(02/08)
https://www.cyberark.com/resources/blog/apt29s-attack-on-microsoft-tracking-cozy-bears-footprints
「同様の攻撃を防ぐために組織ができること
非本番環境の保護
IT組織が犯しがちな間違いの1つは、保護が不十分な開発環境がインターネットに公開され、脅威アクターがアクセスできるようになることです。これらの環境はセグメント化し、組織の境界の外部から簡単にアクセスできないようにする必要があります。組織は、本番環境のサイバーセキュリティ制御を非本番環境に拡張する必要がありますが、ベストプラクティスに従わないとデータ侵害が発生します。
私が目にするもう1つのよくある間違いは、テスト環境で感度の低いデータを使用し、簡単に流出を許すことです。エンド ユーザーの電子メールと添付ファイルは、従来のテナントに存在しませんでした。それでも、Microsoftは、本番環境とこのレガシーテナントで同じ資格情報を使用したことを認めています。脅威アクターがピボットして本番データにアクセスできるようになったのは、特権認証情報を再利用し、非本番環境と本番環境をセグメント化しなかったためです。
組織は、環境を実装するユーザーがベスト プラクティスに準拠していることを暗黙的に信頼できないため、MFA などの複数の制御を運用環境の外部に拡張する必要があります。MFAが重要であることは誰もが知っています。とはいえ、世界最大のテクノロジー大手の1つを含む多くの組織は、少なくともこの場合、それを正しく使用していませんでした。さらに、システムは常に安全に設定されているとは限らないと想定する必要があります。設定ミスやアカウントの過剰プロビジョニングは避けられないため、サイバーセキュリティに対して多層防御のアプローチを取ることを説いています。最小特権や MFA などの制御を非本番環境に活用することは非常に重要です。
Identity Threat Detection and Response(ITDR)の実装
ATP29によるMicrosoftへの攻撃は、ITDRが組織にとっていかに重要であるかを示す教科書的な例です。
プロキシを使用したパスワードスプレーによる初期アクセスから始まり、MFAの欠如が続き、特権的なOAuthアプリケーションの作成は、最終的には機密性の高い権限を持つユーザーアカウントの生成につながりました...これらのアクションはすべて、検出と対応の可能性を秘めていました。
サイバーセキュリティのすべての要素と同様に、ITDR機能は、攻撃が検出されるのを待つのではなく、リスクを事前に軽減するIDファブリックに緊密に統合されている場合、より効果的です。CyberArk LabsはITDRの世界でプロジェクトに取り組んでいますが、私たちが提案するITDRルールのリストが攻撃のほとんどの側面をカバーしていることをお知らせします。
防御側は、上記の「少量」のスタイルの攻撃に対するパスワードスプレー検出の有効性を再評価する必要があります。OAuthに重点を置くことで、このような検出の重要性と、オンプレミスとクラウドの両方の側面をカバーする包括的なITDRソリューションの必要性が強調されています。
追加の防御策には、資格情報の再利用を防ぎ、組織のポリシーに従ってすべての資格情報を一貫してローテーションするための制御が含まれます。最後に、危険なコマンドの入力を検出することで、横方向と垂直方向の動きを制限することで、この攻撃のリスクをさらに減らすことができたはずです。
セキュリティ チームは、人間以外のエンティティと人間のエンティティ間のすべての偽装アクションを慎重に確認する必要があります。OAuth アプリケーション承認プロセス (同意) の管理者権限が必要です。
推奨される ITDR 検出と対応
次の推奨事項は、パスワード スプレー攻撃、OAuth の不正使用、およびその他の悪意のあるアクションに対応しています。次のイベントをモニタして検出できます。
· MFA なしでログインする (それに応じて自動的に応答する)
· 認証資格情報の再利用と強制ローテーション
· OAuth アプリケーションの疑わしい作成または再アクティブ化
· OAuth アプリケーションのアイドル状態のアクティビティ
· ユーザーに付与された新しい管理者権限で、権限の変更と追加のための承認された組織プロセスからの逸脱との相関関係を追加しようとする(例:ITサポートチケットを開くか、MFAで再度認証する必要性)
· 事前の明示的なユーザー認証 (またはセッション開始イベント) のないユーザーのアクティビティ
· 事前の MFA チェックなしの MFA 設定済みユーザーの動作
· 使用された credentials\tokens\cookie の有効期限が過ぎたために失敗したアクション
· 悪意のあるコマンドの入力
· 特権アクセス管理ソリューションをバイパスしようとする試み
· プロキシを使用したユーザーログイン
今こそ(そして常に)行動する時です
Microsoftに対するこの最近の攻撃は、国家の脅威アクターによる永続的で巧妙な脅威をはっきりと思い出させます。そして、Cozy Bearから見るのはこれが最後ではないでしょう。Microsoftの侵害発表から数日後、他の組織もこの脅威アクターの被害に遭ったと発表しました。CyberArk Labsは、これらの侵害の兆候が誰にでも利用可能になった今、さらに多くの攻撃が公開され続けると予想しています。また、脅威の状況は単一のアクターや国家に限定されないことを認識することも重要です。他の国々も積極的にサイバー能力を開発・改良しており、さまざまな動機で同様の攻撃を仕掛ける準備ができています。
この攻撃は、サイバー戦争の未来を垣間見るものでもあります。これは、サイバーセキュリティに対する警戒、協力、投資の強化を求める行動を呼びかけるものです。迫り来る国家によるサイバー攻撃の脅威は私たちの注意を必要としており、今こそ自分自身を強化する時です。これらの警告を無視することは、私たちの危険を冒すことになります。グローバルコミュニティとして、私たちは国家によるサイバー攻撃の脅威からデジタルインフラを守るために、一丸となって取り組まなければなりません。
」