2016/09/22

サイバーキルチェーンの新しい考え方

鍵,チェーン,キー,鎖 key

2016 年 9 月 22 日 編集部記事

セキュリティの専門家は、いくつかのモデルを使ってサイバーセキュリティ攻撃の各段階を結び付けています。サイバーキルチェーンは、ロッキード・マーティン社で開発された、重要ないくつかの段階の概要を示すプロセスですが、このプロセスを使用することで、脅威アナリストが攻撃の重要なポイントを特定し、連鎖を断ち切って、セキュリティ侵害を防ぐことができます。

ウォッチガードの脅威アナリストである Marc Laliberte は、このモデルをベースにし、サイバー攻撃防止のプロセスの強化につながる改訂版を開発しました。彼が開発したサイバーキルチェーンは、攻撃方法確立の段階を省略して、コマンドアンドコントロールの段階の直後に「横移動」の段階を追加したものです。この変更の理由は何でしょうか。Dark Reading の彼のコラムに、その理由が次のように詳しく解説されています。

「攻撃者は通常、最終目標とするデバイスにいきなりアクセスするのではなく、最も脆弱なシステムを最初に攻撃します。ネットワーク境界の背後の簡単に攻撃できる標的に対する攻撃が成功すると、ネットワークを横移動して実際の攻撃対象にたどり着きます。攻撃方法確立は、攻撃者にとっては必要な段階ではありますが、我々が対策を講じることができる部分ではないため、モデルから除外しました。これに対し、横移動の場合は、内部のネットワークのセグメンテーションファイアウォールによって検出して回避するという対策を講じることができます」

ロッキード・マーティン社のサイバーキルチェーンをベースに開発したモデル:
1 – 偵察:攻撃者が標的の情報を収集する。
2 – デリバリ:攻撃者が侵入を開始する。
3 – エクスプロイト:攻撃者が標的を感染させる。
4 – インストール:攻撃者が標的に長期滞在する手段を確立する。
5 – コマンドアンドコントロール:攻撃者がペイロードに対してコマンドを発行する。
6 – 横移動:攻撃者がネットワークを横移動して標的に到達する。
7 – 目的の実行:攻撃者が最終目的を達成する。

攻撃ごとに差があり、キルチェーンモデルと完全には一致しない攻撃もありますが、このモデルを利用することで、ネットワーク境界に存在する脆弱性を特定し、有効な対策を実行できるようになります。Marc による改訂版のサイバーキルチェーンの詳細と JavaScript ドライブバイダウンロード攻撃の具体例に沿った説明を、Dark Reading の記事全文でぜひお読みください。

http://www.darkreading.com/attacks-breaches/a-twist-on-the-cyber-kill-chain-defending-against-a-javascript-malware-attack/a/d-id/1326952