多要素認証を導入していないせいで、侵入されたとされる事例が気になりました。
この事例のダメなところは3点あるように思います。
- 社用PCにおいて、個人で使用しているブラウザを利用してパスワードをそのブラウザに保存した
- 多要素認証なしでVPNにログインする運用だったこと
- EDRが発砲したアラートを正しくトリアージしていなかったこと
個人利用のブラウザに同期されたパスワードは、個人PCに侵入されたことで簡単に漏えいします。
どんなに社用PCのセキュリティを上げていても個人PCのセキュリティまでは見れないので資格情報は常に漏えいしている前提で進めることが重要です。そのための多要素認証。
また、侵害を前提としたセキュリティ製品であるEDRも正しく運用できなければ今回の事例のようなことが起きると物語っています。
昨今の動きでは、EDR製品はセキュリティに詳しくない人でも扱えるように生成AIを搭載したものが増えてきています。XDRという拡張型でサードパーティ製品と連携し、アラートの関連性をAIが報告してくれるというものです。
攻撃には一連の流れがありますが、各セキュリティ製品が挙げるアラートは一つ一つなので、トリアージに時間がかかり攻撃者の意図がわかりにくい欠点があります。XDRなどの統合型製品にすれば、それらの各アラートが関連付けられ攻撃者の意図が把握しやすくなります。
今後のセキュリティでは、資格情報の漏えい前提、侵入前提で考えていく必要があります。
