サイバーセキュリティのキルチェーンモデルとは、ハッカーがサイバー攻撃を成功させる際にとる典型的な手順を説明したものです。ロッキード・マーチン社が開発したこのフレームワークは、軍事攻撃モデルから派生したもので、持続的なサイバー脅威を理解、検知、防止するためにデジタル世界に転用されました。すべてのサイバー攻撃が、サイバーセキュリティキルチェーンモデルの7つのステップすべてを利用するわけではありませんが、大半の攻撃はそのほとんどを使用し、特にステップ2からステップ6が行われることが多くなっています。
サイバーセキュリティのキルチェーンモデルとは、ハッカーがサイバー攻撃を成功させる際にとる典型的な手順を説明したものです。ロッキード・マーチン社が開発したこのフレームワークは、軍事攻撃モデルから派生したもので、持続的なサイバー脅威を理解、検知、防止するためにデジタル世界に転用されました。すべてのサイバー攻撃が、サイバーセキュリティキルチェーンモデルの7つのステップすべてを利用するわけではありませんが、大半の攻撃はそのほとんどを使用し、特にステップ2からステップ6が行われることが多くなっています。
他社が開発したサイバーキルチェーンモデルもいくつかありますが、ここでは簡略化のため、業界で最も有名なフレームワークであるロッキード・マーチンモデルに絞って説明します。ハッカーがターゲットに侵入するまでのプロセスを理解するために、それぞれの説明と簡単な解決策が含まれています。
実際の戦争のあらゆる形態と同様に、最も成功したサイバー攻撃も多くの情報収集から始まります。偵察は、サイバーセキュリティのキルチェーンにおける最初のステップであり、多くの異なる技術、ツール、および一般的に使用されているウェブ閲覧の機能などを利用するものです。
ハッカーがターゲットに関する情報を収集するために使用するツールやテクニックは多岐にわたり、それぞれ異なるデータを露出して、アプリケーション、ネットワーク、クラウドベース化が進んでいるデータベースへの侵入口を見つけるために使用されることがあります。アプリケーションやクラウドサービスなど、一般にアクセス可能な資産を閲覧する際に、攻撃者が危険な情報に遭遇しないように、クラウドベースのSASE防御、暗号化、安全なウェブページで機密データを保護することが重要です。
攻撃者は、ターゲットに関する十分な情報を収集すると、1つまたは複数の攻撃ベクトルを選択し、ユーザーのスペースへ侵入を開始します。攻撃ベクトルとは、ハッカーがシステムや情報に不正にアクセスするための手段です。攻撃ベクトルは基本的なものから高度な技術的なものまで多岐にわたりますが、留意すべき点は、ハッカーにとってターゲットはコストと ROI を評価して選択されることが多いということです。
攻撃者は、処理能力から時間対価値まで、すべてを考慮します。典型的なハッカーは、最も抵抗の少ない経路に水のように流れていきます。だからこそ、攻撃対象領域(攻撃を受けやすいすべてのポイント)に沿って考えられるすべての侵入口を考慮し、それに応じてセキュリティを強化することが重要です。
最も一般的な攻撃ベクトルは次の通りです。
ハッカーは、1つの攻撃手段さえあれば成功してしまいます。したがって、どんなに一部を強化しても、最も弱い部分がその組織のセキュリティ強度なのです。潜在的な攻撃ベクトルは自ら把握しなければなりません。ランサムウェアの攻撃としては、リモートアクセスサービスを悪用して侵入し、横方向に移動して機密データを検出、暗号化して身代金を要求するという手法が続いています。
そのため、攻撃者が侵入すると、次はネットワークやクラウドのリソースに横方向に移動するさまざまな方法を見つけて、アクセス権をエスカレートさせ、最も価値のある情報を収集してできるだけ長く発見されないようにするのが一般的な方法です。このような行為を防ぐには、セキュリティやネットワークアーキテクチャに適用することで、ユーザーがネットワークやアプリケーション内の領域間で移動する際に、常にIDの再確認を求める「ゼロトラスト」原則を採用する必要があります。
レポート: Netskope Threat Labsレポート
ハッカーはシステムにアクセスし、マルウェア、ランサムウェア、スパイウェアなど、用意しておいたあらゆるペイロードを自由に配信できるようになるのです。即時、時間差、特定のアクションをトリガーにしたもの(ロジックボム攻撃)など、あらゆる攻撃を想定したプログラムを設定します。このような攻撃は一度だけの場合もあれば、ハッカーが常に監視、管理されているネットワークへのリモート接続を行う場合もあります。
マルウェア検知と次世代SWGによるTLS復号化、ウェブやクラウドのトラフィック検査は、これらのタイプによるペイロードの配信を防ぐ重要なコンポーネントです。マルウェアの68%がウェブではなくクラウドデリバリーを利用しており、攻撃のクラウド化が進んでいることがわかります。ウェブやクラウドトラフィックのインライン脅威スキャンサービスを実行し、すべてのエンドポ