カジノサイト
攻撃者の精神を良い方向に利用する方法
もし私たち全員が攻撃者の考え方を採用していたら、社会ははるかに楽しくなくなってしまうでしょう。新しい人に出会ったとき、誰もが最初に考えるのは、個人的な利益のためにその人をどう操作するかということでしょう。それぞれの遭遇は、関与規則、ポリティカル・コレクトネス、マナー、道徳、良心が機能しないという前提に基づいています。
攻撃者は、ほとんどの人がやらないことを平気で行います。彼らは利己的な状況を生み出すために、悪用可能な動機や脆弱性を探しています。彼らは平気で別人になりすまし、偽りの関係を築き、真実を隠します。たとえば、攻撃者は、CFO の家を尾行して個人情報を収集したり、CEO のホテルのフロアに部屋を予約し、ホテルのバーで「知り合い」になって会社の詳細を収集したり、IT スタッフにマルウェア入りの素敵なギフトを送ったり、Facebook を使ってゲーム内に隠された悪意のあるリンクを子供に送信したりすることさえ平気で行います。
この人たちは違います。彼らはそれを一段か五段上げます。しかし、正確には何が彼らを区別しているのでしょうか?
唯一の使命に焦点を当てます。プロの攻撃者は、傍観者で何が起こっているかに気を取られることはありません。彼らは任務の達成のみに焦点を当てています。彼らは行政、官僚機構、予算に束縛されず、委員会によって決定を下すこともありません。彼らは自分が何を望んでいるのかを知っており、それに向かって進みます。
アクセスできる貴重品の包括的なリストを知りたい場合は、攻撃者に尋ねてください。彼らは常に個人的な利益のために人々と機会を見積もっているので、彼らはそれを知っているでしょう。
攻撃者が価値があると考えているものとその理由に驚かれるかもしれません。それはお金や知的財産と同じくらい明白な場合もありますし、その他の物品である場合もあります。今日の世界では、経済的利益を得る機会が以前よりもはるかに広がっています。攻撃者は、泥棒、共謀者、漏洩者、不満者、または日和見主義者であるかどうかに応じて、さまざまなアイテムを求める可能性があります。個人の評判、人間関係、人事、ビジネスのスピード、精神的健康などが、特定の目的を持った特定の攻撃者の標的になる可能性があります。
データを例に挙げると、機密性、完全性、可用性のサイバーセキュリティ「CIA トライアド」は、盗難だけが脅威ではないことを示しています。攻撃者は、密かにデータの整合性を妨害したり、あなたやあなたの顧客がデータにアクセスすることを拒否したりすることによって、組織に損害を与える可能性もあります。
忍耐。適切なタイミングで適切な場所にいることに気付いたことがありますか?それを幸運に帰するか偶然の偶然に帰するかにかかわらず、私たちのほとんどは、日々の私生活や仕事の中で、そのような状況を自分で作り出そうと努めますが、その結果はたいてい当たり外れがあります。適切な場所にいて、適切な時期が来るのを待っているだけではだめです。しかし、それはまさに攻撃者の行為です。
サイバーセキュリティの世界では、デジタルの「ハニーポット」Web サイトにより、攻撃者は何も知らない被害者が来るのを待ち構えることができます。物理世界では、攻撃者は施設へのドアの近くを徘徊し、建物内への正当なアクセス権を持つ人物を尾行することで共連れします。
彼らの最大の利点は、あなたの最大の課題です。攻撃者は一度だけ正しければよいですが、防御者は常に正しくなければなりません。
非線形思考。ほとんどの人は点 A と B の間に直線があるのが見えますが、攻撃者は多くの場合、点 D と F がどのようにして点 B に到達できるかに注目します。彼らはパターンを見て、それらのパターンがいつ適用されなくなるかを把握します。彼らは「はい」と「いいえ」の間の境界線を見つけて、その境界線が実際にどれほど鋭いかをテストします。彼らは自由回答型の質問をし、複数の前提から始めて推論を行い、次に進むべき道を推測します。そのパスがブロックされている場合は、プロセスを最初から繰り返します。ソフトウェアの弱点を狙う攻撃者は、多くの場合、このプロセスに従います。プログラムは全体的に見られ、セキュリティのギャップを示す特定の前提、推論、推論につながります。
この線形思考は、偵察の実行、スキャンと列挙、アクセスの取得、特権の昇格、冗長アクセスの作成、追跡の隠蔽など、攻撃の各段階に適用されます。
