Rodman Ramezanian - エンタープライズクラウドセキュリティアドバイザー
2022年6月9日 7分で読めます
LAPSUS$は、企業のIT部門やカスタマーサポートなどの人的弱点を悪用することがよくありました。他のケースでは、ダークウェブのマーケットプレイスからすでにハッキングされたログイントークンを購入していました。通常、一部のサイバーセキュリティ専門家はこれらを低レベルの脅威と見なすかもしれませんが、現実は、ハッカーをより脅威にするのは高度な技術だけではありません。彼らの大胆さもまた要因です。

ソーシャルエンジニアリングの手口やSIMカードスワッピングから、巧妙なフィッシング攻撃、そして内部従業員の公然とした誘惑に至るまで、Lapsus$のオペレーターは提供されたリソースを利用し、VPNやVirtual Desktop Infrastructure (VDI) といった一般的な手段を通じて企業ネットワークへの足がかりを得ます。
これは、人間があなたの組織で働いている限り、ソーシャルエンジニアリングに対して脆弱であるという事実を鮮明に浮き彫りにします。誰もが清廉潔白であると見なすべきではありません。クラウドリソースに対する直接的な意味合いは、人々が職務を遂行するために実際に必要とする最小限のアクセス許可にまで権限を削減すべきだということです。クラウドは通常、非常に機密性の高いリソースを保存しているため、侵害される可能性のある誰か(事実上すべての人!)に過剰な権限を提供することは、組織の最も重要な資産を不必要に露出させる原因となり得ます。
主に大規模なソーシャルエンジニアリングと操作技術を用いて、Lapsus$グループは世界中で多数の被害者リストを積み上げてきました。興味深いことに、これらのインシデントには共通のアプローチがあります。それらはすべて有効な認証情報の使用を含み、最終的にそのIDに付与されたあらゆる権限を悪用していました。これらの攻撃は、認証(あなたは誰か?)と認可(あなたは何ができるか?)がセキュリティ体制にとって極めて重要であることを明確に思い出させます。最小特権の原則とゼロトラストの原則は、これまで以上に適用されるべきです。
認証と認可のために最善を尽くしても、意欲的な内部関係者の手によって侵害は依然として発生する可能性があります。
そこで疑問が生じます。「信頼され、認可されたエンティティの行動が悪意のあるものかどうかをどのように判断するのか?」権限セットは、時間の経過とともに徐々に拡大していくという厄介な傾向があります。

Zero Trust Network Access (ZTNA) アプローチの一環として、組織はネットワークをセグメント化し、リクエスト元のデバイスのポスチャ評価を行い、アプリとリソースへのアクセスをコンテキストに基づいてプロビジョニングする (Data Loss Prevention (DLP) およびRemote Browser Isolation機能を使用) ことが推奨されます。
内部脅威という不幸なケースでは、異常ベースの検出と行動分析機能は、その特定のコンテキストにおける「通常の活動」のベースラインを構築することで、異常で潜在的に危険な行動を特定し、軽減するのに役立ち、最終的に異常や逸脱を浮き彫りにし、迅速な対応を可能にします。

しかし、もちろん、セキュリティは単なる技術的な制御の集合体ではありません。セキュリティ担当者は、社内外の利害関係者や信頼できるエンティティが使用する権限、プロセス、手順を見直す必要があります。前述の攻撃は、セキュリティ業界にこれらの基本を重視するよう促しました。
サイバーセキュリティ業界で11年以上の豊富な経験を持つ Rodman Ramezanian は、Skyhigh Security のエンタープライズクラウドセキュリティアドバイザーであり、技術アドバイザリー、イネーブルメント、ソリューション設計、アーキテクチャを担当しています。この役割において、Rodman は主にオーストラリア連邦政府、防衛機関、および企業組織に焦点を当てています。
ロッドマンは、敵対的脅威インテリジェンス、サイバー犯罪、データ保護、クラウドセキュリティの分野を専門としています。彼はオーストラリア信号局 (ASD) が認定するIRAP評価者であり、現在、CISSP、CCSP、CISA、CDPSE、Microsoft Azure、およびMITRE ATT&CK CTIの認定資格を保有しています。
率直に言って、ロッドマンは複雑な事柄を簡単な言葉で説明することに強い情熱を持っており、一般の人々や新しいセキュリティプロフェッショナルがサイバーセキュリティの「何を、なぜ、どのように」を理解するのを助けています。