[レポート] 今、Active Directoryが狙われている!CrowdStrike FalconではじめるID保護とは? #SecurityDaysSpring2023

Security Days Spring 2023 のセッション「今、Active Directoryが狙われている!CrowdStrike FalconではじめるID保護とは?」のレポートです。
2023.03.08

最初に

東京で開催された Security Days Spring 2023 に参加してきました!視聴させていただいたセッションは下記です。
今、Active Directoryが狙われている!CrowdStrike FalconではじめるID保護とは?

セッション概要

Active Directory は長年に渡り使用されているシステムのため、動作し続けることに重きが置かれ、多くの組織ではセキュリティ対策が追い付いていない傾向が見られます。

昨今、攻撃者の初期侵入経路としてVPN機器の脆弱性やメールを利用した攻撃が増加しており、PC端末の乗っ取りから認証情報を窃取し、組織の重要資産にアクセスするための多くの情報が保管されているActive Directoryを狙う攻撃が広く行われています。

本セミナーでは、Identity保護に対する考え方と、
攻撃が実行される前に攻撃者から防御する方法について解説します。
特に以下のようなお客様にお勧めです。

1.ランサムウェア攻撃を受けたことがある、もしくは同業他社が攻撃を受けている
2.Azure Active DirectoryとActive Directoryを併用している
3.Active Directoryのセキュリティ対応が不十分だと感じている

スピーカー

(株)ネットワールド SI技術本部 ソリューションアーキテクト 鈴木 圭介 様

レポート

CrowdStrike とは?

  • EDR 分野の脅威インテリジェンスの提供
  • 専門家による防御サービスチーム(脅威ハンティングをするサービスを提供)
  • セキュリティプラットフォーム(Falcon)の提供
    • EDR/XDR、ID保護、資産管理、オブザーバビリティ、ログ管理など
    • 製品名は、すべて Falcon ○○
  • 昨年度時点で、サブスクリプションカスタマー 23000社+
  • 最近は、EDR だけでなく、XDR も追加

アイデンティティ保護の重要性

  • セキュリティインシデントにおいて、アイデンティティ(ID)の侵害が、8割を占める。
  • マルウェアに感染してファイルサーバにアクセスされ、会社権限のデータ閲覧して ID が盗まれる。
  • ブルートフォースアタックも脅威。省庁では、パスワードを強固にしたり、二要素認証するなど、ユーザと開発者に強化を促している。
  • CrowdStrike の 2022年度OVERWATCH脅威ハンティングレポートによると、現代は RaaS というランサムウェアを購入して攻撃可能で、誰でもイニシャルアクセス、クレデンシャルアクセスでアカウントの認証情報を搾取できる状況にある。

狙われた場合のタイムリミット

  • Breakout time
    • CrowdStrike が提唱している概念
    • MITRE ATT&CK フェーズで、Initial Access をファーストアクションに Lateral Movement のフェーズを超えてしまうと、対処が非常に困難になる。また、Breakout time の期間としては、最初に侵害を検知して 84分間しかない。しかも、正規のユーザアカウントを狙われて侵入される。

Active Directory の利用率

  • 日本の企業に於いて、利用率がとても高い
    • 50 ~ 200 規模で、6割が導入
    • 5000+ 規模で、8割以上が導入
    • ㈱ソリトンシステムズ社調べ

Active Directory が狙われている

  • GPO(Group Policy Object)を利用した攻撃
  • ランサムウェア

アイデンティティを防御するための要素

  • パッチ適応、バクアップ、復旧
  • アクセス制御の強化(ユーザの権限、パスワードポリシー)
  • ログを取る(SIEM でログ分析、検知)
  • 二要素認証

対策した上でのリスク

  • ブルートフォース攻撃を受けた後の Windows アカウントの悪用(水平展開)
  • 認証プロトコルの悪用、チケットの改ざん
  • Active Directory のミスコンフィグレーション

Active Directory の取り扱いに必要なこと

  • アカウント動向の可視化
  • リアルタイムの検知
  • 認証制御

Falcon で保護しよう

Identity Threat Protection

アイデンティティの検知 + 保護を行える

  • ID ベースの認証制御
  • 利用状況の可視化
  • ユーザ数の増減検知
  • 管理対象外端末の検知
  • AD の設定不備検知
  • アイデンティティベースのインシデント検知
    • トラフィック検知
    • ふるまい検知
  • 監査、ブロック、二要素認証を強制可能

導入

  • Falcon Sensor(エージェント)をインストールするだけ。設定管理はクラウドで行える
    • 導入後の再起動不要
    • AD の設定変更不要
    • ポリシー、ルールの設定が必要

 

拡張性

  • クラウド、オンプレに展開可能
  • Azure AD ・ADFS での連携が可能

自動化(Falcon Fusion)

  • 検知したインテルのレベル分け
  • 重要度によって通知
  • レベル分けのルールは多数

まとめ

セッションでは、アイデンティティ面での脅威と、CrowdStrike の機能をご説明いただきました。エンドポイントセキュリティ対策において、検知 + 保護は必須であり、保護層を増やすことが重要です。CrowdStrike では、Falcon Fusion という製品のワークフローを用いて、対処の自動を行うことが出来るとのことで、多層的な防御策を持てるのが非常にメリットに感じました。