(2023/09/22)
https://www.cyberark.com/resources/blog/the-mgm-resorts-attack-initial-analysis
「得られた教訓と緩和戦略
セキュリティ対策を強化し、同様の攻撃を軽減するために、組織は次の戦略を検討する必要があります。
1. 影響を封じ込める
特権アカウントの露出を最小限に抑えることは、フィッシングの試みを軽減するために不可欠です。IT管理者は、特権アクセス管理(PAM)ソリューションを使用して、攻撃(ビッシングを含む)による侵害のリスクを軽減する必要があります。組織は、該当する場合はゼロスタンディング特権(ZSP)の実装も検討する必要があります。
私たちは、「文字通り存在しない認証情報をハッキングするのは難しい」と言いたいのです。内部または外部の侵害は引き続き発生する可能性がありますが、これにより専用のエンドポイントへの攻撃が含まれるため、露出を最小限に抑え、インシデント対応を支援することができます。
2. MFA制御の改善
MFAデバイスの変更を可視化することは不可欠です。お客様が監視する特定のログをセキュリティ情報およびイベント管理 (SIEM) システムに実装すると、異常な認証アクティビティを検出して対応するのに役立ちます。さらに、デュアル コントロール機能を実装すると、重要なアクションに対して複数の承認が必要になるため、セキュリティを強化できます。
3. Tier 0の資産を保護する
Tier 0の資産は、署名キーや重要なインフラストラクチャへのアクセスなど、保護する必要があります。フェデレーション サーバーにエンドポイント特権セキュリティを実装すると、資格情報の盗難の試みから署名キーを保護するのに役立ちます。さらに、プロキシへのアクセスを制限することにより、Tier 0資産への不正アクセスとデュアルコントロールを防ぐことが重要です。
4. IdPのベストプラクティスを採用する:
· ユーザーが MFA 要素を変更/変更できるようにする前に、MFA コントロールを実装します (つまり、登録されている MFA 要素の 1 つを変更する前に、現在の MFA 要素を提示する必要があります)。
· ヘルプデスクの検証制御を採用します (つまり、ヘルプデスクは、ユーザーが既存の登録済み MFA 要素を通じて ID を確認した後にのみパスワードをリセットできます)。
· ユーザー(特に管理者)にIdPへのアクセスを許可する前に、必ずユーザーのデバイスの登録/コンプライアンスを確認してください。
· ネットワーク内のセキュアゾーンを特定します。期待に応えていないIdPへのネットワークトラフィックを理解します。セキュアゾーンの外部で実行できるアクションを制限します。
· IdP管理者アカウントは、データベース/ドメイン管理者アカウントと同じ方法で管理します(つまり、管理者パスワードのローテーション、管理セッションの監視/分離、資格情報にアクセスするための二重アクセス制御の実施などの特権アクセス制御を通じて)。
· IDプロバイダー(IdP)の変更など、信頼の変更を監視することは、疑わしいアクティビティを検出するために不可欠です。組織は、信頼の変化を追跡および分析するために特定のログを実装することを検討する必要があります。これにより、潜在的なセキュリティ侵害に関する貴重な洞察を得ることができます。
最終的な考え(今のところ)
一連のミスが、最終的にここ数年で最も目立ち、ブランドを損なう攻撃の1つにつながりました。同様の攻撃を軽減するために、組織は特権アカウントの露出を最小限に抑え、MFAなどの強力な認証手段を実装し、Tier 0資産の保護、信頼の変化を監視し、進化するサイバー脅威の最新情報を入手することに注力する必要があります。やるべきことはたくさんありますが、今日のデジタル環境において、組織がセキュリティ対策を継続的に改善し、ベストプラクティスに従うことが重要です。
」
