「Living off the Land」攻撃に警鐘、セキュリティ対策の見直し急務

Last Updated on 2024-10-23 14:30 by 門倉 朋宏

攻撃者が「living off the land」手法を用いることで、ネットワークトラフィックの可視性の再考が必要となっている。この手法では、攻撃者が既存のツールを利用するため、悪意のある行動と正当な活動の区別が難しくなる。そのため、ITセキュリティリーダーはネットワークの再設計、アクセス制御の強化、CASBやSASE技術の導入を検討する必要がある。

組織はテレメトリーソースを優先順位付けし、正当なユーティリティの悪用に対する可視性を確保することが求められる。”LOLBAS”プロジェクト、MITRE ATT＆CK、セキュリティツールベンダーからのリソースを活用することで、異常な活動を検出できる。

ネットワークの可視性に加え、エンドポイントからのイベントの活用も重要である。セキュリティチームはエンドポイントイベントから異常なパターンを検出し、カスタムアラートクエリを作成できる。また、サービスアカウントの悪用を制限し、強力な認証メカニズムの導入が重要である。

セキュリティ文化の構築には、時間とリーダーシップの投資が必要である。テクニカルデットの削減や迅速な検出・対応により、リスクを軽減できる。

【ニュース解説】

組織が直面しているセキュリティの脅威の中で、「living off the land」（LoL）手法は、攻撃者が被害者の環境内に既に存在する合法的なツールを利用して攻撃を行うというものです。この手法により、攻撃者は新たなツールやマルウェアを導入することなく、検出を避けながら悪意のある活動を行うことが可能になります。これにより、正当な活動と悪意のある活動の区別が困難になり、セキュリティチームの対応を複雑化させます。

この問題に対処するため、ITセキュリティリーダーはネットワークの再設計を含む複数の対策を検討する必要があります。アクセス制御の強化や、特権アクセスの監視を通じて、攻撃者がネットワーク内で自由に動き回ることを困難にすることが重要です。また、クラウドアクセスセキュリティブローカー（CASB）やセキュアアクセスサービスエッジ（SASE）などの技術を利用して、誰がどのリソースやシステムに接続しているかを理解し、予期せぬまたは怪しいネットワークフローを強調表示することも有効です。

さらに、組織はテレメトリーソースを優先順位付けし、正当なユーティリティの悪用に対する可視性を確保することが求められます。”LOLBAS”プロジェクトやMITRE ATT&CKなどのコミュニティリソースを活用することで、異常な活動をより効果的に検出することが可能になります。

ネットワークの可視性に加え、エンドポイントからのイベントの活用も重要です。セキュリティチームはエンドポイントイベントから異常なパターンを検出し、カスタムアラートクエリを作成することで、LoL手法を用いた攻撃を検出できます。また、サービスアカウントの悪用を制限し、強力な認証メカニズムの導入も重要な対策の一つです。

セキュリティ文化の構築には、時間とリーダーシップの投資が必要です。テクニカルデットの削減や迅速な検出・対応により、組織はリスクを軽減できます。このような対策を通じて、LoL手法による攻撃のリスクを低減し、組織のセキュリティを強化することが可能になります。

from Redesigning the Network to Fend Off Living-Off-the-Land Tactics.