今週初め、NSAの Tailored Access Operations ユニットの責任者は、USENIX Enigmaセキュリティ会議でかなりプレゼンテーションを行いました。 (ニュース報道 ここ と ここ ;トークのビデオ ここ )。講演のテーマ:TAOのような、洗練された永続的な国家レベルの攻撃者から身を守る方法。予想されるように、ハッキングや防御のための分類された新しい手法の驚くべき啓示はありませんでした。しかし、それでもTAOの責任者は、少なくともいくつかの示唆に富む点を指摘しました。その1つは、NSAによるゼロデイエクスプロイトの使用に関するものでした。または、実際にはその珍しさ:
「多くの人々は国民国家がゼロデイで彼らのオペレーションを実行していると思っています、しかしそれはそれほど一般的ではありません」と彼は言った。 「大規模な企業ネットワークの場合、持続性と集中力はゼロデイなしであなたを誘います。より簡単で、リスクが少なく、生産性の高いベクターがたくさんあります。」
NSAのハッカーの頭がこれらの明らかに分類された操作でゼロデイを使用する役割を単純に過小評価している可能性があるという理由で、疑わしいかもしれません。そして、明らかに、近年、ゼロデイを使用した文書化された国民国家活動がいくつもありました。 ( Stuxnet攻撃 より大規模なものはありません(はい、NSAによって大部分が調整されています。)それでも、たとえ彼の非難の程度が少しでも、「あなたは抗議しすぎました」 「私は間違いなく、最近同様のテーマを鳴らしている他のソースから同様のことを読んだり聞いたりしました。 (この 記事 と 先月のDefconでのプレゼンテーション のように。)ちなみに、残りの話はかなり説得力がありましたそのNSAハッカーは、ゼロデイに頼る必要なく、ターゲットの防御の亀裂を発見して侵入することに長けています。
(編集:明確にするために、この質問では、「ゼロデイ」とは、攻撃で使用された場合に、その存在が防御側や一般的なinfosecコミュニティに知られていない脆弱性とそれに伴うエクスプロイトを意味します。)
だから、質問:誰かが何らかの情報を知っている-ある種の統計、個人的な経験の逸話から、あなたが重要だと思うものは何でも-に話すゼロデイにアクセスできる巧妙な攻撃者、つまり基本的に国家が攻撃に実際に使用する頻度はどれくらいですか?
私がマイクロソフトにいたときに、これを見たプロジェクトを運転しました。答えは、大多数の侵入者は0日を使用しないということです。データへのアクセスが容易であり、0dayの使用を視野に入れているため、マルウェアを侵入のプロキシとして使用しました。
ここのデータは巧妙な攻撃者を突破するものではありませんが、なぜ0daysを使用したくないのかについてあなたが出した主張は確かです。それらはエアギャップのためにおそらくStuxnetで使用されました。
https://blogs.technet.Microsoft.com/mmpc/tag/sir-v11/
それは長いレポートなので、この問題に対処するのは、冒頭のセクション、「マルウェアの伝播方法の詳細」です。
侵入はすべて研究に関するものです。ネットワークの調査に時間を費やす必要があり、ネットワークのさまざまなエントリポイントまたはアクセスポイントです。その一部は、実行中のハードウェアファームウェアとソフトウェアを確認することです。
私が選択する最初の攻撃ポイントはwifiです。彼らが使用しているアクセスポイントのモデルを見つけて、ファームウェアをダウンロードします。ファームウェアファイルを取得したら、通常、システムがデフォルトで持っているすべてのファイル、phpページ、設定を確認できます。
私が弱点を発見した場合、それはゼロデイです。しかし、管理者がそのデバイスを構成する方法の弱点を発見した場合、それは本質的にゼロデイではありません。だから私は弱点を探しており、たまに弱点であるゼロデイを見つけることがあります。
ゼロデイは弱点なので重要です。しかし、情報ははるかに価値があります。多くの場合、エンドユーザーと管理者による構成の弱点を見つけることができます。次に、この種のことについて少なくともある程度の時間を費やしてきた企業を見つけることができます。
TL; DR;攻撃したい場合は研究してください。すべてのモデル。すべてのファームウェア。すべてのパッチ。あなたはあなたができるすべてを見つけます、そしてそれはネットワークがいかに弱いかが明らかになります。
私が個人的に見て、会議でスピーカーから聞いて、そしてニュース記事を読んだことから、ほとんどの企業はセキュリティに関して非常に多孔質です。したがって、攻撃者がゼロデイ脆弱性を使用する必要がないことは驚くに値しません。
ハードデータが必要な場合は、Trustwaveが https://www2.trustwave.com/rs/815-RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf で利用可能な調査から収集したいくつかの統計を公開しています。