ランサムウェア攻撃の頻度は過去数年で倍増し、全侵害の10%を占めています。2022年ベライゾンデータ侵害調査レポートによれば、が侵害の82%において初期アクセスの主要手段であり、ソーシャルエンジニアリングと盗まれた認証情報が脅威アクターの主要なTTPとして機能しています。攻撃者は一貫して有効な認証情報へのアクセスを試み、それらを利用して企業ネットワーク内を検知されずに移動します。こうした課題により、CISOはアイデンティティセキュリティを最優先課題に位置づけるよう迫られている。
従来のIDソリューションでは攻撃の余地が残る
主要な従来型アイデンティティセキュリティソリューションには、アイデンティティおよびアクセス管理(IAM)、特権アクセス管理(PAM)、アイデンティティガバナンスおよび管理(IGA)が含まれます。これらのツールは、適切なユーザーが適切なアクセス権を持つことを保証し、継続的な検証を実施します。これはゼロトラストセキュリティモデルの指針となる原則です。
しかし、IDとアクセス管理は、プロビジョニング、接続、IDアクセスの制御のみに焦点を当てているため、IDセキュリティの出発点に過ぎません。その対象は、初期認証やアクセス制御だけでなく、認証情報、特権、権限、それらを管理するシステムなど、可視性から攻撃の検出に至るまで、アイデンティティのあらゆる側面にまで拡大されなければなりません。
攻撃ベクトルの観点から見ると、Active Directory (AD) は明らかな資産です。AD は、アイデンティティとその主要要素が当然存在する場所であり、それが 攻撃者の標的 であり、セキュリティ上の最重要課題となっています。さらに、クラウド移行が急速に進む中、ITチームが環境全体で迅速にプロビジョニングを進めるにつれ、新たなセキュリティ課題が生じています。
ADの脆弱性とクラウド環境における設定ミスの傾向が組み合わさると、プロビジョニングやアクセス管理を超えた追加の保護層の必要性がより明確になります。
新たな視点からのアイデンティティセキュリティ
現代的で革新的なアイデンティティセキュリティソリューションは、エンドポイントに保存された認証情報、Active Directory(AD)の設定ミス、クラウドの権限の乱立について、不可欠な可視性を提供します。ID 攻撃対象領域管理(ID ASM)および ID 脅威検出・対応(ITDR) は、アイデンティティとそれを管理するシステムを保護するために設計された新たなセキュリティカテゴリーです。
これらのソリューションは、エンドポイント検知・対応(EDR)、拡張検知・対応(XDR)、ネットワーク検知・対応(NDR)、およびその他の類似ソリューションを補完し、連携して動作します。
ID ASMは、攻撃者が悪用できる露出を制限するために、アイデンティティの攻撃対象領域を縮小することを目指します。露出が少ないほど、IDの攻撃対象領域は小さくなります。ほとんどの企業にとって、これはオンプレミスかAzureかを問わずActive Directoryを意味します。
EDRがエンドポイントへの攻撃を検知し分析用データを収集する堅牢なソリューションである一方、ITDRソリューションはIDを標的とした攻撃を検知します。ITDR ソリューションは攻撃を検出すると、偽のデータを提示して攻撃者を本物そっくりの偽装サイトに誘導し、クエリを実行している侵害されたシステムを自動的に隔離することで、防御層を追加します。
ITDR ソリューションは、フォレンジックデータの収集や、攻撃中に使用されたプロセスに関するテレメトリの収集を通じて、インシデント対応の支援も行います。EDRとITDRの補完性は、攻撃者の企てを阻止するという共通の目標達成に完璧に適合します。
ID ASMとITDRソリューションは、ネットワーク内で攻撃者が悪用または実行する資格情報の不正使用、権限昇格、その他の戦術を検知します。これらは、IDアクセス管理とエンドポイントセキュリティソリューションの間の重大なギャップを埋め、脆弱な認証情報を悪用してネットワーク内を検知されずに移動しようとするサイバー犯罪者の試みを阻止します。
アイデンティティ脅威セキュリティソリューション
SentinelOneは、特権昇格と横方向移動の検知における豊富な経験を活かし、業界最高水準のソリューションアイデンティティ脅威検知・対応(ITDR)およびIDアクセス管理(ID ASM)分野において業界最高水準のソリューションを提供しています。同社は幅広いITDRおよびID ASMソリューションポートフォリオに基づき、業界をリードする地位を確立しています。
