Trusted Design
Adversaries may breach or otherwise leverage organizations who have access to intended victims. Access through trusted third party relationship abuses an existing connection that may not be protected or receives less scrutiny than standard mechanisms of gaining access to a network.
Organizations often grant elevated access to second or third-party external providers in order to allow them to manage internal systems as well as cloud-based environments. Some examples of these relationships include IT services contractors, managed security providers, infrastructure contractors (e.g. HVAC, elevators, physical security). The third-party provider's access may be intended to be limited to the infrastructure being maintained, but may exist on the same network as the rest of the enterprise. As such, Valid Accounts used by the other party for access to internal network systems may be compromised and used.(Citation: CISA IT Service Providers)
In Office 365 environments, organizations may grant Microsoft partners or resellers delegated administrator permissions. By compromising a partner or reseller account, an adversary may be able to leverage existing delegated administrator relationships or send new delegated administrator offers to clients in order to gain administrative control over the victim tenant.(Citation: Office 365 Delegated Administration)
T1199「Trusted Relationship」(信頼関係の悪用) は、ターゲット組織を直接攻撃するのではなく、その組織が信頼して接続を許可している 「サードパーティ組織(ベンダー、パートナー、保守会社など)」 を踏み台にして侵入する手法です。 T1195(サプライチェーン攻撃)が「製品やツール」を汚染するのに対し、T1199は「組織間のネットワーク接続や権限」を悪用するのが特徴です。
この手法で攻撃者は、「正規のビジネスルートを介した、防御の薄い経路からの侵入」を実現します。
攻撃者は「最も弱いリンク(組織)」を探し出します。
「相手が信頼できる組織だから」という前提を捨て、接続そのものを厳格に管理する必要があります。
特定のソフトウェア脆弱性というより、大規模な「アイデンティティ侵害」として発生します。
外部ベンダーとの契約において「セキュリティ基準の遵守」を盛り込むだけでなく、実際に彼らがどのような方法で自社に接続しているかを可視化(ログの定期監査)することが、この手法を防ぐ鍵となります。