バラクーダのセキュリティ最前線から2023年の脅威を予測
トピック: Attacks and Threat Actors, User Training and Security Awareness
2022年11月21日、Tilly Travers
未来を予測するのは難しいですが、この1年の流行や新しいトレンドを見ることで、起こりうる出来事を予想することはできます。バラクーダは、2023年の脅威予測の一環として、セキュリティ最前線の専門家に、2022年に何を見て、2023年に何に遭遇すると思うか尋ねました。意外だったのはどんなことで、組織が過小評価または過大評価しているリスクは何で、今後1年間危険にさらされる可能性があることは何でしょうか。
Q: 2022年に最も驚いたセキュリティ関連トピックで、2023年以降にも影響があると考えられることがらは何ですか?
脆弱なソフトウェアのサプライチェーン、兵器化したソーシャルメディア、多要素認証(MFA)の乱用、地政学的な動機に基づくサイバー攻撃の拡大、Everything-as-a-Service(コンピュータ処理に必要なソフトウェアやハードウェアなどがインターネットを通してクラウドから「サービス」として提供する概念や仕組み)です。
Riaz Lakhani
Riaz Lakhani バラクーダ最高情報セキュリティ責任者(CISO):私が最も驚いたのは、重大な脆弱性が報告された人気のサードパーティ製ソフトウェア・ライブラリの多さと、それらのライブラリを自社のアプリケーションなどで使用しているために影響を受けた大企業の数が多いことです。
Adam Kahn Barracuda XDR VPセキュリティオペレーションズ担当:今年は初めて、個人がソーシャルメディアプロフィールからランサムウェア攻撃を受けるのを目のあたりにしました。
Shani Mahler Barracuda XDR のエンジニアリング・プロダクトマネジメントディレクター:「インフルエンスベース」のサイバー攻撃がいかにエスカレートしているか、です。大手SNSにはこの問題を解決するインセンティブがほとんど見当たらず、したがって解決されないままで、セキュリティチームもインフルエンスオペレーションを監視することができません。セキュリティオペレーションセンター(SOC)の仕事は、機械やネットワークを監視してリスクを発見することであり、人がどのように影響を受けて混乱を引き起こすかを監視することではありません。ソーシャルメディアの影響力は、監視されていない、非常に有効なサイバー脅威であり、2023年も引き続き猛威を振るうと考えられます。
Merium Khalidv
Merium Khalid オフェンシブセキュリティ・シニア SOC マネジャー:多要素認証(MFA)の乱用が増えたこと。2022年は、MFAがすべてのセキュリティの問題を解決してくれるわけではないことがわかった年だったと思います。かつてないほど多くの侵害が報告されました。MFAの乱用かあるいはソーシャルエンジニアリングを通じてMFAコードを攻撃者に引き渡してしまった結果です。
Stefan van der Wal アプリケーションセキュリティのコンサルティングシステムエンジニア:ランサムウェアがまだ問題であること。これほど壊滅的な影響を及ぼす攻撃に関して、2022年にはかつてないほど報じられてきました。それにもかかわらず、いまだに予防・検知・対応・復旧の面で適切な対策をとっていない組織が残っていることに驚きました。脅威により対処しやすくなるよう、セキュリティ業界全体がこれほど努力しているにもかかわらず、です。
John Flatley E メールセキュリティのコンサルティングシステムエンジニア:攻撃ツールがいかに簡単にアクセスでき、利用できるようになったかということ。攻撃者にこうしたサービスをすべて提供するサブスクリプションサービスがあります。
Stefan Schachinger
Stefan Schachinger ネットワークセキュリティ・プロダクトマネジャー:2022年の地政学的な紛争から、私たちはサイバー脅威に国境はないこと、そして世界がサイバー攻撃にいかに弱いかを思い知らされました。ランサムウェアを含む多くのサイバー脅威は、もともとターゲットを破壊するためではなく、金儲けのために設計されたものです。この状況は2022年に一変しました。紛争に直接関与していない国や組織が突然、それまで考えられなかったような巧妙なレベルで、混乱や妨害を目的として実行される国家主導の(あるいは容認の)攻撃の標的となったのです。世界的なサイバー攻撃に対する脆弱性のレベルがいかに低いかを痛感させられました。しかし重要な教訓ともなりました。2023年に脅威のレベルが低下する可能性は低いのですから。
こうした背景のもと、2023年に組織が備えるべきサイバー脅威のトップトレンドは?