アイデンティティセキュリティ製品:
- Singularity Identity Posture Management:攻撃を示す可能性のあるActive Directoryの脆弱性や活動を継続的に評価します
- Singularity IdentityActive Directory に対する不正な活動や攻撃の検知、認証情報の窃取不正使用からの防御、Active Directory悪用の防止、攻撃経路の可視化、攻撃対象領域の縮小、横方向移動の検知を実現します
IDベース攻撃に関するよくある質問
アイデンティティ攻撃とは、攻撃者がユーザー名、パスワード、認証トークンなどのユーザー認証情報を標的とし、不正にシステムへのアクセスを試みる情報セキュリティインシデントです。攻撃者は技術的な脆弱性攻撃ではなく、アイデンティティ関連データの窃取、操作、悪用を目的とします。
これらは、アイデンティティおよびアクセス管理の脆弱性を悪用し、正当なユーザーを装ったり、ネットワーク内で持続的に横方向に移動したりする攻撃です。攻撃者は正当な認証情報を入手すると、正当なユーザーとして振る舞うため従来のセキュリティを容易に回避し、検出が事実上困難になります。
"代表的な例としては、ユーザーを騙してログイン認証情報を開示させるフィッシングメール、盗んだパスワードを複数サイトで流用するクレデンシャルスタッフィング攻撃、一般的なパスワードを多数アカウントに試行するパスワードスプレー攻撃などがあります。ソーシャルエンジニアリングの手法では従業員を操作して機密情報を漏洩させ、中間者攻撃では通信を傍受してデータを窃取します。
ブルートフォース攻撃は自動化されたツールでパスワードを推測し、ゴールデンチケット攻撃はActive Directoryの脆弱性を悪用してドメインアクセスを取得します。
"アイデンティティベースのアプローチは「なりたい自分」に焦点を当て、アウトカムベースのアプローチは「達成したい結果」を標的とします。セキュリティの文脈では、アイデンティティベースの攻撃は個人のデジタルIDや認証情報を標的として不正アクセスを得ようとするのに対し、アウトカムベースの攻撃はデータ窃取やシステム妨害といった特定の結果の達成に焦点を当てます。
アイデンティティベースの手法は個人のアイデンティティと一致するため持続的な行動変容をもたらしますが、アウトカムベースの手法は目標達成後に効果が失われる可能性があります。組織には両方のアプローチが必要です——アイデンティティに焦点を当てたセキュリティ対策と、結果に焦点を当てたインシデント対応手順です。
パスワード以外の追加認証を必要とする多要素認証を導入することで、これらの攻撃を防止できます。複雑なパスワードではなくパスフレーズを用いた強力なパスワードポリシーは、システムの侵害を困難にします。従業員トレーニングは、被害に遭う前にフィッシング攻撃やソーシャルエンジニアリングの手口を識別する能力をスタッフに付与します。
定期的なセキュリティ監査で脆弱性を特定し、シングルサインオンソリューションで攻撃対象となる認証情報を削減します。異常な活動を検知するためユーザー行動を監視し、全てのアクセス要求を検証するゼロトラストセキュリティモデルを導入してください。
"主なID攻撃の種類には、複数のサイトで盗まれたログインペアを利用するクレデンシャルスタッフィング、多数のアカウントに対して一般的なパスワードを乱射するパスワードスプレー攻撃、認証情報を盗むためのフィッシングメールがあります。ソーシャルエンジニアリングは被害者に情報を開示させる操作であり、ブルートフォース攻撃は自動化ツールを用いてパスワードを推測します。
中間者攻撃は通信を傍受し、Kerberoastingはサービスアカウントのパスワードを標的とし、ゴールデンチケット攻撃はActive Directoryの脆弱性を悪用します。セッションハイジャックはアクティブなユーザーセッションを乗っ取り、特権アカウント侵害は高アクセス権限を持つ管理者の認証情報を標的とします。
"MFAは追加のセキュリティ層を導入し、パスワードが漏洩しても不正アクセスを阻止します。アクセス許可前に、パスワード、モバイルコード、生体認証データなど複数の認証方法の提示をユーザーに要求します。フィッシングやデータ侵害でハッカーがパスワードを入手しても、アクセスには第二の認証方法が必要です。
MFAは、単一のパスワードよりも複数の独立した認証情報を破る必要があるため、侵害リスクを大幅に低減します。MFAを導入した組織は、多くのハッカーが容易に突破できない障壁を増やすことで、IDベース攻撃の成功リスクを大幅に軽減できます。
"
