防御側の考え方
- 多くのネットワーク防御は、敵と接触する前から誤った方向で始まっている
- 防御者は資産を保護し、優先順位を付け、業務機能に応じて分類することに集中する
- 防御者はシステム管理サービス、資産インベントリデータベース、BCDRスプレッドシートなどの資産リストに囲まれている
- 問題は、防御者が持っているのは資産リストではなくグラフだということ
- 資産はセキュリティ上の関係によって互いに接続されている
- 攻撃者はスピアフィッシングのような技術を使ってグラフのどこかに侵入し、グラフを探索して脆弱なシステムを見つける
グラフとは何か?
- ネットワークのグラフは、資産間のセキュリティ依存関係を表す
- ネットワーク設計、管理、使用されるソフトウェアやサービス、ユーザー行動などがグラフに影響する
- たとえば、ドメインコントローラー(DC)を管理するBobのワークステーションが保護されていなければ、DCが侵害される可能性がある
- Bobのワークステーションに管理者権限を持つ他のアカウントも、DCを侵害できる
- 攻撃者はこれらの経路を通じてDCを侵害できる
Malloryの6つの段階
- 攻撃者は侵害された機器で待機し、価値の高いアカウントがログインするまで待つ
- 例示グラフを通じて、攻撃者がどのように高価値資産へ到達できるかを説明する
- ターミナルサーバーを侵害すると、多くのユーザー資格情報をダンプできる
- 攻撃者はグラフを探索し、高価値資産へ移動できる複数の経路を発見する
- 高価値資産を保護するには、すべての依存要素が同じレベルで保護されなければならない
セキュリティ依存関係
- Windowsネットワークでは、ユーザーが特定種類のログオンを行うと資格情報が盗まれる可能性がある
- さまざまな関係がセキュリティ依存関係を生み出す
- 共通パスワードを持つローカル管理者アカウント
- 多数のユーザー向けのログインスクリプトをホストするファイルサーバーやソフトウェア更新サーバー
- クライアント機器にプリンタードライバーを提供するプリンターサーバー
- スマートカードログオン用の証明書を発行する認証機関
- データベースサーバー上でコード実行が可能なデータベース管理者 など
グラフ管理
- 防御者ができること:
- ネットワークを可視化してリストをグラフに変換する
- グラフを刈り込むための制御を実装する
- 大きな接続性を生み出す不要なエッジを点検する
- 管理者数を減らす
- 多要素認証を使う
- ユーザーアカウントが侵害された場合に資格情報ローテーションのアプローチを適用する
- フォレスト信頼関係を見直す
リスト思考の検知
- 防御者は、攻撃者が戦場を可視化するときに優位に立たせてはならない
- 防御者はネットワークに関する完全な情報を持ちうる
- 攻撃者はネットワークを断片ごとに研究しなければならない
- 防御者は、攻撃者がグラフを理解する方法から教訓を得るべきだ
- 現実を見据えて管理することが、備えた防御者の考え方である
追加の読み物
- 複数の攻撃グラフに関する論文:
- Heat-ray: Combating Identity Snowball Attacks Using Machine Learning, Combinatorial Optimization and Attack Graph
- Two Formal Analyses of Attack Graphs
- Using Model Checking to Analyze Network Vulnerabilities
- A Graph-Based System for Network-Vulnerability Analysis
- Automated Generation and Analysis of Attack Graphs
- Modern Intrusion Practices
- Attack Planning in the Real World
GN⁺の要約
- この記事は、ネットワーク防御の考え方と攻撃者のアプローチを比較して説明する
- 防御者は資産リストではなくグラフを通じてネットワークを理解すべきことを強調する
- 攻撃者はグラフを通じて脆弱性を探索し、攻撃経路を見つける
- 防御者はネットワークを可視化し、グラフを管理することでセキュリティを強化できる
- この記事はネットワークセキュリティに関心のある人に有用であり、攻撃者と防御者の思考様式の違いを理解する助けになる
1件のコメント
Hacker News の意見