概要
SaltTyphoonのような事件は、企業やユーザーがコントロールできないインフラに依存しているため、侵害に対する脆弱性を思い出させる重要な機会です。パブリッククラウド、SAAS、コンピューティング、ストレージ、ネットワークのためのグローバルサービスプロバイダーによってサービスされる、ますます分散化されたアプリケーションにおいて、攻撃対象面はコントロールの外にあります。そして、言われる通り、侵害は「もし」ではなく「いつ」の問題になっています。この環境で成功するための最も明確なアプローチは、設計段階からゼロトラスト原則を用いて、外部および内部の攻撃面を削減することです。Unified SASE as a Serviceを使用して安全なネットワークアクセスを確保することは、ネットワークとセキュリティベンダーのスプロールを排除し、運用の簡素化を提供するための大きなステップです。侵害が発生した場合、問題を隔離し、爆風ゾーンを縮小し、ビジネスのニーズを満たし続けることがさらに重要です。SASEは、さまざまなセキュリティ技術の展開を管理し、迅速な対応時間を提供し、ネットワークの衛生状態を大幅に改善し、攻撃面を減少させます。
ターゲットインフラ
スイッチやルーターのような人気のインフラ製品は業界で広く使用されています。工場出荷時のデフォルトパスワードが変更されていないことがあることはよく知られています。Cisco機器の普及を考慮すると、SaltTyphoonがCiscoデバイスをターゲットにしているのは驚くことではありません。以下にいくつかの理由を挙げます:
- その普及と市場の支配力を考慮すると、Ciscoは世界最大のネットワーク機器提供者の1つです。企業、サービスプロバイダー、重要インフラにCiscoの機器が展開されています。Cisco機器が侵害されると、攻撃者は敏感で高価な情報を含むネットワークにアクセスできる可能性があります。
- SaltTyphoonはしばしば政府、軍事、重要インフラをターゲットにし、そこではCiscoの機器が広く使用されています。ルーター、スイッチ、ファイアウォールなどのCisco機器はネットワークトラフィック管理の中心であり、傍受、データ抽出、トラフィック操作の理想的なポイントです。Cisco機器は、政治的または経済的に敏感な業務を管理する組織でよく使用されており、これはまさにスパイ活動のターゲットになります。これらのデバイスは信頼されたネットワークの位置を保持しており、侵害されるとセキュリティ対策を回避し、運用を混乱させ、攻撃者にターゲット組織への影響力を与える可能性があります。
- 持続的なアクセスと隠密な操作により、Ciscoの機器はバックドアを埋め込むための強力な足掛かりを提供します。SaltTyphoonは、エンドポイント検出システムを回避するため、Ciscoデバイスをターゲットにしてネットワークインフラに持続的な悪意のあるコードを直接展開します。これにより、グループは隠密に足掛かりを得ます。
- SaltTyphoonは未修正の脆弱性を悪用することで知られており、Cisco機器は高プロファイルの脆弱性と関連しています(例:Cisco Smart Install、VPNの欠陥)。Ciscoシステムをターゲットにした高度なエクスプロイトを開発または取得することは簡単です。Cisco機器を戦略的な位置に悪用することで、攻撃者はサプライチェーン内の複数の下流組織を侵害することができます。
ITシステムのクリーンアップに関する課題
多くの作業が必要な主な理由は、いくつかの企業が提供するつぎはぎのような断片的なソリューションです。さらに、可視性が非常に低く、監視システムがないため、マルウェアがインフラのどこに潜んでいるか分からないという状況です。したがって、どのシステムが感染しているのかを特定し、それを修復する方法を見つけることが課題となります。技術的な制約を理解しましょう:
- APTはステルス戦術(ファイルレスマルウェア、暗号化、難読化)、持続性メカニズム(隠れたレジストリキー、スケジュールされたタスク、ファームウェアレベルの変更)、および検出回避ツールを使用して検出やクリーンアップの試みを回避します。
- 複雑な環境(多数のエンドポイント、サーバー、クラウド統合などを持つ広がったITシステム)による可視性の欠如が問題です。このため、監視が難しくなり、多くの組織はデータを十分にログとして残さず、侵害の範囲を追跡するのが難しいです。
- スキルギャップや遅い対応時間による人的制約が攻撃者に強力な足掛かりを与えます。多くの組織はAPTに対応するための専門的なスキルやリソースを欠いています。また、組織は運用上のニーズをセキュリティよりも優先し、防御にギャップを生じさせています。
- APTの発見が遅れる原因の1つは、居住時間(dwell time)です。APTは数ヶ月、あるいは数年にわたって検出されずに潜伏することができます。この間に、複数のバックドアを展開し、さまざまなシステムを侵害することが可能です。発見された時には、攻撃者はすでに深く侵入している可能性があります。
Unified SASE as a Service を統合保護対策として
Unified SASE as a Serviceは、Aryakaの武器庫における重要なソリューションであり、SaltTyphoonのような高度な持続的脅威(APT)に対抗するための重要な役割を果たします。その積極的および反応的な防御は、高度な攻撃をかわすように設計されており、どの組織のセキュリティ戦略にも不可欠です。
- 最小権限の原則を遵守することは、APTとの戦いにおいて重要なステップです。組織は、ZTNAを使用して詳細なアクセス制御を実施し、ユーザー、デバイス、およびアプリケーションがその役割に必要なリソースにのみアクセスできるようにします。これにより、APTによる広範囲な損害のリスクを大幅に減らし、重要な防御戦略となります。
- 場所、時間、行動を考慮するアイデンティティおよびコンテキスト認識型ポリシーは、APTとの戦いにおいて非常に重要です。これにより、ユーザーおよびデバイスの継続的な確認が可能となり、攻撃者が正当なユーザーを成りすます可能性を大幅に低減します。これにより、セキュリティ対策に対する信頼が生まれ、組織の