攻撃者は目隠しすることなく問題に目を向けます。彼らは全体像を把握しており、目標の達成に役立つ可能性がある可能性のある選択肢を決して排除しません。ディフェンダーは、そもそも思いつかないパスを遮断するという大きな課題に直面しています。
逆向きの推論。攻撃者は目標を視覚化し、逆方向に作業することで、考えられるすべてのアクセスとパス、特に防御者によって識別されておらず保護されていないものを特定することができます。
さまざまな用語 (後方連鎖、リバース エンジニアリング、目的を持ったタスク分析、逆行分析、または後方帰納法) で知られる後方推論は、よく知られた方法論です。 Amazon のデザイナーや開発者は、新しいプロジェクトを開始する前に、製品の成功を祝う、未来からの仮想のプレスリリースを作成します。そこから、成功点に到達するために何をする必要があるかを決定します。そしてそれはスティーブン・コヴィーの2番目です非常に有能な人々の 7 つの習慣、「終わりを念頭に置いて始めてください。」
2006 年、小売大手の TJX Companies Inc. (TJX) は、同社の儲かる顧客記録データから逆算して攻撃者が攻撃する 2 つの注目すべき例を経験しました。攻撃者は店内のジョブ アプリケーション コンピューター キオスクを使用して、マウス/プリンターの USB ポートを介してマルウェアを展開し、デバイスをメイン ネットワークにアクセスできるリモート端末に変えました。 TJX のメイン ネットワーク上のファイアウォールは、キオスクからの悪意のあるトラフィックを防御するように設定されていませんでした。数か月後、攻撃者はミネソタ州セントポールにあるマーシャルズ店舗の駐車場から不適切にセキュリティ保護された Wi-Fi ネットワークにアクセスし、老朽化した Wired Equivalent Privacy (WEP) ワイヤレス セキュリティ プロトコルの欠陥を悪用しました。 4,500 万件を超える顧客の支払いデータの記録と計り知れない収益が失われました。
必要な手段を講じて。攻撃者は集中力を維持しますが、これは攻撃者が単一のベクトルまたはアプローチに限定されることを意味するものではありません。彼らは、仮想領域、人間領域、物理領域のいずれであっても、機能するものはすべて使用します。平均的な防御者が「考えられるすべての攻撃ベクトル」と定義するものは、ルールを持たない人にとってはほとんど笑いものです。
攻撃者の心理が働く
2014 年の大手石油会社に対する攻撃では、攻撃者の考え方とアプローチが明らかになりました。攻撃者は会社のコンピューター ネットワークに侵入できず、代わりに従業員に人気の中華レストランのオンライン メニューにマルウェアを注入しました。従業員がメニューを閲覧すると、一部の従業員はソーシャル エンジニアリングによって、知らず知らずのうちにコードをダウンロードするように仕向けられ、攻撃者が会社のネットワーク内に狭い足場を築くことになりました。そこから、攻撃者は IT ベンダーを装い、企業のサーバーに物理的にアクセスできる企業 ID バッジを作成するための突破口を見つけました。
この作戦は、攻撃者がオペレーティング環境全体、特にデジタル、物理、人間の領域内で脆弱性を悪用する能力を実証しました。これらのドメインの相互接続性と相互依存性、およびそれらがもたらす総合的なリスクを理解することは、組織のリスク軽減戦略の開発における重要な第一歩です。
仮想攻撃対象領域。仮想ドメインが受ける注目の量が増大することにはメリットがあります。デジタル領域内のリスクはすでに非常に広範囲にわたり、運用上のセキュリティの欠如から不適切なポリシー、不適切なコード、経営陣の安全でないホーム ネットワークに至るまで、急激に増大しています。
競合製品の発売を急ぐあまり、セキュリティよりもユーザーの利便性を優先するあまり、メーカーは必要なセキュリティ保護措置を無視することがよくあります。そしてインターネットへの依存のおかげで、攻撃者は監視カメラ、アクセス制御システム、スマートフォンやラップトップのマイクとカメラ、サーモスタット、車両、産業用制御システムなど、ほぼあらゆるものを侵害できるようになりました。
