ブラックリスト：高度な回復力のある脅威の時代のサイバーセキュリティ

商社のデータベース盗難、高度な持続的脅威を利用した産業スパイ、重要なデータのランサムウェアによる人質の取締りに関する豊富なレポートに関連して、情報セキュリティの分野で多くの人が予防措置を放棄し始めた理由が明らかになりました。脅威を特定し、緊急事態にタイムリーに対応することに焦点を当てます。



最新の保護システムの基本は「ブラックリスト」です。 ただし、シグネチャとIPレピュテーションリストを分析するウイルス対策シグネチャは、ブラックリストベースのテクノロジーがすでに効果がないことを例で示しています。 結局のところ、攻撃者はIPを変更したり、新しい実行可能ファイルを作成したりする必要はありません。 ただし、多くの企業はネットワークの拡張を続けており、そのセキュリティはブラックリストに完全に依存しています。 そして、脅威の特定とタイムリーな対応の分野への努力の移転は、ほとんどの攻撃を確実にブロックする方法を学ぶまで状況を改善する助けにはなりません。 さらに、IPv4アドレス空間の枯渇に関連して、数十の異なるドメインがコンテンツ配信ネットワーク（CDN）を介して同じアドレスを使用できるため、IPアドレスのブラックリストをコンパイルおよび維持することは非常に困難です。



大きな損失を引き起こすウイルスの顕著な例はCryptoLockerです。 通常、アーカイブされた実行可能ファイルを含むフィッシングメールで配布されます。 起動すると、アプリケーションは現在のWindowsユーザープロファイルのApplication Dataフォルダーに自身をインストールします。 次に、トロイの木馬はリモート管理サーバーにアクセスし、暗号キーを要求し、到達可能なコンピューター上のすべてのデータを暗号化します。 この後、復号化キーを提供するための金の強要が始まります。 被害者が支払いを望まない、または支払うことができない場合、バックアップからデータを復元する必要があります。 ウイルスの作成者は、実行可能ファイルの新しいバージョンを迅速に生成するためのツールを処理しました。これにより、すべての署名ベースの検出システムが無効になります。 そして、新しい悪意のあるペイロードを生成することはほとんど価値がありません。



CryptoLockerに対処する効果的な方法は、ユーザーのコンピューター上のアプリケーションのホワイトリストを使用することです。 アプリケーションが信頼されていない場合、その実行は許可されません。 残念ながら、ほとんどの実装はあまりにも不快で重いことが判明しているため、このアプローチはあまり人気がありません。 一方では、Windowsのすべての企業およびサーバーバージョンにはソフトウェア制限ポリシーまたはAppLockerがあるため、企業のソフトウェアの追加コストは無視できます。 ただし、ホワイトリスト登録メカニズムを実装するには時間と労力を費やす必要があります。 しかし、そのサポートの費用は、「感染」後の回復の費用を超えません。 そして最も重要なこととして、ホワイトリストはセキュリティ侵害のリスクを繰り返し軽減します。



ホワイトリストは、 Tripwire以来顕著に進化しています。 たとえば、静的ハッシュは変更を識別するために使用されます。 AppLockerなどの新しいソリューションでは、署名、ファイルハッシュ、およびパスルールを使用して、より柔軟なルールを作成できます。 たとえば、署名を使用すると、特定のバージョンから始まるアプリケーションをホワイトリストに登録でき、他のすべてのリリースは規定のポリシーを継承します。



配置パスの制御は、ハッシュやパブリッシャーの制御ほど技術的には効果的ではありませんが、ホワイトリストは管理者以外のアカウントから編集できないため、攻撃者の作業は依然として複雑です。 攻撃者は、自分の「良い」アプリケーションを装ってユーザーをjustすことはできません;特権の転送の脆弱性を悪用する必要があり、目標を達成するのが難しくなります。 さらに、パブリッシャーとプレースメントパスを制御することで、週末のサポートチームは、ホワイトリストに登録せずにすべての時間外勤務アプリケーションに対処できます。 また、クライアントマシンが企業ネットワークに入るとすぐに、VPNにより、リモートユーザー向けに準備された新しいアプリケーションのポリシーを更新できます。

