ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
Icon Rounded Closed - BRIX Templates

回避型ブラウザ攻撃の激化:その理由を理解する

マーク・ガントリップ
|
June 25, 2023

サイバーセキュリティは、戦略と適応の絶え間ない課題です。脅威アクターは脆弱性を発見し、最終的にはセキュリティベンダーがその穴を塞ぎます。攻撃者はネットワークに侵入する別の方法を見つけ、その弱点を封じ込めるパッチも発行されます。などなど。サイバーセキュリティが挑戦的で求められているスキルセットとなっているのは、このようなやり取りとそれに伴う適応力の必要性です。セキュリティチームが変化する状況を見落とし、敵の戦術に応じて戦略を適応させることを怠ると、問題が発生します。

最新の変革は、私たちの働き方を中心に展開しています。これまで、ユーザーは車で出社し、デスクトップの電源を入れ、事前に承認されたエンタープライズアプリケーションの小さなポートフォリオに企業のデータセンターから直接アクセスしていました。境界を強固にすることで、外部への限られた数のアクセスポイントが保護され、ネットワークへの侵入が困難になりました。現在、仕事は主に自宅や外出先からブラウザ内で行われており、組織によって異なりますが、多くの場合、オフィスは3分の1の位置にあるようです。アプリケーションはクラウド上にあり、重要なビジネス機能はサービスとしてのソフトウェア (SaaS) プラットフォームにアウトソーシングされています。また、私たちは日常業務の遂行方法に広く使われているウェブベースのプラットフォームを通じてコミュニケーションやコラボレーションを行っています。

脅威アクターにとっての新たな機会

脅威アクターは、私たちの仕事や生活がますます分散し、オンラインでアクセスできるようになっているという事実に気づいていません。彼らは、ブラウザがこの分散モデルを実現するために大幅に進化し、ユーザーがブラウザ内でこれまで以上に多くのことを行えるようにする高度な機能が追加されていることを知っています。そして、サイバーセキュリティ業界がこれらの変化に合わせて進化していないことも知っています。

Webブラウザが進化して普及する前は、ほとんどの攻撃は電子メール、またはフロッピーディスクやUSBサムドライブなどの物理メディアを介して行われていました。従来のセキュリティツールはこれらの脅威ベクトルに適切に焦点を当て、ネットワークとエンドポイントを保護するための堅牢な機能を構築していました。しかし、時代は変わりました。Forrester によると、企業の従業員はデバイス使用時間の 75% をウェブブラウザで過ごしています。

このような変革と、セキュリティベンダーが拡大する脅威対象領域に適応できなくなった結果、脅威アクターは驚くべき速さでウェブブラウザを標的にしています。Verizon 2022年版データ漏えい調査レポートによると、主にWebブラウザ経由でアクセスされるWebアプリケーションと電子メールがセキュリティ侵害の主な攻撃経路であり、このようなインシデントの 80% 以上を占めています。これらの回避型脅威は、ファイアウォール、URL フィルタリング、サンドボックス分析、シグネチャベースの AV エンジンなどの従来の検出ベースのテクノロジーを回避するように特別に設計されています。これらの攻撃は、新しい脅威ベクトルや脆弱性を利用するように時間の経過とともに適応するため、異常な動作を時間内に検出することは極めて困難です。

彼らの目標は、保護されていないウェブブラウザをターゲットにすることで、エンドポイントへの最初の足掛かりを得ることです。そこから待ちながら、潜在的なターゲットを探してネットワークをこっそり監視します。タイミングが合えば(数秒後でも数か月後でも)、ペイロードを配信して、ビジネスシステムを乗っ取ったり、ユーザーをロックアウトしたり、貴重なデータを漏洩させたりすることができます。

進化の失敗

今日のアジャイルの世界では、ウェブブラウザを通じてウェブベースのツールに迅速かつ確実にアクセスすることが求められています。これにより、企業やその他の組織はデータ主導の意思決定を迅速に行い、市場機会が生じたときにそれを活用することができます。従来のセキュリティツールがビジネスの俊敏性を阻害すると見られるようになってきており、その結果、生産性を阻害しないように、信頼性が疑われる場合は、セキュリティと認証のポリシーがアクセスを許可する側に誤りを犯す傾向にあります。今日の脅威アクターは、運用とセキュリティの間のこの対立を利用して、ユーザーと従来のセキュリティツールをだまして無害だと思わせています。これにより、攻撃者はブラウザからエンドポイントに最初にアクセスできるようになり、その後は自由に攻撃を仕掛けることができます。

ユーザーを危険にさらし、従来のセキュリティ技術を簡単に回避するためのこれらの革新的で非常に効果的なアプローチは、高回避型適応型脅威(HEAT)として知られています。

HEAT 攻撃では、脅威アクターが従来のセキュリティソリューションをすり抜け、次の 4 つの特徴によってブラウザを通じて初期段階から足掛かりを得ることができます。

