柔軟に、折れることなく:攻撃側と守備側がいかに互いから学んできたか
2023年6月8日、Adam Khan
30 年以上前から、サイバー攻撃者とセキュリティチームは、デジタルの世界において戦いを繰り広げてきました。一方が隙間や欠陥を狙えば、もう一方はそれを修復し保護する。この争いのペースは加速しています。今日、既知のマルウェアプログラムは 10 億以上あります。このうち、9400万が過去 12 カ月に出現しました。2009 年の1年間では 2500万でした。
バラクーダの 20 周年を記念して、2003 年の創業以来、サイバー攻撃とサイバーセキュリティがどのように進化してきたか、そしてこの先には何が待っているのかの概要をまとめました。
2003年の状況
サイバー脅威とそれを防御するためのサイバーセキュリティは、1980年代半ば以降、本格化します。1987〜78年の Cascadeウイルス、1988年の Morris ワーム、1999年の Melissa ウイルスなどはその一部です。
2003年になると、サイバー脅威は多様化し増殖し始めますが、攻撃は断片的かつ分裂的で、しばしば場当たり的であることに変わりはありませんでした。ウイルス、ワーム、その他のマルウェアは、企業でのインターネット利用の増加に便乗しますが、組織的なサイバー犯罪の攻撃キャンペーンの一環として実際に実行されたわけではありませんでした。攻撃はノートパソコンやデスクトップ機器を標的とし、定義され管理されたアクセス境界の亀裂を探していました。
対するサイバーセキュリティは、既知のマルウェアをスキャンしてシグネチャで検出し、スパム、ウイルス、基本的な Web 攻撃をブロックすることに重点を置いていました。静的なシグネチャ検出システムはすぐに、増え続ける未知のマルウェアの亜種を発見するために設計されたヒューリスティック検出(疑わしい特性を持つコードを調べることによってウイルスを検出すること)によって補完されました。
しかし、この年に発売された最初のプッシュ型 BlackBerry 端末は、従業員とデータを従来の職場の枠から解き放つものでした。その後、ほかのデバイスやテクノロジー、アプリケーションが続々と登場し、すべてが一変しました。
2009年の状況
2009年には、モバイルデバイス、サービス、ソフトウェアがビジネスの舞台を席巻するようになりました。セキュリティの境界線はますます外側に広がり、攻撃者は組織化されました。金融詐欺、フィッシング、ランサムウェア、スパイウェア、ボットネット、サービス妨害(DoS や DDoS)などがサイバー脅威のエコシステムに加わり、その勢いは止まりませんでした。SQLインジェクションなど、この時期に初めて報告された攻撃手法のいくつかは、現在でも使用されています。
より大規模で多様なデジタルワークロードに対応するため、仮想マシン(VM)と仮想化は IT ネットワークに不可欠なコンポーネントとなりました。しかし、仮想化環境では、ワークロードやアプリケーションがサーバー間を移動するため、セキュリティ・ポリシーや設定の監視が難しくなる場合があります。保護が不十分な仮想マシンはマルウェアの標的にされ、感染すると仮想インフラ全体にマルウェアを拡散する可能性があります。一方で仮想化には、セキュリティ上の利点もあります。仮想マシンがネットワークから隔離されていれば、マルウェア解析や侵入テスト、シナリオテストに利用することができます。
2012年の状況
ランサムウェア時代の到来です。Web ベースやソーシャルエンジニアリングによる攻撃が普及し、国家が支援するグループや活動家による攻撃も増加しました。
同時に、拡張性があり、アクセス可能で、リアルタイムで更新でき、リソースを消費しないセキュリティを望むビジネスニーズに応えるために、セキュリティはクラウドや アズ・ア・サービス の消費モデルに移行します。また企業は、増え続けるクラウドホスト資産の保存と保護が可能なセキュリティや、巧妙化する電子メールベースの攻撃に対抗する高度な電子メールセキュリティも求めるようになります。
2016年の状況
2010年代も後半に入ると、サイバー攻撃はより多発し、破壊的なものとなっていきます。接続されたモノのインターネット(IoT)システムや、クラウドとオンプレミスのハイブリッド IT 環境が一般的になったことが、攻撃者に対してより広い攻撃対象と、標的とする新しい弱点と悪用するためのポイントを提供することになります。攻撃者は、ファイルレスマルウェアや正規または内蔵の IT ツールを使って、セキュリティ対策や検知を迂回するようになっていきました。