攻撃者の考え方と広範な接続性を組み合わせる危険性は、2017 年の北米のカジノに対する攻撃で例示されました。攻撃者はインターネット対応の水槽を使用し、水槽の温度、餌、清潔さを調整する施設の PC に接続されたセンサーを悪用しました。その結果、10 GB の個人データがフィンランドのデバイスに送信されました。
セキュリティ業界は仮想攻撃対象領域に最も重点を置いており、多くの場合、「特効薬」ソリューションを特定するための自動化されたデジタル対策を開発しています。このアプローチはリスク方程式の一部のみに対応しており、各ソリューションの有効性はシステムを運用または関与する担当者の勤勉さに依存します。結局のところ、人間の行動はセキュリティ対策を強化したり低下させたりする可能性があります。
人間の攻撃面。従業員、信頼できるベンダー、パートナーは潜在的な弱いつながりを表します。攻撃者はソーシャル エンジニアリングを使用して人間の性質を悪用し、施設、ネットワーク、貴重品にアクセスします。彼らは、口実、おとり、見返りなどのテクニックを組み込んで、必要なものを手に入れるために、十分に研究された信頼できる策略を作成できます。
ソーシャル エンジニアリングは、深刻な結果をもたらす深刻な学問です。 DefCon の毎年恒例のソーシャル エンジニアリング イベント「キャプチャ ザ フラッグ」では、多くのトップ企業のセキュリティ実践と対策が、電話だけで武装した有能な攻撃者によって侵害されました。
ソーシャル エンジニアリングの好例は、アントワープの ABN アムロ銀行に対する 2007 年の攻撃です。彼の本名は誰も知りませんが、スタッフは彼がカルロス・ヘクター・フロメンバウムであることを知っていました。彼は自分を成功した実業家だと主張しており、少なくとも 1 年間は頻繁に銀行に通っていました。銀行の従業員はフロメンバウムを愛していました。彼は彼らにチョコレートを持ってきて、ダイヤモンドに関係のない事柄について彼らに話し、最終的には金庫室への VIP アクセスを与えられるほどの信頼を勝ち取りました。 2007年3月のある夜、彼は室内に侵入し、貸金庫に侵入し、2,800万ドルのダイヤモンドを持って玄関から出て行きました。その銀行には200万ドルのセキュリティシステムがありました。フロメンバウムはまだ捕まっていない。
物理的な攻撃面。攻撃者が施設にアクセスできれば、ネットワーク経由とハードコピーの両方で機密情報に迅速にアクセスできます。物理的なセキュリティ管理が不十分だと、ほとんどの技術的な管理が役に立たなくなる可能性があります。興味深いことに、企業は伝統的にリソースのほとんどを物理的なセキュリティに費やしていましたが、現在ではデジタル防御にはるかに従属しています。そして、職場での暴力に対する注目が高まっていなければ、この変化はさらに劇的なものになっていただろう。
物理的防御を突破するために、攻撃者はオープンソース経由でデータを収集し、ソーシャル エンジニアリング、バッジの複製、およびネットワーク アクセスの閉鎖を通じてアクセス制御を操作する高度なアプローチを作成します。
よく使われる攻撃計画は、マルウェアが埋め込まれた「給与」、「機密」、または「個人」とラベル付けされた USB スティックを、表向きは企業周辺の公共エリアに投下するというものです。善意のある従業員や好奇心旺盛な従業員は、USB を職場のコンピュータに接続して自ら攻撃を開始します。
すべての攻撃対象領域にわたって、攻撃者の心理は、形式より機能、単純な脆弱性の悪用、運用上のニーズに応じて騒々しいか静かであるか、一見無意味に見えるデータの断片の集約、無意識または共謀の代理の利用、忍耐と段階的な権限昇格、バックアップ アクセス チャネルの作成、および痕跡を消去するための書き込み可能チャネルの利用によって特徴付けられます。
攻撃者の心理を良い方向に利用する
攻撃者の心理を適切に適用すれば、内部関係者による攻撃を防ぐことができます。組織の最も貴重なリソース、稼働時間、評判、雇用を保護します。セキュリティ専門家を当惑や身長の低下から救います。
しかしより具体的に言うと、攻撃者の心理により、通常のリスク評価では得られない洞察を得ることができます。それは、あなたにとって重要なものだけでなく、他の人が切望するかもしれないものも含めた、より包括的な貴重品のリストを明らかにします。攻撃者の最も利益をもたらすベクトルを特定します。そして、パートナー、ベンダー、サプライヤー、保険会社、HVAC 機器、プリンター、サーモスタット、ビデオ会議ソフトウェア、自動販売機、水槽など、想像もできなかった場所に存在する可能性のある攻撃ベクトルを明らかにします。
