この記事では、APT攻撃の特徴、「敵」の偵察、攻撃の武器と方法、脆弱性の悪用、攻撃中の指揮統制について理解しました。今回は、APT攻撃におけるデータ流出の後段について説明します。APT攻撃の最終段階でもあるこの段階で、APT攻撃活動が停止していなければ、データはすぐに流出する可能性が高いのです。
データ流出はAPT攻撃の最終ステップであり、攻撃者がこのステップを完了した場合、組織は大きな損失に直面することになります。標的とされたデータが特定された後、そのデータはコピーされ、C2チャネルを通じてネットワーク外に移動されるか、場合によってはネットワークの別の領域にコピーされ、再び外に移動されます。この時点から、組織はパッシブ攻撃と標的型攻撃の両方を簡単に見分けることができるようになります。
前述したように、パッシブ攻撃は移動が多く、レイヤー防御はこのような攻撃を容易に検知することができます。一方、標的型攻撃は正反対です。
標的型攻撃キャンペーンの背後にいる攻撃者は、できるだけ目立たないようにするため、大規模なデータダンプは考えにくい。標的型攻撃では、データは通常のトラフィックに偽装され、C2チャネルを通じてネットワークから流出します。
前回のC2の記事で、機会攻撃は一般的に評判の悪い通信チャネルを悪用すると説明しました。感染したホストごとに、攻撃者は容易に認識できる同じチャネルを使用します。
この機会攻撃は、現地の法律がそのようなデータ使用を禁止していない可能性のある、他国のデータセンターのサーバーにデータを流出させます。このような場合、ISPからの支援は期待できません。つまり、ネットワークからデータが流出するのを止めなければ、たとえデータの流出を発見したとしても、この情報は法的にはあまり役に立ちません。
標的型攻撃は、データを保存するための正規のサーバーを攻撃します。多くの場合、感染したサーバーの管理者は、自分たちの所有物ではないデータをホストしていることに気づかないことがあります。
流出の段階では、最善の防御策は認識です。どのようなデータがネットワークに出入りしているかを知る必要があり、アウトバウンド・トラフィックとインバウンド・トラフィックの両方を監視することが重要です。
DLPソリューションは、流出フェーズに対処するために使用することもできます。DLP製品を設定すれば、ネットワークトラフィックを監視し、制御することができます。受動的攻撃や標的型攻撃が通信を隠すために使用する可能性のある不正な暗号化を検出できます。また、異常なトラフィックパターンも検出できます。
さらに、ユーザーアカウントの活動を監視することも、正当なアカウントが異常な活動を示す可能性があるため、防御策として使用することができます。
C2フェーズで使用されるのと同じ防御策は、IPアドレスに基づくアクセスのブロック、IPSおよびIDSシステム、ファイアウォールルールの適用など、流出フェーズでも使用することができます。これらのルールは、ワークステーションやネットワークセグメントに適用することもできます。
流出プロセスをキャプチャしたと仮定すると、ログは何が起こったか、どのように起こったかなどを特定できるため、ロギングはインシデント対応にとって重要なリソースとなります。多くの場合、受動的攻撃や標的型攻撃では、攻撃者を特定することが重要ですが、実際にはこれは不可能であり、問題は事実よりもむしろ推測に大きく基づいています。
どのような防御策を用いるにせよ、最良のアプローチはインシデントを未然に防ぐことです。ASDは4つの防御策を採用し、ネットワークの必須要件として指定しています。この4つの必須対策は以下の通りです:
1.アプリケーションのホワイトリスト
2.サードパーティソフトウェアのパッチ管理
3.オペレーティングシステムのパッチ管理
4.権限管理
どちらのタイプの攻撃にも対処する最善の方法は、防御を重層化することです。知覚と可視化は、迅速な対応と被害軽減の鍵です。執拗な攻撃キャンペーンは最終的には成功しますが、攻撃者にとってより困難なものとなり、損失を減らすことができます。重要なのは、リスクを考慮し、組織のニーズに合ったセキュリティ計画を策定し、APTを恐れないことです。