悪用される認証方式、拡大する攻撃対象、増え続けるゼロデイ、サプライチェーン攻撃、Webおよびアプリケーション攻撃、脆弱なIoT
RL:アカウント乗っ取りが、攻撃者にとって簡単に手に入る果実であり、組織にとって最優先のリスクであることに変わりはありません。二要素認証やMFA疲労攻撃が容易になり、TOTP(時刻に同期して生成されるワンタイムパスワード)はソーシャルエンジニアリングの影響を受けやすいため、セキュリティ担当者は認証対策を見直す必要があるでしょう。
Adam Khan
AK:2023年には、クラウドベースやSaaSを採用する組織が増えるため、組織が攻撃対象となる可能性は高まるでしょう。幸い、これには問題なく対応できるはずです。というのも、サイバー脅威が活発で進化しており、インテリジェントで自動化されたリアルタイムの監視と対応が必要であるという理解が広まりつつあるからです。
SM:2023年、組織はその規模や業種に関わらず、どんなサイバー脅威から狙われても対処できるような準備が必要です。
MK:ゼロデイ脆弱性が増加するでしょう。 2022年、CVE(新たな脆弱性)の登録件数は2万1000件でした。その多くは「クリティカル」に分類され、攻撃者によって積極的に悪用されるものも少なくありませんでした。ゼロデイが警告なしに組織を襲うため、組織はできるだけ早くソフトウェアのパッチを当て、修正できるようなチームを編成する必要があります。
SVDW:サプライチェーンへの攻撃。2022年はサプライチェーン攻撃の年でした。より多くの攻撃者が企業を攻撃する際に最も弱いリンクを狙うようになりました。どの企業も外部の企業とビジネスを行っており、誰も他の組織への攻撃のピボットにはなりたくありません。
JF:メールアカウント乗っ取り、ランサムウェア、ウェブアプリケーション攻撃という恐ろしい3つの攻撃。
SS:インフラに接続されるモノが増え、エッジコンピューティングと連携したクラウドサービスが増え、リモートワークが続く中、攻撃対象は拡大しています。このため、組織はセキュリティの見直しを迫られています。長年にわたり、セキュリティの主な目的は、最初の侵害から身を守ること、つまりマルウェアや攻撃者をネットワークから締め出すことでした。しかし現在では、何かまたは誰かが侵入してきた場合に備え、侵入されたときにどのように対応するかを準備する必要があります。
私たちはどのくらい準備ができている? 2022年、組織が最も過小評価しがちだったサイバーリスクは?
脆弱なソフトウェア開発パイプライン、従業員のセキュリティ意識、アプリケーションのセキュリティ、攻撃の可能性
RL:過小評価されがちだったのは、アカウントの乗っ取りがいかに容易か、何が最も重要な資産でそれはネットワーク上のどこに存在するか、攻撃対象領域はどのようなものかという点です。開発からパッチ適用、デプロイなど、ソフトウェア生産を自動化するためのCI/CD(継続的インテグレーションとデリバリー)パイプラインを強化する必要性も、過小評価する企業が多々あります。CI/CDパイプラインには、ソースコード、アプリケーションコードリポジトリ、コンテナ、ビルドサーバなどの重要なコンポーネントが含まれているため、攻撃者の最重要ターゲットになるのです。
SVDW:最も過小評価されているのはアプリケーションセキュリティリスクでしょう。現在、多くの攻撃がアプリケーションから発生していますが、セキュリティに積極的に取り組むべきだとすべての企業が認識しているわけではありません。企業は、サイバー攻撃者に先んじて、サプライヤーに保護措置について尋ね、アプリケーションのセキュリティ体制を調べておく必要があります。
Shani Mahler
SM:従業員のセキュリティに関する理解度がいかに低いかを組織側は十分に認識していません。従業員は常にフィッシングやスミッシングといったソーシャルエンジニアリングの手口で狙われています。しかし多くの企業では、従業員に対するセキュリティ啓発教育(SAT)を年に1回しか行っていません。
MK:過小評価されているのは、セキュリティ意識向上トレーニングの重要性。発生する漏洩や侵害の多くは、クレデンシャルの漏洩が原因であり、これはより良い教育を通して減らせます。
JF:過小評価されているリスクは、前述の攻撃タイプの規模とアクセス性が上がっていること。そして、攻撃ツールの活用がいかに容易になったかということ。
SS:組織も政府も過小評価しているのは、標的型攻撃の被害に遭う可能性と、攻撃の影響がいかに広範囲に及ぶかです。2022年は、たった1つの組織が経済や社会にとってどれほど重要な存在になり得るかを教えてくれました。すべてがつながった世界では、相互依存の関係は巨大になり、小さな原因が大きな影響を及ぼしかねません。例えば、文書や請求書などのシステムが1つでも危険にさらされれば、企業は世界中の業務を停止せざるを得なくなるし、電力網が機能しなくなれば、全国的な停電を引き起こす可能性があります。私たちは、組織やインフラを守るより効率的な方法を生み出し、「小さな」理由で大規模なダウンタイムを回避するためのレジリエンスを強化し、継続的な攻撃を阻止できるようにならなければなりません。
では、過大評価しがちなサイバーリスクとは?
