1773760967
2026-03-17 15:11:00
Google Cloud の Mandiant 部門は、その 2026 年版を公開しました。 破壊攻撃強化ガイド、を更新します 2022 年 1 月に最初にリリースされたフレームワーク ウクライナ危機が激化する中。
この投稿では、破壊的なサイバー攻撃には破壊的なマルウェア、ワイパー、改変されたランサムウェアが含まれる可能性があり、3月13日のアップデートではエンドポイントおよびモバイルデバイス管理プラットフォームの悪用や悪用に関するガイダンスが追加されていると述べている。
2026 年版が 2022 年のフレームワークに追加するもの
この更新により、元のガイドの範囲が拡大されます。 2022 年、Mandiant 氏は、外部向けサービス、重要な資産の保護、オンプレミスの水平移動、資格情報の保護に関する問題について説明しました。
2026 年版ではこれらの領域は維持されていますが、Kubernetes および CI/CD パイプラインでの破壊的アクションの防止に関する専用セクションが追加されており、これらの環境はアプリケーションのデプロイメントと基盤となるインフラストラクチャに直接アクセスできる集中型ハブであるため、攻撃者がこれらの環境をターゲットにすることが増えていると述べています。
攻撃者が Kubernetes および CI/CD 環境で実行できること
新しいクラウドネイティブのセクションでは、それが実際に何を意味するかについて具体的に説明します。 Mandiant氏は、攻撃者が過度に寛容なロールベースのアクセス制御を悪用して、デプロイメントの削除、永続ボリュームのワイプ、重要な名前空間の削除を行う可能性があると警告し、防御者は信頼できないイメージや署名のないイメージ、およびKubernetesシークレットへの異常なアクセスを監視する必要があると述べている。
その緩和ガイダンスでは、インフラストラクチャ管理プラットフォームとコード リポジトリに対する MFA の義務化、イメージ署名と来歴管理、厳格な RBAC、不変クラスター バックアップ、一元化された監査ログが求められています。
単なる技術的な問題ではなく、ガバナンスと回復の問題としてのレジリエンス
このガイドでは、純粋な技術層からガバナンスと回復にレジリエンスを引き出します。マンディアント氏は、組織は帯域外のインシデント通信、定義された運用上の緊急時対応および復旧計画、事前に確立されたサードパーティベンダーとの関係、および分離された不変バックアップを使用してエンドツーエンドの復元を検証し、復旧タイムラインとデータの整合性をテストする復旧演習を維持する必要があると述べています。
その強調は次の点と一致します CISA の StopRansomware ガイダンスランサムウェアの亜種の多くはアクセス可能なバックアップを削除または暗号化しようとするため、バックアップはオフラインで維持し、定期的にテストする必要があると述べています。 NCSC のガイダンス バックアップ システムは、悪意のある編集、上書き、削除などの破壊的なアクションに対する回復力を備えている必要があります。
3 月 13 日の追加: 破壊的な攻撃ベクトルとしてのデバイス管理
エンドポイントとモバイル デバイスの管理に関する 3 月 13 日の追加により、ガイドの範囲がさらに拡大されました。マンディアント氏は、特権アクセスにより攻撃者が組織自身の管理インフラストラクチャを攻撃できるため、これらのプラットフォームはワイパー攻撃や破壊的な攻撃において「王国への鍵」となる可能性があると述べている。
この管理プレーンへの焦点は、特権アクセスと ID 制御に関する広範な公式ガイダンスにも適合します。 CISA のサイバーセキュリティ パフォーマンス目標 高リスクの特権アカウント、および関連する環境でリモートからアクセスできるシステムに対して MFA を強調します。
Mandiant のガイドでも同様に、フィッシング耐性のある MFA、特権アカウント保護、および高度な管理プラットフォームを中心としたアクセスのセグメンテーションが破壊的攻撃強化の中心に据えられています。
ガイドとは何か、そしてガイドではないもの
変化したのは、ガイドが最も公開されているものとして扱うコントロール サーフェスです。これには、エンドポイントや Active Directory だけでなく、Kubernetes コントロール プレーン、CI/CD システム、バックアップ環境、デバイス管理コンソールも含まれており、現在はエンタープライズ運用の近くに置かれています。
#Googleクラウドコントロールプレーンの破壊的攻撃に関するガイダンスを更新