サイバー キル チェーンとは

2011 年、Lockheed Martin は、キル チェーンと呼ばれる軍事概念をサイバーセキュリティ業界向けに改作し、サイバー キル チェーンと名付けました。このキル チェーンと同様に、サイバー キル チェーンは攻撃のステージを特定し、各ステージ中の敵対者の一般的な戦術と技法に関する分析情報を防御者に提供します。また、どちらのモデルも線形であり、攻撃者が各ステージを順番に辿ることを予想しています。

サイバー キル チェーンが初めて導入されて以来、サイバー脅威アクターは戦術を進化させており、サイバー キル チェーンのすべてのステージを常に辿るわけではありません。これに対応して、セキュリティ業界はアプローチを更新し、新しいモデルを開発しました。MITRE ATT&CK® マトリックスは、実際の攻撃に基づく戦術と技法の詳細な一覧です。これは、サイバー キル チェーンと同様のステージを使用しますが、線形の順序を辿りません。

2017 年に、Paul Pols 氏が Fox-IT および Xsdden University と共同で別のフレームワークである統合キル チェーンを開発しました。このキル チェーンは、MITRE ATT&CK マトリックスとサイバー キル チェーンの両方の要素を 18 ステージのモデルに統合しました。

偵察

サイバー キル チェーンは、動機、ツール、方法、技法、意思決定の方法、検出の回避方法などのサイバー攻撃の思考傾向を理解することを目的として、サイバー攻撃フェーズのシーケンスを定義します。サイバー キル チェーンのしくみを理解することは、防御者が最も早いステージでサイバー攻撃を停止するのに役立ちます。

武器化フェーズでは、攻撃者が、偵察中に発見した情報を使用して、標的の組織の弱点を最大限に悪用するために、マルウェアを作成または変更します。

サイバー攻撃者は、マルウェアを構築した後、攻撃を開始しようとします。最も一般的な方法の 1 つは、フィッシングなどのソーシャル エンジニアリング技法を使用して、サインイン資格情報を渡すように従業員を誘導することです。また、攻撃者は、それほど安全ではない公衆ワイヤレス接続を利用したり、偵察中に発見したソフトウェアやハードウェアの脆弱性を悪用したりすることで、侵入できる可能性があります。

サイバー脅威攻撃者は、組織に侵入した後、アクセス権を使用して、システム間で横方向に移動します。その目標は、組織に損害を与えために使用できる機密データ、追加の脆弱性、管理アカウント、またはメール サーバーを見つけることです。

インストール ステージでは、攻撃者がマルウェアをインストールして、より多くのシステムとアカウントを制御できるようにします。

サイバー攻撃者は、多数のシステムを制御した後、リモートで操作するためのコントロール センターを作成します。このステージでは、難読化を使用してトラックをカバーし、検出を回避します。また、サービス拒否攻撃も使用して、セキュリティ プロフェッショナルの注意を真の目的から逸らします。

このステージでは、サイバー攻撃者は、サプライ チェーン攻撃、データ流出、データ暗号化、データ破壊などの主要な目標を達成するためのステップを実行します。

Lockhead Martin の元のサイバー キル チェーンには 7 ステップしか含まれていませんが、多くのサイバーセキュリティ専門家は、これを 8 ステップに拡張しました。これにより、攻撃者がランサムウェアを使用して被害者からの支払いを引き出したり、機密データをダーク Web で販売したりするなど、攻撃から収入を生み出すために行うアクティビティに対処します。

サイバー脅威攻撃者が攻撃をどのように計画および実施しているかを理解すると、サイバーセキュリティ専門家が組織全体の脆弱性を見つけて軽減するのに役立ちます。また、サイバー攻撃の初期ステージにおける侵害の指標を特定するのにも役立ちます。多くの組織が、サイバー キル チェーン モデルを使用して、セキュリティ対策を積極的に実施し、インシデント対応を指導しています。。

脅威インテリジェンス

サイバー脅威から組織を保護するための最も重要なツールの 1 つは、 脅威インテリジェンスです。優れた脅威インテリジェンス ソリューションは、組織の環境全体のデータを合成し、セキュリティ専門家がサイバー攻撃を早期に検出するのに役立つ実用的な分析情報を提供します。

