サイバー攻撃者の心理
サイバー攻撃を妨害または阻止しようとするのであれば、脅威アクターが異なればその動機や許容範囲もさまざまであることを念頭に置いてください。残念ながら、防御側の行動が、いつも思い通りの成果を得られるわけではありません。
サイバー攻撃を諦めるとき
パッチが適用された脆弱性や管理されたOSINT(オープンソースインテリジェンス)などの阻害要因は、日和見的な攻撃者(特定の組織を攻撃することにあまり投資していない攻撃者)であるほど効果を発揮します。
たとえば、広範囲のフィッシングキャンペーンは非常に日和見的タイプの攻撃です。このような攻撃キャンペーンを展開する脅威アクターは、そのフィッシングの試みに引っ掛からない組織を標的から除外します。それ以上その組織に侵入するための時間やリソースをこれ以上投入しないでしょう。
もう少しモチベーションの高い攻撃者は、攻撃可能な標的のリストを持っているかもしれません。そのリストは、脅威アクターが時間の経過とともに知り得た情報に基づいて変更され、優先順位が変わる可能性があります。このような攻撃者が狙った組織であっても、そこに堅牢な防御対策があることに気づけば、標的としての魅力は薄れます。
一方、極めてモチベーションが高い攻撃者は、どのような防御対策に遭遇したとしても、標的への攻撃を断念することは稀です。たとえば、彼らがある組織を狙うために雇われた場合には、攻撃の続行以外の選択肢はありません。このような場合、有効な防御対策は、検知と対応が機能する機会を増やすことに限定されます。
合理性と報復
抑止力とセキュリティについて語るとき、私たちは通常、攻撃者の行動は合理的であると想定します。攻撃者は価値の低い環境に侵入するのに、多くの労力やリソースを費やさないと想定していますが、実際は異なるかもしれません。攻撃者は、コストを気にしないかもしれませんし、攻撃には別の理由があるかもしれません。彼らはサンクコストの誤謬に陥って、たとえそれが不合理であっても攻撃を続けるだけかもしれません。また攻撃者は、自身が検知されていてもまだ封じ込めはされていないことがわかると、予測不能な反応をする場合があります。
インシデント対応者の話
当社のあるクライアントは、自社のネットワークを完全に可視化しているつもりでしたが、実際は可視化できていませんでした。そのクライアントは、システムに侵入した脅威アクターを封じ込めようとしましたが、すべてのアクセスをすべて取り除くことはできませんでした。そのため、その脅威アクターは、クライアントの経営陣に圧力をかけて報復しました。クライアントのWebサーバーに犯行声明を公開し、削除できないように管理者をロックアウトしたのです。その後、声明を削除する見返りとして身代金を要求しようとしました
運よく、当社は独自のアクセス権を持っていたので、そのページを削除できたので誰もそのメッセージを見ることはありませんでした。もし削除できなければ、クライアントの評判をひどく傷つけるところでした。
~ ウィズセキュアのインシデント対応者