より多くの組織がクラウドベースのインフラストラクチャに移行するにつれて、ロシア国家と関係のある脅威アクターは戦術を変えていますが、良いニュースは、ベースラインのサイバー緩和戦略が、洗練された政府ハッカーである英国の国家サイバーセキュリティセンターに対してさえ依然として驚くほど効果的であるということです( NCSC)が明らかにした。
オーストラリア、カナダ、ニュージーランド、米国のファイブ・アイズと提携する機関と共同で発表した勧告の中で、NCSCは特に、コージー・ベアなどとして広く知られるAPT29と呼ばれるAPT(Advanced Persistent Threat)グループに焦点を当てた。ミッドナイトブリザードなどの名前。
コージー・ベアは、ソ連の KGB の後継機関であるモスクワ連邦保安局 (FSB) と対外情報局 (SVR) の両方とさまざまな時期に連携している部隊である。 コージー ベアは、ソーラーウィンズ サンバースト/ソロリゲート事件と、2016 年の民主党全国委員会のハッキングに関連していることが最も有名です。
NCSCの運営ディレクター、ポール・チチェスター氏は「われわれは、英国を執拗に標的にするグループの行動の変化に対する認識を高めることも含め、悪意のあるサイバー活動を暴露するという決意を持って取り組んでいる」と述べた。
「NCSC は、組織のネットワークを守るために、勧告に含まれるインテリジェンスと緩和に関するアドバイスをよく理解するよう求めています。」
NCSC は、シンクタンク、政府機関、教育や医療分野の組織など、コージー ベアの標的となっている部門の多くが、特に新型コロナウイルス感染症の影響でクラウドベースのインフラストラクチャに移行していると述べました。ソフトウェア製品の一般的な脆弱性とエクスポージャー (CVE) の悪用など、従来のアクセス手段は少し限定されています。
その代わりに、ロシアの脅威アクターが、システムが発行したアクセス トークンを盗んで被害者のアカウントを侵害したり、侵害された資格情報を再利用して被害者のクラウド環境に新しいデバイスを登録したり、パスワード スプレーやブルート フォース攻撃でシステム アカウントを標的にしたりするなど、新たな手法を採用していることを観察しています。 。
このような方法は、脆弱なパスワード管理ポリシーと多要素認証 (MFA) の欠如により、被害者側で有効化されてしまうことがよくあります。
NCSC によると、攻撃者は初期アクセスを獲得した後、MagicWeb などの非常に高度な侵害後の機能を使用します。この技術は、Microsoft の脅威研究チームによって 2022 年に初めて文書化されており、危険にさらされている組織は初期アクセスに特に注意することが求められています。方法。
そのため、防御側は、次の緩和策がまだ採用されていない場合、それらの緩和策のいくつかを開始点として検討することができます。
- MFA を直ちに実装して、パスワード侵害の影響を軽減します。
- MFA で保護されたアカウント全体に強力で一意のパスワードを適用し、参加者、移動者、脱退者を管理するための適切なポリシーを導入して、不要な場合はパスワードを無効にします。
- 最小特権 (POLP) の原則を採用して、重要な IT リソースへのアクセスを制御します。
- 有効に見えても決して使用されていない「カナリア」サービス アカウントを作成し、それらに対して監視とアラートを実装して、脅威アクターが環境にアクセスした可能性のある兆候を特定します。
- セッションの存続期間に厳格な時間制限を適用して、脅威アクターが盗まれたセッション トークンを悪用する機会を最小限に抑えます。このポリシーと、正当なユーザーを過度に拘束しない適切な認証方法を必ず組み合わせてください。
- 可能な場合はゼロタッチ登録を使用し、自己登録を使用する必要がある場合は強力な形式の MFA を使用して、承認されたデバイスのみを許可するようにデバイス登録ポリシーを構成します。
- 異常事態の防止、検出、調査のために、アプリケーション イベントやホストベースのログなど、より幅広い情報ソースを使用することを検討してください。特に、誤検知率が高いソースや侵害の痕跡 (IoC) に注意してください。