資格情報はどのように侵害されますか?
資格情報を完全に定義しましょう: ほとんどの人は、ほとんどのサービスが通常依存していたパスワードとユーザー名の組み合わせにすぎないと考えています が、資格情報の世界は急速に変化しています。
生体認証とパスワードレスアクセスキーの人気はますます高まっており、 多要素認証(MFA) の台頭により、アカウントとデータを保護するためのオプションのリストが拡大しています。
これにより、攻撃者はこれらの認証情報を盗むための新しくてエキサイティングな方法を手に入れることができます。
行動攻撃
従来、電子メールとパスワードを取得する最も成功した方法は、他のデータ侵害(電子メールと時折平文のパスワードを提供する可能性があります)や フィッシング 攻撃でした。
データ侵害による認証情報の盗難の成功は、次の要素に大きく依存しています。
- エンドユーザーがパスワードを再利用する悪い習慣
- 管理者資格情報の変更の失敗
フィッシングメールは、被害者を偽のログインページに誘導します。 正規のログイン画面と同様に、これらの偽のログイン画面は、攻撃者自身のデータベースに資格情報を送信します。 どちらも依然として蔓延していますが、組織の フィッシング防御により、フィッシングによる認証情報の盗難の割合は鈍化しています。
その代わりに、キーロガーやブルートフォース攻撃が進歩しています。
テクニカルアタック
キーロガー は以前から存在しており、インストールされると、ユーザーのキー入力を追跡し、C2サーバーに送信します。 収集されるのはパスワードだけでなく、機密性の高いリソースや内部通信もすべてスクレイピングできます。 ブルートフォース攻撃は、かつてはボットが文字と数字の任意の組み合わせを手動で入力する( クレデンシャルスタッフィング )ことで、盲目的に正しい組み合わせを入力することを期待していました。
しかし、キーロガーと同様に、ブルートフォース攻撃も進化しています...
Kerberoastingは、インテリジェントなブルートフォースの一例であり、 Kerberosプロトコルは、Windowsの認証サービスによって使用され、ユーザーが要求しているサーバーへのアクセスが許可されていることを確認します。 ユーザーが Kerberos チケットのアクセス・キーを持っている場合、サーバーへのアクセスが許可されます
(基盤となるアカウントのメールアドレスやパスワードを持っているかどうかは関係ありません。
Kerberoasting攻撃では、攻撃者はこれらの暗号化されたチケットを盗み、ブルートフォース攻撃または辞書ベースの攻撃で暗号化キーを実行します。 ただし、Kerberosチケットをリクエストするには、最初の権限が必要です 。つまり、Kerberoastingは通常、下位レベルのアカウントが侵害された後に開始されます。
これにより、Kerberoastingは特権昇格の一般的なオプションになります。
侵害された資格情報を検出する方法
侵害された資格情報を検出するために、組織はユーザー エンティティと行動分析 (UEBA) システムを使用してユーザー アクティビティを監視し、セキュリティの脅威を示す可能性のある異常な動作を特定します。
UEBAソリューションは、次のようなソースからデータを収集し、分析します。
- ネットワークデバイス
- オペレーティングシステム
- 不正アプリケーション対策
これは、一般的なユーザー行動の長期にわたるベースラインを確立するために行われます。 アクティビティがこれらの確立されたパターンから逸脱すると、資格情報またはアカウントの侵害の可能性を示す可能性があります。
セキュリティ情報およびイベント管理 (SIEM)プラットフォームも、侵害されたアカウントの検出において重要な役割を果たします。 SIEMツールは、組織全体からセキュリティログを収集して分析することで、イベントを関連付けて、次のような疑わしい動作にフラグを立てます。
- 通常とは異なるログイン試行
- ロケーションの異常
- 権限のない権限昇格
(これは、 セキュリティ侵害.)
ユーザーアカウントと認証アクティビティの継続的な監視は、潜在的な侵害を早期に特定し、組織がリスクを軽減するために迅速に対応できるようにするために不可欠です。
Stop Credential Compromise with チェック・ポイント Harmony
チェック・ポイント Harmony は、ポリシー・ベースの制限と高度な異常検出を組み合わせることで、パスワードの再利用を防止し、クレデンシャルの盗難を検出します。
チェック・ポイントのセキュア・ブラウザ・アクセス・ポリシーにより、管理者は、パスワードの再利用が禁止される特定の企業ドメインを定義することで、パスワードの再利用を防ぐことができます。 これらの保護されたドメインが設定され、ユーザーのブラウザ拡張機能と同期された後、ユーザーがこれらの指定されたドメインのいずれかの資格情報を入力すると、システムはハッシュ化されたバージョンのパスワードをキャプチャしてローカルに保存します(SHA-256とHMACを使用)。
このパスワードハッシュを保存することで、拡張機能は、同じパスワードが別の保護されていないドメインで再利用されているかどうかを検出できます。
パスワードの再利用が検出された場合、システムは次のような事前設定された応答を開始します。
このアプローチにより、Active Directory の外部にあるドメインをセキュリティで保護できます。
侵害された認証情報を検出するために、チェック・ポイントは、正当なユーザー間で異常なアクティビティ・パターンを識別する異常検出エンジンを使用します。 システムは、ログイン時間、場所、データ転送、および電子メールの動作に基づいてユーザープロファイルを作成し、一般的な動作のベースラインを確立します。
大きな逸脱が生じ始めた場合、各異常なアクションは重大度によって分析および評価されます:「重大な」イベントは、アカウントが侵害される可能性が高いことを示し、即時の調査が必要であり、セキュリティチームのワークフローのトップに押し上げられます。
自動化されているのは分析システムだけではありません...
Harmony Email & Collaborationシステムは、過去数時間のユーザーの最近の電子メールの調査に基づいてアラートを開始できます。そのアンチフィッシングエンジンは、潜在的なフィッシングリンクやメールを綿密に評価し、検査でリスクの高い通信が見つかった場合、エンジンはそれ以上のメールやアクションを隔離できます。
これによって提供される機能が必要だが、人的資源がない場合は、チェック・ポイントの 外部リスク管理サービスをご覧ください。
パスワードの再利用防止と高度な異常検出を組み合わせたこの包括的なアプローチは、資格情報を保護しながら、検出されたセキュリティ インシデントに迅速に対応するのに役立ちます。 企業ネットワーク内での活動について懸念がある場合は、 今すぐセキュリティの専門家にお問い合わせください。
フィードバック