INT06:2023 – 安全でないネットワークアクセス管理 (Insecure Network Access Management)

説明

ネットワークアクセス管理は内部インフラストラクチャのアーキテクチャとアクセス制御規制の基本的な側面です。 定性的なネットワークアクセス管理によりさまざまな攻撃を防止し、サイバー攻撃の影響や社内インフラストラクチャ内での脅威アクターの移動を軽減できます。 より重大で深刻なリスクは、社内インフラストラクチャのある部分から他の部分へのアクセスを制限する、ネットワーク分離の欠如です。 多くの場合、攻撃者が近くのネットワークポートや Wi-Fi に物理的にアクセスできた場合でも、企業は攻撃者による社内ネットワークへのアクセスを阻止しません。 さらに、許可する必要がある通信パスについてはアプリケーション層に近いところで、トラフィックをコンテキストベースで監視し規制する必要があります。

リスク

ネットワークが分離されていないと、内部インフラストラクチャを通じて広がるサイバー攻撃のリスクが著しく増加し、 そのため、たとえ一つのコンポーネントだけが侵害されたとしても、インフラストラクチャ全体が侵害されるリスクが高まります。 ネットワークアクセス制御が導入されていない場合、脅威アクターがネットワークコンポーネントへの物理アクセスを取得したり、従業員に悪意のあるデバイスを接続させたり、近くの Wi-Fi にアクセスできると、 攻撃者は内部ネットワークにアクセスできます。 インフラストラクチャのコンポーネントへのアクセス規制、より正確にはアプリケーション層に近いところでのネットワーク規制が不十分であると、 脅威アクターは一般的に許可されている通信パスを悪用できます。

対策

ネットワークアクセス管理の一環としてネットワークアクセス制御 (NAC) メカニズムを導入することをお勧めします。 これらの技術的規制、たとえば証明書ベースの NAC により、承認されたデバイスのみが企業のネットワークにアクセスできるようになります。 理想的には、インフラストラクチャのアーキテクチャフェーズでネットワーク分離を考慮すべきです。 Need To Know の原則と同様に、ネットワークチャンクとこれらのチャンク間の通信パスの数を可能な限り小さく保つ必要があります。 仮想ローカルエリアネットワーク (VLAN) などのテクノロジはインフラストラクチャを定性的に分離するのに役立ちます。 アクセスマトリクスはネットワークアクセス管理構造を計画するのに役立ちます。 次に推奨される手順は、「分離された」ネットワークチャンク間の通信パスを監視し規制することです。 これらのブリッジやネットワーク遷移は動的に規制すべきです。アプリケーション層コンテキストに基づいて、これらのサブネットワークやコンポーネントへのアクセスを許可したり禁止したりすべきです。 ネットワークへのリモートアクセス、たとえば従業員の在宅勤務を許可するには、仮想プライベートネットワーク (VPN) などのテクノロジを使用して安全に行う必要があります。

攻撃シナリオの例

シナリオ #1: 不十分なネットワーク分離 ある企業には顧客向けにさまざまなアプリケーションをホストする社内ネットワークインフラストラクチャがあります。 これらのアプリケーションはオンラインでアクセスできるため、顧客はリモートからサービスを使用できます。 その企業には社内のアプリケーションやデータ用のサーバーだけでなく、指定のアプリケーションサーバーのデータを保持する複数のデータベースサーバーがあります。 脅威アクターは公にアクセス可能なアプリケーションサーバーの一つに技術的な脆弱性を見つけ、サーバーを完全に制御します。 ネットワークは分離されていないため、攻撃者は簡単にラテラルムーブメントでき、社内アプリケーションとデータサーバーだけでなく、すべてのデータベースサーバーを侵害します。 脅威アクターは最初の一つのみのアクセスポイントを要として、社内インフラストラクチャを侵害します。 その後、流出したデータは他のサイバー犯罪者に売却されます。

シナリオ #2: 廃止された古いサーバー ある企業ではアプリケーションサーバーと従業員のファイル共有を備えた共通の社内インフラストラクチャを使用しています。 その企業は古いネットワークプリンタを置き換えるために新しいネットワークプリンタを注文します。 脅威アクターはそれが企業に届く前に、悪意のあるハードウェアを新しいネットワークプリンタに挿入できます。 そのネットワークプリンタが社内ネットワークに接続されると、小型コンピュータからなる悪意のあるハードウェアもネットワークポートを使用して社内ネットワークにアクセスしますが、 NAC が設置されていないためブロックされません。 そして、脅威アクターが制御するインターネット経由のリモートホストに接続し、再接続を確立して社内ネットワークへのピボットポイントを作成し、 追加攻撃を実行できます。