多くの場合、攻撃者はパスワードを推測するか盗むことによって組織に侵入します。内部に侵入した後、特権をエスカレーションして機密データとシステムにアクセスしようとします。ID およびアクセス管理ソリューションは、承認されていないユーザーがアクセスできたことを示している可能性のある異常なアクティビティを検出するのに役立ちます。また、誰かが盗んだ資格情報を使用してサインインするのを難しくする、2 要素認証などの制御とセキュリティ対策も提供しています。

多くの組織は、セキュリティ情報イベント管理 (SIEM) ソリューションを利用して、最新のサイバー脅威の一歩先を行っています。SIEM ソリューションは、組織全体およびサードパーティのソースからのデータを集計して、セキュリティ チームがトリアージして対処するための重要なサイバー脅威を表面化します。また、SIEM ソリューションの多くは、特定の既知の脅威に自動的に対応し、チームが調査する必要があるインシデントの数を減らします。

どのような組織にも、数百または数千のエンドポイントがあります。企業がビジネスを行うために使用するサーバー、コンピューター、モバイル デバイス、モノのインターネット (IoT) デバイスの間で、すべてを最新の状態に保つことはほぼ不可能です。攻撃者はこのことを知っています。これが、多くのサイバー攻撃がセキュリティ侵害されたエンドポイントから始まる理由です。エンドポイントでの検出と対応ソリューションは、セキュリティ チームがエンドポイントを監視して脅威を検出し、デバイスのセキュリティの問題が検出されたときに迅速に対応するのに役立ちます。

拡張検出と応答 (XDR) ソリューションは、エンドポイント、ID、クラウド アプリ、メールを保護する単一のソリューションを使用して、エンドポイントでの検出と応答をさらに一歩進めます。

すべての企業が、脅威を効果的に検出して対応するための社内リソースを利用できるわけではありません。これらの組織は、既存のセキュリティ チームを強化するために、マネージド検出と応答を提供するサービス プロバイダーに目を向けています。これらのサービス プロバイダーは、組織の環境を監視し、脅威に対応する責任を担います。

サイバー キル チェーンを理解することは、企業や政府が複雑でマルチステージのサイバー脅威に対して積極的に準備して対応するのに役立ちますが、排他的に利用すると、組織が他の種類のサイバー攻撃に対して脆弱になる可能性があります。サイバー キル チェーンの一般的な批評のいくつかを次に示します。

• マルウェアを重視している。元のサイバー キル チェーン フレームワークは、マルウェアを検出して対応するように設計されており、不正なユーザーがセキュリティ侵害された資格情報を使用してアクセスする場合などの他の種類の攻撃に対しては効果的ではありません。

• 境界セキュリティに最適である。エンドポイントの保護に重点が置かれたサイバー キル チェーン モデルは、保護するネットワーク境界が 1 つあるときに効果を発揮しました。あまりに多くのリモート ワーカー、クラウド、会社の資産にアクセスするデバイスの数の増加に伴い、すべてのエンドポイントの脆弱性に対処することがほぼ不可能である場合があります。

• 内部関係者による脅威には備えていない。一部のシステムに既にアクセスできる内部関係者は、サイバー キル チェーン モデルでは検出が困難です。代わりに、組織はユーザー アクティビティの変更を監視して検出する必要があります。

• 線形すぎる。サイバー攻撃の多くは、サイバー キル チェーンで概説した 8 つのステージを辿りますが、複数のステップを 1 つのアクションに組み合わせるサイバー攻撃や組み合わせないサイバー攻撃も多数あります。各ステージを重視しすぎている組織は、これらのサイバー脅威を見逃す可能性があります。

Lockhead Martin がサイバー キル チェーンを初めて導入した 2011 年以降、テクノロジとサイバー脅威の状況は大きく変化しています。クラウド コンピューティング、モバイル デバイス、IoT デバイスにより、人々の仕事やビジネスのやり方が変革されました。サイバー脅威攻撃者は、自動化と AI を使用してサイバー攻撃を加速および改善するなど、独自のイノベーションを使用してこれらの新しいテクノロジに対応してきました。 サイバー キル チェーンは、サイバー攻撃者の考え方と目標を考慮したプロアクティブなセキュリティ戦略を開発するための優れた出発点を提供します。Microsoft Security は、XDR と SIEM を 1 つの適応可能なソリューションにまとめ、組織がサイバー キル チェーンのすべてのステージを保護する多層防御を開発するのに役立つ、統合 SecOps プラットフォームを提供します。また、組織は、Microsoft Security Copilot などのサイバーセキュリティ ソリューション向けの AI に投資することで、AI 搭載の新たなサイバー脅威に備えています。