URL フィルタリングの回避

URLフィルタリングソリューションは、Webサイトの評判を見て、クリックした時点で許可またはブロックを決定します。この技術の問題点は、ドメインの評判は実際には動的であるのに、静的であると想定してしまうことです。脅威アクターは、ウェブサイトを構築して時間をかけて評判を高め、ある時点で悪質なコンテンツを追加することで、URL フィルタリングソリューションを回避します。その後 Web サイトにアクセスした訪問者は、レピュテーションエンジンが追いつくまで攻撃を受けます。同様に、攻撃者はすでに評判の良い正規の Web サイトに侵入したり、悪質なコンテンツを埋め込んだり、他人の評判の良いサイトに侵入させたりすることもできます。

URL フィルタリングの例は次のとおりです。 レガシー URL レピュテーション回避 (LURE)。最近の攻撃では、Google検索を使用してアマゾンウェブサービス(AWS)ユーザーのログイン認証情報を盗み、検索結果を悪用して悪質なウェブサイトをランキングの上位にランク付けしています。多くの場合、Amazon独自の有料検索結果の次にランク付けされています。ユーザーはだまされて、上位に表示される検索結果が正当なものだと思い込ませられました。

メールセキュリティツールの回避

メールセキュリティツールは、フィッシングリンクやその他のマルウェアの識別とブロックにおいて大幅に向上しています。悪意のある攻撃者は、これらの堅牢なソリューションを破ろうとするのではなく、テキストメッセージング、ソーシャルネットワーク、SlackやMicrosoft Teamsなどのコミュニケーションアプリやコラボレーションアプリなど、他のチャネルを通じてフィッシングリンクや文書を配信することでそれらを回避しています。複数のチャネルにまたがるリクエストでユーザーやユーザーグループに圧倒されてしまうと、誰かがミスを犯す可能性が高くなります。1人のユーザーがGoogleドキュメント内の侵害されたコメント、偽のLinkedIn接続リクエスト、または偽のアピールをクリックしてNetflixアカウントを認証するだけで、ネットワークがハッキングされるということを覚えておいてください。

一般的な例の 1 つは 多要素認証 (MFA) バイパス。中間者攻撃 (MitM) またはシングルサインオン (SSO) なりすましとも呼ばれる MFA バイパス攻撃では、ユーザーは偽のリクエストに認証トークンを入力するよう促し、そのトークンを使用して機密データやシステムにアクセスします。このようなリクエストは、メールセキュリティソリューションの範囲外のチャネルでも送信される可能性があるため、検出が回避されます。

ファイルベースの検査とサンドボックスの回避

ファイルベースの検査とサンドボックス化により、セキュリティチームは疑わしいファイルがブラウザに到達する前に安全な環境で特定して分析できます。しかし、脅威アクターは、悪意のあるペイロードを事後に再構築する前にバラバラに配信する方法から、単に悪意のあるファイルにパスワードを追加する方法まで、分析を回避するさまざまな方法を考え出しています。ファイルを分析できない場合、ほとんどの組織は生産性の面で誤りを犯しても問題ありません。脅威アクターはこのことを知っており、障害を投げかけたり、悪意の意図を曖昧にしたりするためにできることは何でも成功する可能性があります。

このタイプの攻撃の 2 つの例は次のとおりです。 HTML の密輸について そして パスワードで保護された悪質なファイル。脅威アクターは HTML スマグリングを利用して、有名ブランドになりすましてマルウェアを配信します。これは、悪意のあるファイルを、ファイルベースの検査ソリューションが好都合と判断する小さな Javascript ブロブに分解することで機能します。ただし、ファイルが初期検出エンジンを通過すると、ブラウザレベルで動的に再構築されます。それまでには手遅れです。同様に、攻撃者は、パスワードで保護されたすべてのファイルをブラウザからダウンロードすることを許可するポリシーを利用して、パスワードで保護されたファイルに悪意のあるリンクを埋め込むことで、電子メールゲートウェイソリューション、Secure Web Gateway (SWG)、サンドボックスを回避できます。

HTTP インスペクションの回避

HTTP インスペクションは、ユーザーのブラウザにレンダリングする前に Web サイトに悪意のあるコンテンツがないか分析するという点で、ほとんど同じように機能します。脅威アクターは、自動化エンティティがウェブサイトにアクセスしたり、フォームにデータを入力したりすることを防ぐキャプチャゲートウェイの追加など、従来のセキュリティソリューションによる検査を妨げる防御策をいくつでも導入できます。繰り返しになりますが、ほとんどの組織は仕事を終わらせるために過ちを犯しているため、検査できない Web サイトはブラウザに任せています。脅威アクターがしなければならないことは、HTTP 検査エンジンを通過するまで待ってから、それが何であれ、ペイロードを配信することだけです。

