APT(Advanced Persistent Threats:高度な持続的脅威)は、その検知が非常に困難であることが知られており、その対策は絶望的な戦いのように思われます。現在では、APT攻撃は国家や国家が直面する問題だけでなく、もはやスパイ活動や軍などの政府に対する攻撃だけに焦点を当てたものではなく、IT、エネルギー、ニュース、通信、製造業などの経済セクターをターゲットにしたAPT攻撃が始まっています。
パロアルトのシニア・セキュリティ・アナリストであるウェイド・ウィリアムソン氏は、次のように述べています。しかし、APTに対処する方法はまだあります。"
Williamson氏は、APTを効果的に検知・防御するためにはテクノロジー以上のものが必要であり、必要な最大の変革は戦略であり、セキュリティは規律へと進化しなければならないと同意しています。
セキュリティの専門家は、好奇心を持ち続け、いつもと違う行動を探し、それが何を意味するのか、どのようにそれに飛び込むべきなのかを自問すべきです。自動化されたセキュリティは悪いものを阻止するために必要ですが、斬新な攻撃行動を探すためには、革新的なセキュリティの専門家も必要です。
高度な持続的脅威に対抗するための6つのヒントを見てみましょう:
1.ビッグデータを分析・テストに活用
RSAのエグゼクティブ・チェアマンであるArt Coviello氏は、2013年のRSAカンファレンスで、「防御モデルからのシフトが必要です。Seculert社の創設者兼CEOであるAviv Raff氏もこれに同意し、ネットワーク境界から防御することは不可能であり、組織は攻撃を検知するために分析したデータに注目しなければならないと述べています。そこで、ビッグデータ分析が役に立ちます。
もちろん、これは組織が分析ツールに投資する必要があることを意味します。DamballaのCTOであるブライアン・フォスター氏は、次のように述べています。「IT部門には、攻撃をタイムリーに検出するために必要な自動化ツールがありません。"
ビッグデータは検知に役立ちますが、ここで最も重要な点は、攻撃が複数のテクノロジーに拡大していることです。
2.適切な人々との情報共有
アントン・チュヴァキンによれば、攻撃者はデータやヒント、テクニックを共有しています。
企業は、攻撃者を優遇することなく、また情報共有に関わる法律や規制要件に違反することなく、攻撃からの防御に役立つ方法で情報を共有すべきです。
しかし、情報の共有には、法的な配慮に加え、経済的な制約もあります。
3.APT攻撃チェーンの理解
これは、APT攻撃の段階を説明するために使用されるモデルで、偵察、武器化、配信、脆弱性の悪用、インストール、コマンド&コントロール、アクションが含まれます。これは基本的に強盗に似ており、泥棒は強盗を行う前に建物の偵察などの活動を行います。
組織が攻撃を早期に検知すればするほど、攻撃を阻止できる可能性が高まることは明らかです。このようなキルチェーンを理解し分析することは重要であり、企業が必要な段階で適切な防御策を導入するのに役立ちます。
4.感染の指標を探す
これは「APT攻撃の連鎖」を理解することにつながります。どの組織もすべての攻撃を阻止することはできないため、ITチームは異常な活動を探す方法を知っておく必要があります。これには、APTがネットワークの外部と通信している可能性のある独自の方法を探すことや、奇妙なDNSクエリやコンタクトサイトがメーカーのIOCであることを探すことも含まれます。
APTは多くの場合、それらに基づいたカスタム・ツールを求めており、これは通常、IT部門にAPTと通常のトラフィックを区別する要因を提供します。APTは通常、リモート・デスクトップ・アプリケーション、プロキシ、暗号化されたチャネルなど、さまざまな一般的なアプリケーションを使用して通信を行います。
これらのアプリケーションやその他のアプリケーションの異常な使用は、APTを突き止めるための鍵となります。もちろん、そのためにはIT部門がネットワークの正常性を完全に理解している必要があります。また、通常とは異なるユーザーの行動を追跡することも有効です。
5.ネットワークのテスト
これには、能動的解析やサンドボックス技術が含まれます。悪意があるかどうかを判断する最善の方法は、実際に実行して、その挙動が悪意があるかどうかを確認することです。
組織には、明らかな脆弱性を修正するための脆弱性管理ツールがありますが、何が間違っているのかを見つけるために、組織独自のネットワークで定期的に攻撃テストを実施することも必要です。
6.APTに関する研修の充実
ブーズ・アレン・ハミルトン社のサイバーセキュリティ・アナリストであるエドウィン・コバート氏は、情報セキュリティ専門家の標準的なスキルだけではAPTに対抗できないことは明らかであるため、組織にはAPTハンターのための新しいトレーニングモデルが必要であると述べています。
CISSP(認定情報システム・セキュリティ・プロフェッショナル)は技術管理者のためのものであり、APTハンターのためのものではありません。
APT ハンターには、ほとんどの管理者やセキュリティ担当者にさえ見えない異常なファイルを発見する能力が必要です。現在、APT防御の人材に対する業界の需要は供給を上回っています。組織はAPT防御の専門家を少なくとも3万人必要としていますが、実際のAPT攻撃に対抗するために必要なスキルを備えているのはわずか1,000~2,000人です。