感染費用

いくつかの単純なウイルスによる感染から回復するコストを考慮してください。 ほとんどの企業は、感染したコンピューターを信頼できると見なすことができなくなったため、イメージからシステムを再インストールする必要があると考えています。 たとえば、 System Center Configuration Managerを使用してイメージを作成できます。 感染したコンピューターからデータをコピーし、清潔さをチェックし、画像からシステムをローリングし、コンピューターにデータをアップロードし、技術専門家と最終チェックを行うには、少なくとも2時間かかります。 この時点でユーザーにバックアップラップトップが提供されていても、交換時間はいくらか失われます。 そして、復元されたマシンが彼に返されると、一時的な損失が発生し、システムがユーザーに馴染みのある状態になります。 技術者の1時間は25ドル、ユーザーの1時間は50ドルだとします。 復元の総費用は約150ドルになります。これは、イメージから復元するためのインフラストラクチャ作業の費用をカウントせず、その他の考えられる損害を排除します。 ユーザーにバックアップラップトップを提供するとダウンタイムを短縮できますが、いずれの場合でも、ファイルとデータの交換、転送、およびラップトップへの必要なソフトウェアのインストールの手順により、パフォーマンスが低下します。



800人の従業員を抱える会社の修復費用の比較表：

費用タイプ	ホワイトリストなし	ホワイトリスト付き
イメージからの回復の数とルールの数	毎週1-2台のコンピューターを復元する必要があります	毎週、2〜3個の新しいアプリケーションを調査し、それらのルールを作成する必要があります。
インシデントあたりのコスト	コンピューターの復旧に50ドル	システム管理者の1時間の作業に対して50ドル
性能低下	$ 50保留中のユーザーバックアップ	ユーザーがアプリケーションをホワイトリストに登録するのを待つ25ドル
年間費用	5,200〜10,400ドル、深刻なセキュリティ侵害の高いリスクは考慮されていません	5,200〜6,800ドル

ウイルスが重要なデータに到達した場合、コストは大幅に増加します。 コンピューターフォレンジックは、1時間あたり数百ドルかかる場合があります。 大規模な攻撃中に頻繁に発生するネットワーク全体が侵害された場合、信頼できる検査は100,000ドルを超えることがあります。2014年のデータリークの平均コストは約350万ドルでした。これはすべての企業リーダーにとって悪夢です。

ホワイトリスト価格

ここで、主な費用は、システム管理者がアプリケーションをホワイトリストに登録するのにかかる時間に依存します。 統計によると、1つのアプリケーションの所要時間は30分未満です。 この時点でユーザーが待たなければならない場合、作業コストは2倍になります。 しかし、この場合でも、感染後の最も単純な回復に比べて半分の価格であることがわかりました。 これに、データ漏洩のリスクをさらに複数削減します。これは、ホワイトリストを使用するコストの回収と見なすことができます。



表に示されている年間コストデータは、ホワイトリストの導入前後にアーロンベーリングとカイルサルスが働いている会社で発生したインシデントの統計に基づいて取得されました。 そのIT環境のコンテキストでは、ホワイトリストを維持するコストは感染から回復するコストを超えず、リスクははるかに低くなります。



また、すべての計算は、受け入れられた作業プロセスとその会社の報酬レベルに基づいて行われたことにも注意してください。 おそらく、あなたの組織では、ホワイトリストを維持するコストは復元のコストよりはるかに少ないでしょう。 さらに、最も重要なデータを操作する場合、最も重要な領域でのみホワイトリストの使用を妨げるものはありません。 しかし、最も重要なことはコストを比較することではなく、リスクを減らすことです。 ホワイトリストの主な利点は、サポートのコストが、評判データを含む重要なデータの漏洩による損失の可能性と比較できないためです。