結論は次のとおりです。攻撃者の心理を利用して組織を分析すると、攻撃的に利用される可能性が最も高いセキュリティ ギャップを特定できます。これらのギャップを特定し、関連するリスクを定量化することは、関係者のサポートを獲得し、インサイダー脅威プログラムや演習への資金提供を得るために重要です。
マイク・タイソンの有名な言葉を考えてみましょう。「誰もが口を殴られるまで計画を立てている。」インサイダー攻撃は口の中のパンチのようなものです。あなたの常識、つまりあなたの計画は打撃を受け、世界は一瞬回転を停止します。あなたは、自分がどこにいるのか、攻撃者がどのような弱点を突いたのか、どのようなギャップを埋める必要があるのか、生き残るためにどの強みに頼ればよいのかを考えます。
攻撃者の心理を利用すれば、顎を骨折することなく、口の中のパンチから得られるすべての知識を得ることができます。攻撃者の心理をインサイダー脅威プログラムに適用するには、まず現状維持では機能しないことを認識します。何らかの変更を加えなければ、組織は重大な損害に直面することになることを受け入れなければなりません。
第二に、自分自身の考え方を変えてください。インサイダー攻撃者がどれほど悪質で、先見の明があり、献身的であるかがわからない場合、効果的なインサイダー防御、リスク管理戦略、卓上シミュレーション、およびセキュリティ戦略を作成することはできません。
多くの人にとって、単純な真実は、自分たちが理解できない高度な技術と決意を持って行動している敵と戦っているということです。語彙、視点、アプローチを変えてみましょう。 「インサイダー」、「ハッカー」、「侵害」などの用語を使用して、表面を覆う攻撃を阻止します。代わりに、「加害者」と「攻撃」という用語を使用してください。 「強盗された」ということと「攻撃された」ということの間には天と地ほどの違いがあり、「ハッキングされた」ということと「攻撃された」ということの間にも同じ違いがあります。自分自身とネットワークにアクセスできるすべての人を訓練して、世界が変わったことを認識してください。新しい現実は、誰もが公共の場と同じように職場でも常識的なセキュリティを実践しなければならないということです。見知らぬ人が異常な要求で近づいてきたり、素早い型破りな行動を求めたり、圧力をかける戦術を適用したりすることに注意してください。ほんの一瞬でも、リクエスト、埋め込みリンク、または添付ファイルが意味があるかどうかを疑ってください。そして、直感チェックに何らかの懸念がある場合は、注意してください。
現実を育む環境を作りましょう。 「もしそれが私たちに起こったら」、「その可能性は何だろう」、「それはあまりにも突飛すぎる」などと言わないでください。組織には 2 つのタイプがあることを認識してください。攻撃されたことを認識している組織と、攻撃されていないことを認識している組織です。
対称的な思考を練習してください。攻撃者の立場になって考えてください。自分の長所と短所を総合的に調べて計画します。忍耐力、非線形プロセス、および偵察と攻撃のモデリングに必要なあらゆる手段を採用してください。そして、セキュリティ システムには悪用可能なギャップがあること、特権アクセスを信頼して適切なタイミングで適切な行動をとれない人の中には、保護していない価値のあるアイテムがあることを確信することから始めましょう。多くのビジネスマンにとって、これは不可能です。多くの人は、攻撃者の心理状態に踏み込むことができません。したがって、その観点を提供するために攻撃の専門家または「レッド チーム」を雇うことは理にかなっています。
レッドチームは、敵対者または競合他社の視点から問題を捉える実践であり、実際の攻撃に備えるための模擬攻撃です。ほとんどのレッド チームの目標は、仮説に挑戦し、敵の好みや戦略を特定し、悪魔の代弁者として行動することで意思決定を強化することです。
攻撃者が防御を突破する最も効果的な方法を見つけるためにサイバー、物理、ソーシャル エンジニアリングを使用するのと同じように、レッド チームも同様です。レッド チームが強化された施設や従業員を攻撃した直接の経験がある場合、レッド チームの演習と標準的なリスク評価の結果はさらに顕著になります。