このような脅威から複雑なデジタル環境を保護するためにどれほどのスキルとリソースを必要とするかを知った多くの組織は、マネージドサービスプロバイダーの外部サポートを求めるようになっていきました。セキュリティの提供はより柔軟になり、主要なオンラインマーケットプレイスやその他のサービスプロバイダーを通じて利用できるため、今では購入して数分以内に稼働させられます。
2017年は、サイバー脅威とサイバーセキュリティの双方にとって分水嶺となる年となりました。この年、SMBプロトコルを標的とした強力なエクスプロイトツール EternalBlue が流出し、WannaCry と NotPetya という世界的に大きな影響を与える2つの攻撃が発生したのです。
2023年の現状
今日、モノのインターネットは、すべてのインターネット(Internet of Everything , I o E)へ進化しつつあります。セキュリティの統合と可視化が追いつかず、セキュリティギャップが生じ、攻撃者がそれを狙って悪用するようになりました。
攻撃者と防御者の両方が、AIと機械学習を活用しています。攻撃者はより説得力のあるソーシャルエンジニアリング攻撃やマルウェアを作り上げるため、防御者はそうした攻撃を検知しブロックできるような、よりインテリジェントなセキュリティツールを開発するためです。
マルウェアのツールやインフラが アズ・ア・サービスのかたちで広く利用できるようになったことで、サイバー攻撃はより多くの犯罪者にとって手を出しやすくなり、ランサムウェアや恐喝などの拡散を促しています。そして、多くのユーザーやデバイス、アプリケーション、データがかつての境界をはるかに超えて活動している企業に揺さぶりをかけているのです。
セキュリティ側は、シングルベンダーのエンドツーエンドネットワークセキュリティプラットフォームを導入して対応しています。このセキュリティプラットフォームはセキュア・アクセス・サービス・エッジ(SASE)と呼ばれ、ゼロトラストベースのアクセス制御、脅威情報、インシデントレスポンス、24 時間 365 日のセキュリティオペレーションセンターなど、エッジに高度なセキュリティをもたらします。
2022 年に始まったロシアによるウクライナ侵略は、DDoS やワイパーなどのサイバー攻撃戦術が、地政学的な緊張が高まった時にサイバー兵器として使われることを世界に知らしめたとも言えます。
2028年の予測
未来には何が待っているのでしょうか。
2020年代後半になると、セキュリティの境界線は過去のものとなり、攻撃は壊滅的な結果をもたらす可能性が高くなるでしょう。相互に接続された膨大なデジタルシステムやインフラに、世界があまりに依存するようになっているからです。セキュリティは、こうしたシステムに深く組み込まれる必要があります。
AI の活用は今後もどんどん広がりを見せ、企業や社会、地政学的安定に大きな影響を及ぼすと予想されます。AI は、セキュリティオペレーションセンターの直感的で迅速な対応を可能にし、複雑なインシデントの検出、理解、緩和を加速させるでしょう。
2020年代の終わりまでには、量子コンピュータが実用化され、医薬品開発や金融市場から気候変動や天気予報まで、あらゆる分野に変革をもたらすと期待されています。また、量子コンピューティングは、従来の暗号を解読できるようになるなど、サイバーセキュリティにも大きな影響を与えることになるでしょう。
まとめ
サイバーセキュリティは旅路そのものです。この20年を振り返ってみると、攻撃者もセキュリティチームも、変化する状況や相手に絶えず適応し、双方が変化を促し、変化によって動かされてきたことがわかります。今後数年間、変化は続き、加速していくでしょう。これまでの古い戦術や弱点に加え、新たな脆弱性や脅威が登場することになります。そしてセキュリティは、そのすべてに対応する必要があるのです。
原文はこちら
Bend, don’t break: How attackers and defenders learn from each other
Jun. 8, 2023 Adam Khan
https://blog.barracuda.com/2023/06/08/how-attackers-defenders-learn/
No comments yet.