ホワイトリストを実装する

キオスクや小売店の端末など、めったに更新されないシステムの場合、「ゴールデン」イメージに基づいて限定的なAppLockerポリシーを適用できます。 このイメージにあるアプリケーションのみを実行できます。 より動的なシステムでは、管理者のみが入力できるフォルダからのみ実行する許可を使用して、標準ルールと管理者権限の制限を組み合わせることができます。 パブリッシャー制御の助けを借りて、ルールの柔軟性を高めることができます。つまり、信頼できるベンダーによって署名されたアプリケーションのみを実行します。 これはもちろん万能薬ではなく、このシステムには独自の脆弱性があります。 たとえば、スクリプト言語またはソフトウェアのエクスプロイト。 これらの可能性のある侵入ルートはすべて、特別な注意を払う必要があります。



情報セキュリティを確保するためのベストプラクティスによると、エンドユーザーは管理者であってはならず、自分のコンピューターの管理者権限さえ持ってはなりません。 ウイルスは、ソーシャルエンジニアリングから適切に設計されたアプローチを使用して感染することがよくあります。 典型的なトリックには、ユーザーがリンクをクリックする、ドキュメントを開く、またはアプリケーションを直接インストールするように説得することが含まれます。 ユーザーがそのようなtrapに陥ることを明示的に阻止する方法はありません。 これは、コンピューターとネットワークを保護するために、実行可能なコードの委任状のレベルを確認および確認する必要があることを意味します。 さらに、各アプリケーションの正当性を確認できる人はこれを行う必要があります。 この考えは、情報セキュリティ業界の多くの参加者を怖がらせているように見えますが、それでもこれはこれまでで最も効果的な保護方法です。 このアイデアはまったく革新的なものではなく、ITセキュリティの専門家である私たちが既に作成したポリシーと手順の強制的な使用のみを意味します。



エンドユーザーには、適切なバージョンの承認済みアプリケーションがインストールされ、その機能と互換性がテストされたコンピューターが提供されます。 ホワイトリストの使用は、プログラムを識別し、それらを実行するための明示的な許可を提供する必要があることを意味します。 新しいアプリケーションはそれぞれ、最初にホワイトリストに登録してから、マシンまたはネットワーク化された作業環境に展開する必要があります。



VPNを使用すると、ローカルおよびリモートの両方でホワイトリストをすばやく展開できます。 既定では、Program FilesまたはWindowsフォルダーにインストールされているアプリケーションを実行できます。 パブリッシャーコントロールを使用すると、信頼できるベンダーが署名したコードをインストールして実行できます。 これにより、未署名のアプリケーションに対してのみルールを作成する必要がある場合に、ホワイトリストを維持するための作業量が削減されます。 正しく構成されている場合、ユーザーは管理者権限を持たず、Program FilesおよびWindowsフォルダーの内容を変更できず、アプリケーションをインストールできません。 各マシンで、サポートサービスを使用してソフトウェアをリモートでインストールできる固有のパスワードを使用して、個別の管理者アカウントを構成できます。



ホワイトリストを使用すると、一般的な感染ベクターと一般的な永続化手法をブロックできます。 攻撃者がドロッパーに依存できない場合、リモートでコードを実行するためには、ソフトウェアのエクスプロイトに依存する必要があります。 これは通常、攻撃者にリモートアクセスを提供しますが、システムが再起動されるか、対応するプロセスが中断されると、リモートアクセスは失われます。 通常、攻撃の安定性は、バックドアをインストールすることで保証されます。 ほとんどの場合、管理者権限を必要としないため、AppDataユーザーフォルダーに配置されます。 しかし、ホワイトリストがProgram FilesとWindows以外の場所からの実行を禁止している場合、バックドアは開始できません。 次に、攻撃者は特権を拡張する方法を探す必要があります。