進むべき道

今日の脅威アクターは、従来のセキュリティソリューションの能力を超えて進化してきたことは明らかです。また、検出ベースのアプローチのみに頼るサイバーセキュリティ戦略には本質的に欠陥があることも明らかです。HEAT 攻撃が回避して適応し、最初の侵害をブラウザから行ってしまったら、もう手遅れです。そこから自由自在に監視し、より有望な標的を探してネットワーク全体に広がっていきます。たった1人のユーザーが侵害されたリンクをクリックするだけで、最も貴重な資産が危険にさらされることになります。

代わりに、組織は検出に加えて予防的なサイバーセキュリティ戦略を採用して、脅威アクターによる初期アクセスを阻止する必要があります。ほとんどの攻撃はブラウザを介して行われるため、最初の防御層としてブラウザから始めるのが理にかなっています。

HEAT 攻撃は、従来の検出ツールをすり抜け、ブラウザを危険にさらす他の方法を見つけるように絶えず適応するように設計されているため、最新のセキュリティソリューションでは、悪意のある攻撃者がアクセスする前に、悪意のある攻撃者を騙して攻撃を仕掛ける必要があります。重要なのは、侵害されたリンクをユーザーがクリックしたり、悪意のあるファイルをダウンロードしたりしたかのように見せかけて、ユーザーとの対話をエミュレートすることです。ただし、これは被害者になりそうなユーザーのエンドポイントから離れた安全な環境で行うことになります。これにより、攻撃者が攻撃を受ける前に攻撃を阻止するための適切な処置を取ることができます。

「予想の芸術」をマスターする

ウェブブラウザは非常に広く普及し、強力になったため、独自のセキュリティレベルが必要になっています。これらの次世代ブラウザ・セキュリティ・ソリューションは、現在ほとんどの作業が行われているクラウドベースである必要があります。これにより、オフィス、自宅、クライアントのサイト、外出先など、ユーザーが事業を行う場所を問わず、セキュリティプロトコルがユーザーの事業活動に確実に従うようになります。この時点で、クラウドベースのセキュアウェブゲートウェイ (SWG) 内に分離技術を実装できます。

では、この文脈における絶縁技術とは何でしょうか?これは、組織がクラウド内のリモートブラウザからすべての Web コンテンツにアクセスできるようにするアプローチです。そうすることで、ユーザーと潜在的なオンライン脅威との間に効果的に保護層を設けることができます。悪意の有無にかかわらず、すべてのコンテンツはこのリモート環境で隔離されます。これにより、安全な場所でのユーザーインタラクションがシミュレートされるため、悪意のある攻撃者は実際のユーザーのシステムに損害を与えることなく意図を明かすことができます。

さらに、分離テクノロジーは、インターネットが期待どおりに機能する場合のネイティブユーザーエクスペリエンスを維持します。ネットワークセキュリティ管理スタックが不必要に複雑になることはなく、よりスムーズで安全なブラウジング体験が可能になります。

ただし、最も重要なのは、Web ブラウザーの内部で起きていることを可視化して制御できることです。ほとんどの組織は、他の報告メカニズムのログを通じて、他のセキュリティイベントをきめ細かく把握しています。セキュリティチームは、この可視性と制御をブラウザにまで拡大する必要があります。ツールを使用してブラウザ内の偽のロゴ、マスクされたドメイン、その他の不審なアクティビティを特定し、フィッシングの試みを識別してください。ブラウザーは機能を追加し続け、より強力になるにつれ、特に重要です。ただし、従来のセキュリティツールが許可するかブロックするかを決定するのに対し、次世代のブラウザ・セキュリティ・ソリューションでは、生産性に影響を与えずにユーザーを保護するために、クリックした時点でより微妙な決定を行う必要があります。

コンテキストが王様です。そして、これはブラウザが行うすべてのことを可視化することによってのみ収集できます。何が起こっているのか、そして HEAT 攻撃がどのようにアクセスを狙っているのかを正確に把握できれば、きめ細かなポリシーを通じて対策を講じることができます。おそらく、コンテンツは読み取り専用モードでのみ配信されているのでしょう。北米以外からのリクエストはすべてブロックしているかもしれません。または、特定のアプリケーションまたは Web トラフィックをブロックします。そこから継続的に認証を行い、利用者が常に「ありのままのまま」であることを確認する必要があります。

保護への段階的アプローチ

組織の現在のセキュリティ戦略に保護分離層を追加することは非常に簡単で、セキュリティスタックを完全に見直す必要はありません。これは、隔離機能を備えたプラットフォームを介してトラフィックを転送するのと同じくらい簡単です。これにより、従来のセキュリティツールが残していたセキュリティギャップを簡単に埋めることができます。ファイアウォールを介して、あるいはクラウドベースの SWG の前に配信される隔離により、従来の検出ツールを回避する HEAT 攻撃がいくつあっても、ブラウザを保護できます。ユーザー、デバイス、アプリケーション、または脅威アクターがどこにいるか (企業データセンターの内外など) に関係なく、常に保護されていることは周知の事実です。

linkedin logotwitter/x logofacebook logoSocial share icon via eMail