ブルートフォースアタック、データコンプライアンス違反、そして防御がいかに優れているか
MK:ブルートフォースアタックが成功するリスクを過大評価しがちです。ネットワークをスキャンして脆弱性を探すことは、私がSOCで目にする最も一般的な敵対的偵察活動の1つです。ビジネス上の必要性から外部に向けた資産を保有している場合、ブルートフォースや脆弱性のスキャンを受ける可能性は非常に高いです。しかし、企業がジオブロック、VPN、MFAなどの管理体制を敷いている場合、ブルートフォース・アクティビティが侵害につながる可能性は低くなります。
Stefan van der Wal
SVDW:GDPRのコンプライアンスリスクを過大評価しがちです。データプライバシーに関して非常に制限的なポリシーを構築している組織もあります。PII(個人を特定できる情報)が関与していないデータ周りのビジネスの俊敏性を阻害し始めない限り、良いことでしょう。これは、例えば、コンプライアンス部門がデータリスクとして考えているセキュリティ対策を、組織がとらないことを意味します。一方、本当のリスクは、情報セキュリティリスクに対応するシステムを導入していないことです。
SS:組織は、自分たちの保護レベルや、おそらくすでに足場を固めている攻撃者から自分たちを守る能力を過大評価しがちです。また、緩やかにしか統合されていない、あるいはまったく統合されていない孤立したセキュリティ対策やツールのプラス効果を過大評価しています。
2023年、どのようなセキュリティ対応をすべき?
AI、アプリケーションセキュリティ、新しい認証方法、自動化、24時間365日の人間主導のリアルタイム監視、セキュリティオペレーションセンター(SOC)-as-a-Serviceが2023年のサイバーセキュリティを強化
RL:既存の認証方法が攻撃者に狙われるなか、セキュリティ担当者は代替手段を検討する必要があり、パスワードレスやFIDO U2F(ユニバーサル2ndファクター)シングルセキュリティキー技術が注目されるでしょう。
MK:2023年以降、テクノロジー業界は、生体認証やパスワードレスな認証方法にシフトしていくことが予想されます。
AK:脅威検知、特にセキュリティの注意力を削ぐ「誤検知」ノイズを除去するうえで、人工知能(AI)がより多く利用されるようになり、それがセキュリティに大きな変化をもたらすでしょう。これにより、即時の注意と対応が必要なセキュリティアラームに優先順位をつけることができます。自動化されたSOAR(Security Orchestration, Automation and Response、セキュリティ・プロセスの連携および自動化)製品は、アラームのトリアージにおいてより大きな役割を果たすでしょう。また、自社にリソースがない場合は、専門家のSOC-as-a-Serviceを活用し、24時間365日、人手で行う脅威狩りと対応への投資を行う企業が増えると予想されます。
SS:ユーザー、デバイス、サービス、ワークロードから、場所を問わず暗黙の信頼を取り除く最新のセキュリティ・ソリューションが標準になるでしょう。誰が、何を、いつ、どこで、どのように行ったかという「コンテキスト」が、ゼロトラスト評価を継続的に行う世界における重要なセキュリティ・コンポーネントとなり、これまで以上に検知しづらい脅威から身を守ることができるようになります。2023年には、悪意のあるイベントを検出してブロックするだけでは十分ではなくなります。すべてを調査し、是正する必要があるのです。
原文はこちら
Threat predictions for 2023 from Barracuda’s security frontline
November 21, 2022 Tilly Travers
https://blog.barracuda.com/2022/11/21/threat-predictions-2023-barracuda-security-frontline/