多くのウイルスは、既知の脆弱性に対するエクスプロイトを使用して、感染したサイトを訪問中にユーザーのマシンに感染します。 通常、頻繁に使用されるソフトウェアに定期的にパッチを適用することにより、この攻撃ベクトルから自分を守ることができます。 攻撃者が既知のエクスプロイトを使用する能力を持っていない場合、独自のゼロデイ攻撃を開発する必要があります。 Bug Bountiesプログラムでの賞のレベルと闇市場での価格で判断できる限り、これは簡単な作業ではありません。 信頼できるゼロデイ攻撃には100,000ドルを超える費用がかかる可能性がありますが、同時に、攻撃者は脆弱性を知らず、パッチでカバーされないように賢明に使用する必要があります。 さらに、潜在的な利益が買収のコストを回収できる場合、そのような攻撃を使用する必要があります。そうしないと、すべての意味が失われます。



ソフトウェア開発者は、多くの手段を使用して、サイバー犯罪者のエクスプロイトを開発するタスクを大幅に複雑化できます。 たとえば、DEP（ データ実行防止 ）、ASLR（ アドレス空間のランダム化 ）、SEHOP（構造的な例外処理）などのメモリ強化技術を使用します。 使用するアプリケーションの実行可能ファイルをコンパイルするためにこれらのテクノロジーが使用されているかどうかを確認するには、 BinScopeユーティリティまたはPowerShellスクリプトを使用できます。 そのような保護手法が使用されていない場合は、EMET ツールキット （ Enhanced Mitigation Experience Toolkit ）を使用して、強制的に保護を適用できます。 調査によると、あなたはまだそれを回避することができますが、それはより多くの時間と労力がかかります。



会社でSIEM （セキュリティ情報管理システム）を使用している場合、大規模でビジーなネットワークには常に多くのノイズがあることがわかります。 SIEMは、すべてのメインネットワーク参加者とエンドユーザーのアクティビティログを収集し、それらを正規化し、いくつかの情報ソースに基づいてイベントを相関させ、疑わしいアクティビティの発生について警告します。 これらのすべての手順を使用して低レベルおよび中レベルの攻撃を防ぐ場合、SIMETシステムは、EMET、AppLocker、またはファイアウォールをバイパスする試みを示すかなり複雑なイベントを、適切な警告とともに検索するように構成できます。 そのような攻撃が成功し、侵入者がシステムに侵入したとしても、それらを簡単に検出して無力化できます。



もちろん、ホワイトリストがすべてのセキュリティ問題を解決するわけではありません。 それでも、パッチが当てられていないエクスプロイトまたはゼロデイ攻撃を介して誰かがネットワークに侵入できる可能性があります。 ただし、この場合でも、ホワイトリストを作成すると、侵入抵抗が減少します。 さらに、攻撃者が特権システムにアクセスすることははるかに困難です。 つまり、ネットワークでのハッキングとプレゼンスのプロセスが複雑になるため、上級のハッカーはより簡単なターゲットを選択することになります。



バッチファイル言語、VBScript、PowerShellなどの組み込みスクリプト言語の場合、AppLockerは、インタープリターのインストールと起動を防ぐために使用できるアドレススクリプトを実行します。 ホワイトリスト技術では、考慮すべき多くのニュアンスがあります。 たとえば、Microsoft Officeドキュメントのマクロ、PDFおよびJavaScriptのJavaScript。 しかし、いずれにしても、実行可能ファイルと動的に接続されたライブラリのホワイトリスト自体は、ほとんどすべての大規模ウイルスとほとんどの高度な持続的脅威をブロックします。 たとえば、 Mandiantレポートでは、PDFアイコンが含まれる実行可能ファイルを使用してZIPアーカイブにリンクされたフィッシングメールについて説明しました。 ノートンアンチウイルスはそれを検出せず、ホワイトリストは実行を妨げます。



セキュリティシステムに侵入できる人の輪を、ホワイトリストとエクスプロイトブロックをバイパスして攻撃を成功させるのに十分なリソースを備えた資格のある個人と組織に限定できる場合、リスクを大幅に削減し、攻撃を検出する機会を増やすことができます。 闇市場でウイルスを購入し、フィッシングメールを送信した人を心配する必要はもうありません。 しかし、リリースされたリソースを使用して、より巧妙な侵入者のアクティビティを検出できます。