レッドチームは出血を止めることではなく、切り傷を止めることに重点を置いています。これは、対策を評価し、実際の攻撃に備え、インシデントが発生する前にインシデント対応措置をテストするのに役立ちます。これは、インサイダーの回復力をテストする最も効果的なテストです。
したがって、レッドチーム演習に最適な時期は、組織が一般またはそのメンバーに対して「稼働」する前であり、最悪の時期は攻撃後です。組織または新製品がすでに「稼働」している場合、レッドチームに移行する次善の時期は、セキュリティのレビューや機能強化の後です。これにより、アップグレード中に誤って作成された新しい脆弱性をテストできます。
レッドチームのテストは、内部と外部の両方の攻撃者の視点、善性または悪意のある内部関係者、組織犯罪グループや諜報機関によって操作、誘導、保護されている行為者に対処できます。
このテストでは、攻撃者が個人観察、オンライン調査、技術的、物理的、人間的ソーシャル エンジニアリングからターゲット データをどのように収集し、分析するかを示します。これは、決意を固めた攻撃者が適度な努力だけで短時間で実現できる、特権的な内部情報とアクセスを実証します。
効果的なレッドチームは、攻撃者が攻撃の際に最初に悪用するであろうセキュリティ上の脆弱性を特定します。本当の攻撃者は、テクノロジー、人材、施設に侵入して重要なリソースにアクセスするために必要なあらゆる手段を使用するため、レッド チームには立ち入り禁止エリアがあってはなりません。テクノロジーには、ネットワーク、アプリケーション、ルーター、スイッチ、アプライアンス、デバイスが含まれます。従業員には、スタッフ、独立請負業者、ビジネス パートナー、および信頼されたアクセス権を持つ人が含まれます。物理インフラストラクチャには、オフィス、倉庫、変電所、データ センター、建物が含まれます。
レッドチームのメンバーは、敵対者の視点から活動し、あなたの組織と主要職員に関する公開データを収集します。その情報を使用して、攻撃の潜在的なベクトルを評価し、最適な攻撃計画を決定します。彼らは、ソーシャル エンジニアリング、物理侵入テスト、アプリケーション侵入テスト、ネットワーク侵入テストのいくつかの側面を含む混合攻撃を開始します。その後、攻撃への対応の詳細を収集して報告し、セキュリティのギャップを埋めるための緩和ソリューションを推奨します。
レッドチームの取り組みの効果を最大化する鍵は、強力な攻撃者としての心構え、最先端の技術浸透力とソーシャル エンジニアリング スキル、そして強化された施設、ネットワーク、従業員との強力な協力実績を備えたチームを選択することです。次に、アクセス、時間、範囲、方法論の自由をできる限り与えてください。
インサイダー リスクは、組織の存続に対する存続の脅威を表します。特権的なアクセスと状況認識を利用して、1 人の内部関係者が巨額の経済的損失、風評被害、さらには一時解雇や破産を引き起こす可能性があります。組織の将来は、攻撃を阻止できるかどうかにかかっています。
内部関係者を阻止するには、攻撃者があなたの会社に何を望んでいるのか、誰がそれらのリソースにアクセスできるのか、そして攻撃者がどのようにそれらのリソースを盗んだり、改ざんしたり、アクセスを拒否したりするのかを知る必要があります。レッドチームは、単に防御側がどのように行動するかを想像するだけでなく、実際の攻撃側がどのように行動するかを示します。
そうは言っても、レッドチームは気の弱い人向きではありません。多くの場合、これまで知らなかった弱点や、すぐに解決する必要がある悪用可能な脆弱性が特定されます。インシデント対応策の堅牢なテストを提供します。企業のセキュリティ チームにとって、これは多くの場合、目を見張るような、時には恥ずかしい作業となります。しかし最終的には、内部関係者による攻撃から身を守るために可能な限りのことを行うと決意した企業にとっては、これが好ましい方法論となります。
Val LeTellier は官民部門で 30 年間のリスク管理の経験があります。彼は、カジノサイト 防衛情報評議会の内部脅威ワーキング グループの議長であり、INSA 内部脅威小委員会のメンバーでもあります。
