病院のコンピュータを暗号化したWannaCryランサムウェアから、インターネットの大部分をダウンさせたDyn攻撃、そして今なお世界中を席巻している最新のマルウェアGoldenEye(またはPetya)まで、サイバー攻撃の連鎖はとどまるところを知らない。IDT CorporationのグローバルCIOであるBen-Oni氏は、New York Timesに掲載された最近の記事で、同社への攻撃について概説している。
アンチウイルス、侵入検知システム、ファイアウォール・システムに数百万ドルという巨額の投資を行ったが、ランサムウェアを装ったこの重大な攻撃を防ぐことはできなかった。記事によると、Ben-Oni氏はN.S.A.の従業員から受けたアドバイスに従い、3つのファイアウォール、3つのアンチウイルス・ソリューション、3つの検知システムを導入した。Ben-Oni氏は、128の一般公開されている脅威インテリジェンス・フィード、10のサブスクリプション脅威インテリジェンス・フィード(IDTは毎年数十万ドルのコストをかけている)を厳密に購読していたが、彼が導入した予防措置の一つひとつが攻撃を捉えることができなかった。
極めて重要なのは、攻撃者が従業員の認証情報を狙っていたということだ。いったん認証を危険にさらせば、王国への鍵を手に入れ、金庫を空っぽにするのに時間をかけることができる。
また、世界有数のベンダーが提供する重層的なネットワーク防御では、この攻撃を防ぐことができなかった。最新の検知システムに何百万ドルも費やしたが、会社の保護には効果がなかった。
ここから何が学べるだろうか?第一に、私たちは単一の認証情報ではなく、多要素認証を使用しなければならない。第二に、サイバー防御のプレイブックを変更し、ネットワーク防御のレイヤー化よりもクレデンシャルの強化を優先する必要がある。リークされたNSAの「ダブル・パルサー」のようなゼロデイ脆弱性やツールは常に存在し、これらのネットワーク・サイバー防御を突破するために使用される。企業や国家レベルのシステム、ネットワーク、コンピューティング・インフラの完全性は、王国の鍵であるコア認証クレデンシャルの確保に依存している。
この攻撃は、ネットワーク指向のアプローチは、付随する「抗生物質」を使用しなければ単なる「応急処置」に過ぎないことを示している。核となる防御をおろそかにして、失敗した防御戦略に何億ドルもつぎ込み続けるのは、批判的思考に欠けている。認証はサイバーセキュリティの弱点として攻撃を受けている。
強力な認証を提供する企業に対して、ネットワーク指向のサイバー防衛企業に投入される資金を合計して見てからしばらく経ちますが、サイバー防衛を根本から見直し、認証の安全性を確保し始めることで、今後いくつかの転換点が訪れると見ています。私たちがFIDOアライアンスを設立し、そのコア・プロトコル(FIDO-UAF、そしてその後のU2FとFIDO2.0)に取り組んだときの主な設計目標は、認証を攻撃するコストを劇的に引き上げることでスケーラブルな攻撃を防ぐことでした。
IDTに対するこの特定の攻撃だけでなく、ベライゾン・データ・ブリーチ・レポートによると、サイバー攻撃の81%が認証クレデンシャルの盗難または漏洩に関与していると推定されている。最近の業界カンファレンスで、グーグルとマイクロソフトの両社は、自社のクラウド・サービスのレイヤー防御メカニズムとしてのID認識プロキシについて講演した。これとは別に、FIDOアライアンスは、NCCOE、NIST、そしてマイクロソフトやグーグルなどの多くの民間企業によって、セキュリティとアイデンティティのための重要なビルディングブロックとして広く語られました。Nok Nok Labs では、デバイス/ユーザー認証とネットワーク認証の緊密な統合に取り組んでいる。おそらくIDTの攻撃とベン・オニ氏が鳴らした警鐘は、賢明なCIOや取締役会を説得し、認証戦略の変更を積極的に加速させるだろう。