- +81 (092)-562-1177
- [email protected]
- 〒812-0013 福岡市博多区博多駅東2-5-28 博多偕成ビル2F
この実際のネットワーク攻撃シミュレーションでは、初期アクセスからデータ抽出までの6ステップをカバーしています。攻撃者が最もシンプルなツールでどのように検出されずに残るか、そしてなぜ防御戦略に複数のチョークポイントが必要なのかを見てみましょう。
驚くべきことに、ほとんどのネットワーク攻撃は特に洗練されているわけではなく、技術的に進んでいるわけでもなく、エッジケースの脆弱性を利用するゼロデイツールに依存しているわけではありません。代わりに、よくあるツールを使用し、複数の脆弱性ポイントを悪用します。実際のネットワーク攻撃をシミュレートすることで、セキュリティチームは検出システムをテストし、複数のチョークポイントを配置し、リーダーシップにネットワークセキュリティの価値を示すことができます。
この記事では、多くのシステムで容易に発生可能な実際の攻撃をデモンストレーションします。攻撃シミュレーションは、MITRE ATT&CK フレームワーク、Atomic Red Team、Cato Networksの現場経験、および公開された脅威インテリジェンスに基づいて開発されました。最後に、ネットワークセキュリティのために包括的なセキュリティアプローチが重要である理由を説明します。
攻撃フロー
以下に示す攻撃フローは6つのステップに基づいています:
これらのステップは、攻撃で一般的な技術を例示しているため選ばれました。
さあ、各ステップについて詳しく見ていきましょう。
Cato Networksの脅威対策スタッフセキュリティエンジニアであるDolev Attiyaによると、「防御の深さの戦略は、この初期アクセスベクトルから早い段階で有用だったかもしれません。フィッシングメールとHoaxsheelは、メールゲートウェイをスキャンするアンチウイルスエンジン、エンドポイントのアンチウイルス、またはネットワークへの可視性を通じて、悪意のあるドキュメントによって生成されたネットワークアーティファクトのコマンドとコントロールを捕捉することで検出され得たでしょう。複数のコントロールは攻撃を捕捉するチャンスを増やします。」
Attiyaは次のように付け加えています。「これらのツールの多くはすでにMicrosoft Windowsフレームワーク内にあります。通常、これらは管理者がシステムを制御するために使用されますが、攻撃者も同様の、ただし悪意のある目的でこれらを使用することができます。」
Attiyaによると、「このステップを、攻撃者が初めて大都市を訪れる観光客のように考えてみてください。彼らは人々に場所の行き方を尋ね、建物を調べ、通りの標識をチェックし、自分たちの方向を学ぶことにしています。これが攻撃者がしていることです。」
価値あるリソースが特定されると、以前に追加されたツールを使用して、侵害されたシステムの複数のユーザーの認証情報を抽出します。これにより、攻撃者は横断移動の準備ができます。
With the credentials, the attacker moves laterally across the network, accessing other systems. The attacker’s goal is to expand their foothold by getting to as many users and devices as possible and with as high privileges as possible. This enables them to hunt for sensitive files they can exfiltrate. If the attacker obtains the administrator’s credentials, for example, they can obtain access to large parts of the network. In many cases, the attacker might proceed slowly and schedule tasks for a later period of time to avoid being detected. This allows attackers to advance in the network for months without causing suspicion and being identified.
Here’s the continuation of the translation into Japanese:
認証情報を使用して、攻撃者はネットワークを横断し、他のシステムにアクセスします。攻撃者の目標は、できるだけ多くのユーザーとデバイスにアクセスし、可能な限り高い権限を得ることで拠点を拡大することです。これにより、攻撃者は抽出可能な機密ファイルを探すことができます。例えば、攻撃者が管理者の認証情報を取得した場合、ネットワークの広範囲にアクセスすることができます。多くの場合、攻撃者はゆっくりと進行し、検出されるのを避けるために後の時期にタスクをスケジュールすることがあります。これにより、攻撃者は数ヶ月にわたってネットワーク内で進行し、疑いを持たれたり特定されたりすることなく活動を続けることができます。