標的型サイバー攻撃への対策

深刻化する標的型サイバー攻撃について

標的型攻撃の対策を考えるときに重要なことは過去の攻撃の特徴を理解して、セキュリティ強化に取り組む企業や組織で必要となる対策を把握することです。

また、対策に取り組む際は攻撃されにくい環境の実現と、攻撃、もしくは攻撃の一部が成功しても被害を大きくしない工夫をバランスよく実現することが重要です。これまで多く場合、一部の対策に頼ったり、複数の対策の特徴の把握が不十分なままに取り組むことがありました。攻撃の特徴から攻撃を成功させにくい仕組みを、エンドポイントやネットワークの視点で考えたり、異なるセキュリティテクノロジーを組み合わせることで、攻撃の官僚や被害の拡大を最小限にすることができるようになります。

標的型サイバー攻撃の特徴

はじめに、攻撃に関する目的、動機から特徴を区分します。特に注目度が高まっている昨今の深刻な標的型のサイバー攻撃の特徴は特定組織や個人の持つ機密情報を得るために詳細な事前調査をしていることです。今回は特定組織、個人の機密情報搾取、重要機能の停止などを目的とするようなサイバー攻撃を取り上げます。

従来型→標準型標的型サイバー攻撃の特徴のイメージ

標的型サイバー攻撃の対策ポイント

攻撃成功の可能性を限定的にすると同時に、被害を最小化するための仕組みを作る事が重要です。
このような攻撃の対策は技術のみに頼らず、注意を促したり現状の確認など、基本を見直すことが重要です。そして、その取り組みをセキュリティ運用の中に取り込むことができれば、攻撃による被害を小さくできる可能性が高まります。マカフィーが推奨する主な確認事項を以下にまとめました。

標的型サイバー攻撃の対策ポイントのイメージ1

状況確認の次に必要なのは対策です。高度な標的型攻撃は対象を詳細に調査した上で攻撃を実施するため、常に完璧に防御するのは難しいことを理解する必要があります。
この事実は対策の手を抜いても良いと言う意味ではありません。

標的型サイバー攻撃の対策ポイントのイメージ2

標的型サイバー攻撃の対策例

エンドポイント対策

エンドポイント制御は、最も直感的で、一般によく知られているソリューションです。エンドポイントセキュリティでは、ブラックリスティングやダイナミックホワイトリスティングといった技術を組み合わせることで、既知および未知のマルウェアを阻止し、さらにはそのインストールを禁止することもできます。ホワイトリスティングでは、明確に許可されていないソフトウェアのインストールを禁止することができるので、未知の脅威に対しても有効です。また、悪意あるプログラムを間違えてダウンロードした場合も、それらを検出して阻止することが可能です。多くのエンドポイント制御は、TCP/IPスタックやシステム内部を行き来するネットワーク活動を監視し、その情報を相関させて、C&C(コマンド & コントロール)サーバーが存在することを示す、不正なシステム活動やネットワーク活動がないか判定することができます。

対策でエンドポイントへのセキュリティ実装はなぜ重要なのでしょうか。エンドポイントは基本中の基本です。攻撃ベクトル、被害者、盗まれるデータの種類を問わず、多くの場合、攻撃の最初の目標は、エンドポイントに不正侵入することなのです。1台のエンドポイントがハッキングされると、それを利用してネットワーク上の他のエンドポイントも攻撃対象になります。エンドポイントセキュリティをしっかりと装備することにより、エンドポイントにおける脆弱性の悪用やマルウェアのインストールを防ぐだけでなく、不正侵入されるシステム数も軽減することができます。

ウイルス対策とホスト型IPSの併用

対策製品:
デスクトップ/サーバ用ホスト型不正侵入防御システム
McAfee Host Intrusion Prevention

SQLインジェクション、不正なアプリケーションの利用、脆弱性を利用した攻撃、Bot等の脅威からプロアクティブにクライアント/サーバーを防御するホスト型不正侵入検知・防御ソリューションです。

関連情報:McAfee Blog「終わりのないゼロデイ報道

ホワイトリスト型対策の導入

対策製品:
ホワイトリスティング技術によるアプリケーション実行制御
McAfee Application Control

デスクトップ、サーバーに対して、ホワイトリスティング技術を用いて、アプリケーション制御を提供します。

システム変更作業に対する監査と制御
McAfee Change Control

デスクトップ、サーバー、ネットワーク機器、データベースに対して、リアルタイムでのシステム変更を検知・制御します。

ネットワーク対策

標的型攻撃に対処するための特有のアルゴリズムがいくつかあり、ファイアウォールとIPS(不正侵入防止)ソリューションの両方で利用することができます。これらのアルゴリズムは、インバウンドとアウトバウンドの活動に基づいて攻撃の兆候を検出するものです。さらに、メールやWeb経由で発生する一般的なセキュリティ侵害に対しても、プロアクティブなスキャンを利用した専用のマルウェア対策エンジンによって、難読化されたコードをブロックすることが可能です。高度なマルウェアの多くは、難読化が施された状態でメールやWebといったルートを通過します。

