。次回は攻撃者に関して、その次の回はセキュリティ業界に関して、最終回は我々がコミュニティとして実行できることに関して説明する予定です。次回は、サイバーセキュリティのダークサイドにおけるトレンドについて詳しく紹介します。
レポート「2020年セキュリティ予測 〜国家vsマーケットイノベーション〜」
2020年は、米大統領選挙、英国のEU離脱(Brexit)、2020年東京オリンピックという3つの大きな地理的・政治的イベントが控えており、攻撃者に機会と動機が生まれることによって、または、混乱が起きることによって、多くのサイバー活動が誘発されます。
それだけでしょうか?いいえ、もちろんそれだけではありません。いつもの年と同じ事が起き、2019年と同様に、サイバーが他の紛争手段に影響を与えるとともに、それ自体が戦場となります。
本予測では、2020年の1年間について洞察します。
https://www.cybereason.co.jp/product-documents/survey-report/4295/
