クラウドサービスプロバイダーの悪用の脅威
クラウドサービスは、マルチクラウドアプローチやハイブリッドクラウドアプローチを追求し、効率性と俊敏性の向上を求める過程において、多くの企業にとってIT運用の基盤となる要素になっています。
脅威アクターはクラウドにも関心を示していますが、その目的はクラウドサービスプロバイダーの機能を悪用し、エンタープライズ環境を侵害することです。企業は、クラウドベースのサービスを使用してコラボレーションとビジネスプロセスをサポートしていますが、悪意のあるアクターが同様のサービスを悪用して、コンピューターネットワーク操作 (CNO) を行うケースが増えています。多くの企業がハイブリッドな作業環境の構築を求めているため、この傾向は今後も継続すると考えられます。
一般的なクラウド攻撃ベクトル
サイバー犯罪 (eCrime) と標的型攻撃の攻撃者が使用する一般的な攻撃ベクトルを以下に示します。
分散型サービス拒否 (DDoS) 攻撃
DDoS攻撃とは、攻撃者がWebサーバー、システム、またはネットワークをトラフィックで過負荷にすることで、正規ユーザーがITリソースにアクセスすることを困難または不可能にする攻撃です。
フィッシング詐欺
サイバー犯罪者は、クラウドサービスのユーザー認証情報を盗み出すためにフィッシングを利用し、これらのアカウントを乗っ取って、悪意のある計画に使用します。
スパムEメール
スパマーは、クラウドインフラストラクチャを使用してメッセージを一斉送信します。これらの攻撃者は、クラウドコンピューティングサービスの信頼性と帯域幅を、その活動に悪用しています。
クリプトジャッキング
クリプトジャッキングでは、攻撃者は被害者のコンピューティング能力を利用して、暗号通貨をマイニングします。攻撃者が組織のクラウドリソースにアクセスできる場合、そのアセットを利用してマイニングを行うことができます。
ブルートフォース攻撃
ブルートフォース攻撃は、脅威アクターが試行錯誤的アプローチを用いてユーザーのパスワードやログイン認証情報を推測することで、ユーザーアカウントを侵害する方法です。一般的な攻撃方法として、辞書攻撃やクレデンシャルスタッフィングがあります。
悪意のあるコンテンツのホスティング
クラウドサービスが侵害されると、それらのサービスはフィッシングページからスパムボットまで、あらゆる悪意のあるコンテンツのホスティングに使用される可能性があります。この戦術では、脅威アクターが信頼できるブランドを使用しているため、悪質なコンテンツのブロックが困難になり、正規のコンテンツに悪意のあるコンテンツを紛れ込ませることができるという利点もあります。
悪意あるインサイダー
内部の脅威アクターは、クラウドリソースへのアクセス権を利用してそのアセットで攻撃を開始できるため、リスクになります。
詳細
完全なクラウドセキュリティ戦略では、リスクを軽減し、脅威から防御し、ビジネスがクラウドを使用して安全に成長するための課題を克服する必要があります。12のクラウドセキュリティの課題、リスク、脅威
クラウドサービスプロバイダーの悪用の仕組み
クラウドストライクの脅威研究者は、悪意のあるアクティビティが発生していないかクラウドを入念にモニタリングしています。一方、攻撃者は、ステルス性と有効性を向上させるための戦術を継続的に導入し続けています。サイバー犯罪者側から見ると、ユーザー、プロバイダー、ネットワーク間の信頼関係を悪用できれば、検知をより簡単に回避できるようになります。
攻撃者はクラウドサービスプロバイダーを利用し、プロバイダーの信頼関係を悪用することで、クラウドインフラストラクチャでホストされているエンタープライズ認証アセットからのラテラルムーブメントを通じて、さらなるターゲットにアクセスします。攻撃者が自らの特権をグローバル管理者レベルに昇格できれば、関連するクラウドテナント間で動き回り、アクセスできる領域を拡大できる可能性があります。
この問題は、最初に標的になった組織がマネージドサービスプロバイダー (MSP) だった場合には、特に重大になります。この場合、グローバル管理者アクセスを使用して、サポートアカウント(MSPが顧客ネットワークに変更を加えるためのもの)を乗っ取ることができます。その結果、その他の多くのネットワークで縦方向に攻撃を拡大する機会が生まれます。この手法は、2020年に脅威アクターCOZY BEAR(ロシア系脅威アクター)によって使用され、MSPネットワークへの侵入が2021年まで続いた証拠があります。
クラウド環境を保護するためにできること
オンプレミス環境の場合と同様に、攻撃者のツールと戦術に関するインサイトを備えたセキュリティチームは、最も高い確率で脅威をより迅速に特定して阻止できます。セキュリティチームは、ベストプラクティスを維持するために、次の点に注意する必要があります。
アイデンティティとその使用方法のモニタリング
クラウド環境を保護するには、アイデンティティに重点を置き、強力なパスワードと多要素認証 (MFA) を使用してユーザーアカウントのセキュリティを確保し、疑わしいアクティビティがないかモニタリングする必要があります。
最も重要なアセットの特定、およびそのアウトバウンド通信と流出のモニタリング
組織は、クラウド環境を可視化して、侵害の兆候がないか監視する必要があります。送信接続を精査して、異常な通信を特定する必要があります。
セキュリティオペレーションセンター (SOC) でのクラウドセキュリティに関する教育
SOCアナリストやインシデント対応担当者の多くは、クラウドテクノロジーの専門知識を持っていません。SOCチームがクラウドツールとインフラストラクチャに対する理解を深めるように、トレーニングに投資してください。
責任共有モデルに沿ったインシデント対応計画の策定
組織は、脅威に対する対処方法と修復方法、およびその担当者を記述した詳細なプレイブックを用意する必要があります。「セキュリティのオーケストレーション、自動化と対応 (SOAR)」テクノロジーは、企業が脅威関連のデータを収集し、対応を自動化できる重要な技術です。
攻撃の痕跡 (IOA) に焦点を当てたクラウド脅威ハンティング
知識は力になります。企業は、最新の脅威インテリジェンスを活用して攻撃者に対処し、直面するリスクを検知して対応力を向上させる必要があります。CrowdStrike Falcon Cloud Securityは、あらゆるクラウドに高度なクラウドネイティブセキュリティを提供します。包括的なインテリジェンスと、ホストからクラウドまでのエンドツーエンドの保護を搭載しており、可視性、コンプライアンス、そして攻撃者を凌駕する業界最速の脅威の検知と対応を実現します。
デービッド・プザスは、サイバーセキュリティ、クラウド、ITサービスの実績のあるマーケターであり、20年以上の経験を持つビジネスリーダーです。クラウドストライク、Dell SecureWorks、世界中のIBMクライアントなどの企業のために、クライアントバリューと革新的な成果を構築する責任があります。彼は、コンピューティングの革新、トレンド、および市場の拡大と成長に関連したそれらのビジネスへの影響の最適化に重点的に取り組んでいます。デービッドは、クラウドストライクのグローバルクラウドセキュリティポートフォリオを戦略的に市場に投入し、顧客維持を促進する責任を負っています
