RSAカンファレンス 2023企業のネットワークで何か重大な事態(例えば、SolarWindsやLog4Jのようなサプライチェーン攻撃)が発生すると、情報セキュリティ関係者の間で話題になります。通常、誰もその範囲や詳細を知る前に、です。
「同僚が3CXの件を初めて知ったのは、こうしてでした。『ねえ、サプライチェーンの件があるって聞いたんだけど』」と、セキュリティ企業Red Canaryのインテリジェンスディレクター、ケイティ・ニッケルズ氏は、今週開催されたRSAカンファレンスのパネルセッションで語った。ニッケルズ氏が言及したのは、3CXに対するサプライチェーン攻撃のことだった。この攻撃により、悪意のある人物がVoIP事業者のデスクトップクライアントに密かにマルウェアを仕込んだのだ。
このような侵入事件の後、インシデント対応要員が呼び出されます。彼らの仕事は、パニックと混乱を切り抜け、状況を明確に評価し、被害を軽減するための計画を立てることです。ニケルズ氏が同じ立場にある人々に向けて最初に送ったアドバイスは、「最初の24時間以内に耳にする情報には、どんなことでも真剣に疑ってかかること」です。
これは、初期のデータセットを調査的かつ科学的な視点から見ることを意味する、とセキュリティベンダーのユニット42コンサルティングおよび脅威調査グループを率いるパロアルトネットワークスの上級副社長、ウェンディ・ホイットモア氏は付け加えた。
「疑惑を証明するだけでなく、同じ程度に反証もできる人材を求めています」とホイットモア氏は述べた。「そうすることで、重要な判断能力を駆使し、それがどれほど重大なことなのかを判断できるようになるのです」
専門家…RSAカンファレンスのインシデント対応パネル。左から、Wiredのリリー・ヘイ・ニューマン氏、Dragosのレスリー・カーハート氏、Red Canaryのケイティ・ニッケルズ氏、Palo Alto Networksのウェンディ・ホイットモア氏
Dragos の北米のインシデント対応担当ディレクターである Lesley Carhart 氏が、自社の産業クライアントの 1 社から電話を受けたとき、侵害の潜在的な結果は、基本的な IT セキュリティ インシデントとはまったく異なるものになる可能性があることがわかりました。
「生命、安全、環境、施設の火災。これらはすぐに起こりうる非常に深刻な事態であり、状況の全てを把握する前に、時にはトリアージ(優先順位付け)を行う必要がある」とカーハート氏は述べ、懐疑的な姿勢は依然として重要だと付け加えた。
「時には懐疑的にならなければなりません。パニックに陥り、事態は実際よりもはるかに悪いと考えている人たちに、現実を突きつける存在でなければなりません。本当にひどい状況になっている可能性もあるのです。しかし、最初の24時間は、確かなことは何も分からないのです。」
3CXから学んだ教訓
これは、今月初めに発生した3CXへの不正侵入のようなサプライチェーン攻撃への対応において特に当てはまります。この種の侵入は、特にマルウェアが信頼できるソフトウェアに埋め込まれている場合、検出が困難になることがあります。
一度攻撃が検出されると、使用されているすべてのソフトウェアと各ソフトウェアのすべてのコードを正確に把握していない限り、攻撃の範囲、そして組織が攻撃を受けたかどうかを判断するのは困難です。
Solar Winds、Kaseya、Log4j における過去の危機は、いずれもこれらの困難を浮き彫りにしています。しかし、パネリストによると、最近の 3CX の危機から得られた具体的な教訓もいくつかあるとのことです。
改めておさらいすると、ソフトウェアメーカーのデスクトップアプリが侵害されたのは、3CXの従業員がTrading Technologies社が公開した先物取引アプリ「X_Trader」のトロイの木馬版を自社のコンピュータにインストールしたためです。これにより、攻撃者は従業員の感染したマシンから3CXのシステムに侵入し、ベンダーのデスクトップアプリを改ざんしてマルウェアを組み込み、顧客ネットワークに提供することができました。
3月29日、CrowdStrikeは自社のブログとRedditの投稿の両方で、3CXの侵入に関する警告を発しました。
「これは協力関係の教訓であり、実際に公開して情報を共有することの力です」とニケルズ氏は述べた。「CrowdStrikeは、GitHubがインフラとして利用されていることを非常に早い段階で報告しました。そしてGitHubは、そのインフラを迅速に停止させました」と彼女は続け、これら2つの行動が、サプライチェーンの下流でさらに多くの企業が侵害されるのを防ぐのに役立ったと付け加えた。
「GitHubのおかげで多くの組織が救われたと思います」とニケルズ氏は述べた。「インフラを共有し、停止させることで、事態がさらに悪化するのを防げるという良い例です。」
禅を見つける
インシデント対応に関しては、混乱の可能性がある状況を乗り切るために冷静さも重要なスキルであるとパネリストらは指摘した。
たとえば、ホイットモア氏は、金曜日の夜 (注: いつも金曜日の夜です) に、彼女のチームが「大企業」の CISO から、当初 Palo Alto Networks のファイアウォールから来ていると思われる疑わしいトラフィックについての電話を受けたという話を共有しました。
ネタバレ注意: そうではありませんでした。
「電話に出たとき、緊張が非常に高まっていたので、状況をうまく切り抜けるには高度な技術力が必要だっただけでなく、当初の落ち着いた対応が、電話中の混乱とフラストレーションを和らげ始めた」とホイットモア氏は語った。
ニケルズ氏はこれを「セキュリティセラピー」と呼び、「パニックはインシデント対応に必ずしも必要なわけではない。パニックになることと緊急感を持つことは違う」と付け加えた。
- 3CXサプライチェーン攻撃は悪化の一途を辿り、被害者がさらに発見される
- ランサムウェアと1ヶ月に及ぶ対応の合間に、IRチームはハグと昼寝を必要としている
- 戦争の未来はAIだと退役米陸軍大将が警告
- 30年間の実存的恐怖リストから「量子コンピューターが暗号通貨を破壊する」という恐怖を消し去ることができる
両親が(願わくば)見せてくれた「きっと大丈夫」という感覚を覚えていますか?その感覚を活かすべきです。「インシデント対応を担当する相手に、その感覚を伝染させる必要があります」とカーハート氏は言います。
これは習得すべきスキルであり、時間がかかり、そして確かに恐ろしいこともある、と彼らは付け加えた。「敵を捕まえるために本当に必要な最初の証拠を見つけられるかどうか、決して確信が持てないのです」と、インシデント対応担当者は語った。
「糸口を見つけ始めると、本当に魅力的で面白くなります。でも、初日はいつも少し怖いです。私たちは心の平静さを培い、深刻な結果をもたらす可能性のあるこのような激しい危機に冷静に対処する必要があります。」®
