EDRの導入検討前に求められること

先日、とある大手製造業のお客様からこんなお話を伺いました。
「本社系はEDRを全面導入したにもかかわらず、管理者権限を窃取され、AD陥落の一歩前(ドメインアドミンの不正窃取前)で侵入に気づくことができた。ギリギリセーフで焦ったよ」と。
実はこの内容に関してお客様と膝詰めで議論することができ、結果的にはセキュリティ高度化に向けた再検討プロジェクトがスタートしました。その実態を今回は皆さんにお伝えさせていただきます。
※お客様には匿名と一部内容の注釈を前提に記事化をご許可頂き、社名はA社とさせていただきます。

まずこのお話は、EDRの導入効果がなかった、という短絡的な話ではありません。EDR導入の前に検討すべき事項があったということが今回のポイントになります。もちろん、導入後でもあってもEDR導入効果を最大化するために、皆さんにも是非検討をいただきたいポイントではあります。

さて、昨今猛威を奮っているランサムウェアによる攻撃。最終的には犯罪者は組織が保存している情報資産(データ)を暗号化し、解読したければお金を支払え、という攻撃です。この攻撃プロセスは改めて注視する必要があります。
A社ではEPP刷新プロジェクトが1年前に稼働し、既存のEPPによる防御能力の不安から、EDR導入が検討され、今年の前半に本社系(東京、大阪、名古屋の主要拠点)の導入が完了しました。

並行してゼロトラストに向けたプロジェクトも稼働しており、セキュリティ基盤は断続的に刷新、強化されている真最中でした。しかし、よくよくお話を伺っていると、そもそも守るべき対象の情報資産の重要度定義から始まって、その情報資産がどこに保存されているか、アクセスするデバイスは何か、アクセス権限はどうなっているのか？と突き詰めてお伺いすると、正直、ほとんど定義出来ていないんだよね、との状況でした。でもそれをツールで何とか回避したい、という本音も聞かれ、残念ながらそのような魔法のツールはありませんよ、ということから今回のセキュリティ対策の高度化に向けた再検討プロジェクトがスタートしました。

情報資産の定義に関しては、IT資産管理や構成管理、脆弱性管理、ポリシー管理、アクセス管理の現状把握に始まり、各種管理における課題の優先度を付け、そしてTo-Beに向けた成熟度モデルの策定など多岐に渡る業務となります。こちらは自組織だけで検討することは難しく、IT資産管理のスペシャリスト集団と共にプロジェクトがスタートしました。

なぜEDRから資産管理の話になるの？と思われた方もいらっしゃるかもしれませんが、少し補足します。サイバー攻撃プロセスは、必ず脆弱性のサーチから始まります。脆弱性はOSやアプリケーションのパッチ未適用や、脆弱なパスワードやセキュリティ設定、そして今最も組織が注意すべきは、管理されていない非管理端末やサーバの存在です。弊社の分析でも平均15％の非管理端末を組織は保有しております。本来10,000台端末を管理している組織であれば、実に１,500台の非管理端末が存在していることにあります。犯罪者は非管理端末＝IT部門によって管理されていない最も深刻な脆弱性、を真っ先に狙います。これは端末(PCやサーバ)以外で勝手に現場や業務請負業社が本社ネットワークにアクセスするために設置した小型UTMやルータやVPN装置も同様です。一言で表現すれば「見えないものは守れない」状況をなくすことが最も重要な施策となります。

次に犯罪者は管理者権限、ドメインアドミンの窃取を試みます。非管理端末が攻撃対象となりますと、そもそもEPPもEDRといったツールも動いていないことが多く(特にサーバは無防備)、そこから初期侵入され、内部ネットワークを探索され、段階的に権限を昇格され、最終的にドメインアドミンを奪います。その際、攻撃プロセスで邪魔になるセキュリティツールを無力化や分析対象となるログ消去を実行するのです。なぜなら犯罪者はドメインアドミン＝IT (セキュリティ)部門が持つ最高権限を窃取しているので利用ツールを無力化出来るからです。ドメインアドミンが奪われると、組織の中枢機構が奪われると同義で、いわゆるAD乗っ取り(AD陥落)事案に発展します。

少し話が細かくなりましたが、サイバーハイジーン(IT資産管理や構成管理、脆弱性管理、ポリシー管理、アクセス管理)を連続的に実施することにより、「見えないものは守れない」をなくし、犯罪者に狙われる「脆弱性」を可能な限りゼロに近づける事が最も重要な施策である点はご理解いただけたかと思います。

せっかく導入(予定)した高機能なEDR等のツールは、ROIを最大化する上でも、上述したような業務は最重要となり、A社でサイバーハイジーンが経営側にも合意を取り付け、あらかじめ策定した成熟度に則り、断続的に強化していくことになりました。
あらゆる物事には原理・原則が必ずありますが、「サイバーセキュリティの原理・原則はサイバーハイジーンなくしてセキュリティなし、といっても過言ではなですね」、とA社役員からのコメントをいただき、改めてブログとして皆さんにお伝えをさせていただきました。

「見えないものは守れない(守りようがない)」、このキーワードは是非、皆さんの頭の片隅に入れて施策検討を実施頂けると幸いです。犯罪者は「見えないもの」＝「脆弱性」を常に狙っています。

ブログ記事に関してご質問やご要望がございましたらこちらからお問い合わせください。