ネットワークセキュリティは、RAT(Remote Access tool)活動などの悪意ある振る舞いを検出するだけでなく、C&Cチャンネルに多い、トラフィックの難読化を解除して、解析を可能にする目的でも使用可能です。また、これらのソリューションを脅威インテリジェンス情報で強化すると、脅威がネットワークに到達する前にその存在を検知できるため、フィルタリングやリダイレクトなどを使用してセキュリティリスクを緩和することができます。更には、悪意あるビットの処理で手一杯になっていたアセットを解放し、ネットワークやシステムの性能にプラスの効果をもたらします。

対策で、ネットワークセキュリティ実装はなぜ重要なのでしょうか。そもそも、攻撃がどのようにしてエンドポイントに到達するのかというと、インターネットや内部ネットワークを通ってやってきます。従って、多層化された、脅威インテリジェンス情報で強化されたネットワークセキュリティを配備することによって、攻撃がエンドポイントに到達する前に緩和することが可能になります。多くの場合、攻撃はソーシャルエンジニアリングを好んで利用するため、IPSやファイアウォールに加えて、悪意あるコードを検出およびフィルタリングすることができる、メールセキュリティやWebセキュリティが必要です。

入口対策の強化
出口対策の強化

対策製品:
ネットワークIDS/IPSアプライアンス
McAfee Network Security Platform

公開サーバーへの攻撃対策、内部ネットワークの重要サーバーセグメントの脆弱性予防はもちろん、ワーム、ボット、P2Pなどの通信をネットワーク上でリアルタイムに検知、予防します。

エンタープライズ向け 統合Webセキュリティアプライアンス
McAfee Web Gateway

エンタープライズレベルのセキュリティを維持しながら、Web 2.0機能を活用できます。Web Gatewayは、複合型脅威やスパイウェア、さらにターゲットを絞った攻撃に対する強力でプロアクティブな防護を実現します。

データセキュリティ対策

対策として、エンドポイントセキュリティとネットワークセキュリティは必要ですが、同時に、攻撃の対象であるデータに焦点を絞ったセキュリティが必要です。そして、機密データの漏えいを防止し、犯罪立証に必要な情報を取得するための最善の方法は、DLP(Data Loss Prevention)が不可欠です。DLPには、暗号化ソリューションとDAM (データベースアクティビティ監査)のような、データベースの構造化データを保護するソリューションが必要です。DAMは、一部のネットワークセキュリティが見逃しがちな、データベースを主たるターゲットにした攻撃への対策として有用です。DAMは、ホスト型DLPやネットワーク型DLPとともに用いることにより、保存データ、移行中のデータおよび使用中のデータを相乗的に保護することができます。

データセキュリティの実装はなぜ重要なのでしょうか。理由は非常に単純で、データこそが狙われている機密情報だからです。エンドポイントが侵害され、攻撃が様々なネットワークセキュリティを回避したとしても、DLPによって実現されるデータセキュリティによって機密データを暗号化し、機密データがネットワークや格納されているホストから外に出ることを拒絶することによって、データの不正使用を防ぎます。

セキュリティ管理

エンドポイントセキュリティ、ネットワークセキュリティおよびデータセキュリティによって、強力なリスク緩和が実現されるとしても、それぞれのセキュリティが個別に存在するのであれば、余り有効ではありません。各分野のセキュリティが能力を発揮するためには、複数の製品、サービス、パートナーシップを統合して、一元化された効率的かつ効果的なフレームワークが必要です。単独のソリューションでは深刻化する攻撃に対処できませんが、その対策を可能にするフレームワークは存在します。

効果的な セキュリティフレームワークには、既知の悪質なIP、URL、メール、ファイルなどを特定し、組織のシステムに侵入する前に阻止できるようにする、レピュテーション情報が不可欠です。また、システムやデータといったアセットのディスカバリー、自環境の脆弱性の把握、導入済みの対策の理解、すべてのセキュリティ制御にわたって管理、分析、応答および報告を中央でコントロールするための一元化されたコンソールが有効に機能します。



まとめ

大切なことは情報収集にとどまらずに調査を行うことです。また、一度の調査で終わりではなく、定常的にシステム全体の脆弱性を把握しコントロールする仕組みを運用に取り込むことです。セキュリティの世界では多層防御の重要性は昔から認識されています。特に脅威が深刻化するに従い、ネットワークセキュリティとシステムセキュリティ、ブラックリスト型とホワイトリスト型の組み合わせなど多層の防御手段を講じること、攻撃の一部が成功しても完了させないこと、また攻撃が成功し被害が発生しても被害が小さいうちに検知し食い止めるという発想や工夫が必要になります。

組織内部の弱点をねらう攻撃対策

  • 攻撃が成功しにくい環境の構築
  • 一部の攻撃が成功しても被害が大きくなる前に検知し対策できる仕組み
  • 教育の徹底
  • ポリシーの管理
  • 脆弱性の効果的な管理
  • 機密データの保護
  • 異変、セキュリティ関連アラートの管理と対応プロセスの確立

お問合わせはこちらから