模擬標的型攻撃によってあぶり出された脆弱なポイントとは
ターゲット企業は大手重要インフラ事業者であり、ゲートウェイセキュリティはもちろん、IPSやWAF、ポリシー管理、外部ベンダーのマネージドセキュリティサービス(MSS)、SOCやCSIRTの構築など、民間企業としてはかなりしっかりとした多層防御とセキュリティ体制を敷いていた。それでもなお、準備から攻撃実行、目的達成まで、サイバーキルチェーンでおよそ100項目が用意された攻撃行動のうち、半分が成功してしまったという。
その原因は何だったのか。神薗氏はまず、公開サーバーにおける新しい脆弱性への対応や、業務PCのパッチ適用に遅れがあったことを指摘した。
「特に大規模システムの場合は、対応までにどうしても時間がかかってしまう。公開サーバーに対する脆弱性攻撃は、なるべく検知されるように、また(検証のために)大量のログを残すよう派手に実行したものの、気づいたのはMSSのみだった」(神薗氏)
もう1つの原因は、未知の脅威を検知できなかったことだ。ターゲット企業はサンドボックス型製品を導入していたが、疑似RATや独自のドライブバイダウンロードサイトとの通信も、攻撃から1週間たってようやく検知できたという。
さらにログ保全が十分ではない、保全したログが整理できていない状況も明らかになった。「運用マニュアルにはログ保全が明記されているが、攻撃検知に必要なログがなかったり、検知のための手法やロジックが確立されていなかったりした」(神薗氏)。
制御系システムにおいても、クローズドなはずなのにメール受信できる端末が多数存在したり、業務PCでは禁止されているUSBメモリが利用できたりと、多数の不備があることが浮き彫りとなった。
神薗氏は、レッドチーム演習のメリットを「人」「プロセス」「テクノロジー」の3つにまとめた。SOCやCSIRTの有効性を把握し、その視点を理解する「人」を育てるメリット、運用ポリシーやマニュアルの実効性、体制の脆弱な部分など「プロセス」を見直せるメリット、ログやアラートに対する期待値とのズレ、チョークポイント(攻撃者が必ず通るポイント)の認識など「テクノロジー」面での強化ができるメリットだ。
2月から提供を開始した同演習サービスだが、すでに引き合いも多いという。神薗氏は、上述の重要インフラ事業者における演習では、制御系システムの仲間で踏み込んだ疑似攻撃は実施しなかったが、「現在協議を進めている案件では、さらに奥まで踏み込んだ演習を検討している」と語り、こうした本格的なサイバー防御演習が企業や組織に求められていることを示した。