サイバーキルチェーンとは?【攻撃者の行動パターンを知って防御設計に生かそう】
サイバー攻撃の具体的な統計情報をみると衝撃を受けます。
例えば、NICT(国立研究開発法人情報通信研究機構)が2019年2月に公開した「NICTER観測レポート2018」によると、2018年に観測されたサイバー攻撃関連の通信は2,121億パケットとのことです。前年は1,504億パケットですので約1.4倍増加したことになります。(10年前は35億パケット)
一方、サイバー攻撃のターゲットは様々なIoT機器に対する割合が増加していて、その攻撃パターンも多種多様になっている傾向があります。
サイバー攻撃の多様化に対する防御設計では、攻撃者の行動パターンを抑えておくことが必要です。
それにはサイバーキルチェーンというものが役立ちます。
サイバーキルチェーンとは?
サイバーキルチェーン(Cyber Kill Chain)とは、米Lockheed Martin社が提唱したもので、サイバー空間の標的型攻撃における攻撃者の行動を分解した考え方を示したものです。ちなみに「Kill Chain」とは攻撃を示す軍事用語です。
それによると、攻撃者の攻撃フェーズは以下のように分類されるとしています。
- 偵察(Reconnaissance):従業員のSNSなどから情報を収集する
- 武器化(Weaponization):攻撃コードやウィルスを作成する
- 配送(Delivery):メールやWeb経由でウィルスを送り込む
- 攻撃(Exploitation):メールの添付ファイルを開かせる、攻撃コードを実行する
- インストール(Installation):ウィルスをインストールさせる
- 遠隔操作(C2:Command & Control):C&Cサーバに接続させ、端末を遠隔操作する
- 目的実行(Actions on Objectives):情報を外部に持ち出す
攻撃フェーズごとに対策を検討する
サイバー攻撃に対する防御設計として、これまでは社内ネットワークとインターネットの境界を監視する「境界防御」が主流でした。
それは主に、ウィルスなどを検知して侵入させない「入口対策」と、C&Cサーバへの通信や情報漏洩を検知して防ぐ「出口対策」で成立していたものです。
C&Cサーバ(Command and Control)とは攻撃者からの命令をウィルスに送信するサーバのこと
ただ、「境界防御」では境界を突破された通信に対しては無防備になってしまいます。
現在では「境界防御」にプラスして社内ネットワークでの対策も行う「多層防御」が必要とされています。複数の防御策を施すことでセキュリティを強化することにつながります。
多層防御を検討する上で、攻撃をフェーズに分けるサイバーキルチェーンの考え方は効果的に設計することにつながります。
具体的な各フェーズごとの対策の行動プランや製品選択についてはいろいろなベンダーが提案していますが、一例としてマクニカネットワークスのWebサイトが参考になるでしょう。
日々話題になるサイバー攻撃に対し、それぞれの適用技術を深掘りする前段階として、攻撃者の行動パターンのどこに特徴があるのかを俯瞰して見ていくことが重要ですね。