敵がますますベンダーと契約者のアカウントを使ってネットワークに侵入

Cisco Talos Blog

blog.talosintelligence.com

ネットワークへの侵入にベンダーと契約者のアカウントが増える

By Nick Biasini, Craig Jackson Tuesday, June 6, 2023 08:06 On The Radar

  • Cisco Talos Incident Response (Talos IR) は、最近の緊急対応の際に攻撃者がベンダーや契約者のアカウント(VCA)を対象とし、そのアカウントを利用する事例を頻繁に観察しています。
  • ソフトウェア供給チェーンの妨害事例が注目を浴びる一方(例えば、最近公表された3CX Desktop Softphoneアプリケーションを通じた供給チェーン攻撃)、第三者労働力のアカウントの悪用はしばしば見過ごされます。
  • ベンダーのアカウントは魅力的な供給チェーンのエントリーポイントと見なされています。
  • VCAは特に、初期アクセスが得られる前後に攻撃者にとって魅力的です。ある調査で、Talos IRは攻撃者が低い権限を持つユーザーアカウントを使って組織にアクセスし、その後、他の2つのアカウント(組織全体にソフトウェアをデプロイするためのサービスアカウントと第三者のベンダーアカウント)を使って成功裏に認証を行った事例を観察しました。
  • 何故攻撃者が比較可能な権限を持つ他のアカウントよりもVCAを好むのか、その理由はいくつかあります。

VCAの悪用に関するIRの教訓

  • 過去数年間にわたり、Talos IRは、インシデント対応の過程で、攻撃者がVCAを様々な方法で悪用する事例を度々観察してきました。
  • これらのアカウントは、初期アクセスのために頻繁に利用され、組織のネットワークを通じて横断的に利用されることが多いです。特に、被害者が多要素認証(MFA)を導入していない場合にはこの傾向が強まります。

VCAの悪用からの防御と影響の軽減に向けた戦略

  • VCAが持つリスクレベルを理解し、認識することが、この脅威を軽減するための第一歩です。その後の課題は、これらを適切に保護する方法です。
  • 組織がVCAを保護し、VCAの侵害の影響を軽減するために使用できるいくつかの戦略があります。
  • これらの勧告の一部は、予防だけを念頭に置いて行われているわけではありません。それらはまた、インシデント対応者が、特にActive Directoryが利用できない場合に、侵害されたVCAにより影響を受ける可能性のあるシステムの範囲を迅速に理解するのを助けます。

VCAが必要でない場合は無効化する

  • ITチームや情報セキュリティチームがVCAを保護するために取ることのできる最も簡単なステップの一つは、それらが必要でないときに無効化することです。

ロギングを確認し、セキュリティ監視を強化する

  • VCA周りのロギング設定を評価し、確認して、彼らが行う全てを視覚化できるようにします。疑わしいあるいは異常なVCAのアクティビティを特定するためのアラートを作成します。

最小特権アクセスを実装する

  • エンタープライズ環境での効果的なアクセス制御は一般的な課題であり、VCAも例外ではありません。

VCAをリモートアクセスのヘルスチェックに含める

  • あなたのエンドユーザーのワークステーションが硬化され、様々なホストベースのコントロールで保護されていることを確認するために努力しています。

ジャンプボックスまたは専用のベンダーアクセスアプリケーションを使用する

  • ベンダーのセキュリティ要件を強制する最善の方法