リモート・サービス・エクスプロイトとその防止策
Risk Factors
Likelihood
Complexity
Business Impact
リモート・サービス・エクスプロイトとは リモート・サービス・エクスプロイトは、
脆弱性(プログラミング・エラーなど)または有効なアカウントを利用してネットワークの内部システムに敵対者が不正アクセスできるようにする技法です。リモート接続が確立されると、攻撃者は敵対者により制御されるコードを実行する可能性があります。ほとんどの場合、その目的は標的のシステムへと横方向に移動することです。脆弱なシステムを特定するため、攻撃者は一般に1つまたは複数の技法(ネットワーク・サービスのスキャンなどを利用してパッチ未適用のソフトウェアを見つけ出します。一般的なランサムウェアやマルウェア(Ryuk、WannaCry、NotPeyaなど)は、既知のエクスプロイトを使用してネットワーク上でコードを実行する機能を備えています。これにより、最終的には横方向の移動と伝播が可能になります。リモート・デスクトップ・プロトコル(RDP)はリモート・サービスの一般的な標的となっていますが、それもそのはずです。このプロトコルはエンタープライズ環境で広く使用されており、Windowsデバイスへのリモート・アクセスを可能にし、メモリ内で資格情報を公開したままにします。
リモート・サービス・エクスプロイトに対する防御
大きな損害をもたらすエクスプロイトを回避するには、防御の第一線で脆弱なアクセス・ポイントを減らし、保護する必要があります。まずは、ソフトウェアを更新して、新たに公開されるパッチを最新の状態に維持し、使用されていないプログラムを無効化および削除します。それから、アプリケーションの隔離、サンドボックスの構築、ネットワーク・セグメンテーションにより、横方向の移動を防止し、特定のシステムおよびサービスへのアクセスを減らすことができます。可能であれば、RDPなどのリモート・アクセス・プロトコルを無効にする必要があります。リスク軽減のために組織が講じることのできる措置として、認証方法の実装と定期的な見直し、セキュアな資格情報の作成と多要素認証のポリシーの実施などがあります。高度なセキュリティ・チームは、疑わしいドメインまたはエンドポイントとの外部接続を特定し、組織への悪意のあるリモート接続を減らすために、脅威インテリジェンス・プログラムなどの事前対応型のアプローチも採用する必要があります。エンドポイントとネットワークの両方に影響する侵害を見つけるには、検知ツールも役立ちます。ネットワークでの検知と対応(NDR)とエンドポイントでの検知と対応(EDR)を組み合わせて使用することによって、ネットワーク内での侵害と横方向の移動を検知できます。リモート・サービス・エクスプロイト攻撃の検知は復号を使用することで強化できます。リモート・サービス・エクスプロイトは、内部サービスと公開サービス両方のさまざまな幅広いサービス、および各種プロトコル(HTTPs、MS-RPC、SMBv3など)にわたって発生する可能性があります。そのため、TLSやMicrosoftのプロトコル(Kerberos、MS-RPC、SMBv3など)のような、暗号化されるのが一般的な業界プロトコルのすべてに対応する復号機能が、セキュリティ・ツールに搭載されていることが重要です。