2022年3月、バイデン政権はロシアからのサイバー攻撃が差し迫っていると発表しました。 これは事実ではありませんが、連邦政府やその他の国がいかに国民や国家への攻撃に対して準備ができていないかを明らかにしています。
国家によるサイバー攻撃は、ランサムウェアよりもはるかに深刻です。 ランサムウェアとは異なり、国家による攻撃では、業務復旧のための料金を強要することはありません。 ランサムウェアとは異なり、国家による攻撃は結果に関係なく、様々な慈悲のない破壊行為を行います。
さらに重要なのは、国家攻撃は攻撃の頻度と精巧さを加速させるということです。 米国、ロシア、中国、北朝鮮、イランは10年以上前から、サイバー戦争に備えて未公開の脆弱性情報を蓄えてきました。ロシアは、アメリカがより脆弱性情報の蓄積を持ち、攻撃を行うとより深刻な反撃を受ける結果をもたらす可能性があることを知っているからです。これがサイバー攻撃が差し迫っていない理由です。
アメリカがイランの原子炉3基を停止させたときも、ロシアがウクライナの電力網を停止させたときも、どちらも1つの脆弱性によって攻撃が行われました。 WannaCryウイルスは、1つの脆弱性によって、1日で25万台のコンピュータに感染しました。
どのような国家であっても、そして間違いなくロシアも、このような脆弱性を何十個も何百個も発見者に報奨金を支払って蓄積しています。 国家の攻撃は、1つの脆弱性ではなく、多数の脆弱性を同時に展開し、国内のすべてのサーバーや端末、重要な情報を含むあらゆる機器に、遮られることなく侵入してきます。
防御の第一線はパッチマネジメントですが、パッチマネジメントは既知の脆弱性に対して機能し、これらの未公開の脆弱性は設計上未知であるため、これは全く効果がありません。
次の防御策はアンチウイルスですが、これは10年近くも現代の脅威に対して機能していないにもかかわらず、消費者や企業、さらには連邦政府までもが、コンピュータの前の時代からあるこの時代遅れのモグラ叩き型の遺物にやみくもにお金をつぎ込んでいるのです。そのため、攻撃は続きます。
最後の防衛線は、EDR/XDR/Zero Trustであり、国家による全面的な攻撃を検知し、それに対応しようとするものです。 ランサムウェアとは異なり、国家の攻撃はSOC(セキュリティ・オペレーション・センター)を圧倒し、すぐに崩壊します。
これは国家防衛の最大の欠陥を露呈することになる。 EDR / XDR / Zero Trust / SOCは、攻撃の急増に対応するための拡張ができません。 SOCの規模を2倍にするには数カ月かかり、国家はその組織力から数秒で攻撃レベルを上げることができてしまいます。
前述したように、アメリカの脆弱性備蓄を尊重するため、このようなことは起こりませんが、防衛政策は、国家による攻撃の可能性を考慮する必要があります。残念ながら、NIST、MITRE、そしてJack Voltaicを含む一般的な政策のどれもが、国家によるサイバー攻撃の可能性を想定していません。
国家防衛的なサイバー戦略において、国家的な攻撃の影響を最初に考慮した国がサイバー戦争に勝つでしょう。国家から殺到する脆弱性攻撃を排除するサイバー防御を効果的に構築した最初の国家は、もはやサイバー反撃にさらされないので、世界秩序の頂点に立つことができるでしょう。
解決策は、アプリケーションのホワイトリスト化、別名を許可リスト化、ソフトウェア資産管理です。 NISTが過去7年間推奨してきたように、アプリケーションホワイトリストは、パッチマネジメントとアンチウイルスのレイヤーの間に存在すべきものです。 こうすることで、国家によるサイバー攻撃の際、アプリケーションホワイトリストは、許可されたアプリケーションのみの実行を厳密に許可することになります。このシナリオでは、ネットワーク上のボリュームは相当なものであり、ネットワーク・パフォーマンスは低下するかもしれませんが、さほど落ちることはないでしょう。攻撃がおさまるまで、新しい優良なプログラムも快適に動作しないかもしれませんが、目標はサイバー攻撃に耐える反発力です。
この反発力によって、パッチマネジメントが脆弱性を特定し、脆弱性を修正する時間が生まれ、攻撃は軽減されます。 国家は、未公開の脆弱性情報の備蓄をさらに追加していくと思われますが、これも無駄なことだとわかるはずです。この時点で、国家は脆弱性を補充するよりも早く脆弱性を配備し利用することになり、脆弱性の貯えがゼロになるまで続きます。 そうなれば、アメリカが勝ちます。
