パートナーシップ、サービス、顧客関係 – 独立して運営される組織はありません。契約、コンプライアンス、法律によって協力が規制されていますが、セキュリティ基準はどうなるのでしょうか?ソフォスの最新の脅威レポートによると、サプライチェーンに対するサイバー攻撃は特に中小企業に影響を及ぼします。
最新のソフォスでは 脅威レポート: メインストリートでのサイバー犯罪 セキュリティ専門家の報告によると、2023 年にソフォスの MDR チームは、いわゆるサプライ チェーン、つまりビジネスおよび IT インフラストラクチャのサプライ チェーンを介して企業が攻撃されるケースにますます対応するようになりました。いくつかのケースでは、脆弱性はサービス プロバイダーのリモート監視および管理 (RMM) ソフトウェアにありました。攻撃者は、標的となった被害者のマシン上で実行されている RMM エージェントを使用して、攻撃対象のネットワーク上に新しい管理アカウントを作成し、商用リモート デスクトップ、ネットワーク探索、およびソフトウェア セットアップ ツールを使用しました。その後、彼らは LockBit ランサムウェアのインストールに成功しました。
サービスプロバイダーからの攻撃にどう対処しますか?
中小企業にとって、経済的観点や人材の観点から自社のサイバーセキュリティを組織することは容易ではありません。これが達成されても、外部リスクは残ります。信頼できるソフトウェアを悪用し、エンドポイント保護を無効にするオプションを提供する攻撃は特に悪質で、犯罪者によってよく使用されます。これは、エンドポイント保護が操作または無効化されたことを示すシステムからの警告に特に注意を払うことを意味します。
公開されたばかりのもの 脅威レポート: メインストリートでのサイバー犯罪 は、RMM ソフトウェアに加えて、昨年、有効なデジタル署名がまだ残っていた古いソフトウェアの脆弱なカーネル ドライバーを攻撃者が使用した多数の事例を文書化しました。さらに、専門家は、セキュリティ ツールによる検出を回避し、マルウェアを無効にするコードを実行するために、不正に取得したデジタル署名 (Microsoft の Windows Hardware Compatibility Publisher (WHCP) プログラムを介してデジタル署名された悪意のあるカーネル ドライバーなど) を使用する特別に作成されたソフトウェアの展開を繰り返し記録しました。保護。
カーネルドライバーの操作が問題となる
🔎 過去 2023 年間に収集されたデータは、リモート ランサムウェア攻撃の試みの割合が全体的に増加していることを示しています。これは継続的な問題であり、XNUMX 年下半期にはさらに勢いが増します。(画像: Sophos)。
カーネル ドライバーはオペレーティング システム内で非常に低レベルで動作し、通常は PC の起動時に他のソフトウェアよりも先に読み込まれるため、多くの場合、セキュリティ ソフトウェアが起動する前に実行されることになります。デジタル署名は、いわば入場券の役割を果たします。 Windows 10 バージョン 1607 以降のすべての Windows バージョンでは、カーネル ドライバーに有効なデジタル署名が必要です。そうでない場合、セキュア ブートが有効になっている Windows オペレーティング システムはカーネル ドライバーをロードしません。
ソフォスが 2022 年 2023 月に悪意のあるカーネル ドライバーの発見を Microsoft に通知し、Microsoft がセキュリティ勧告を発行した後、同社は XNUMX 年 XNUMX 月に WHCP を通じて取得した悪意のあるドライバーの多数の証明書を取り消しました。
盗難された証明書と改ざんされたライブラリ
ただし、ドライバーが悪用されるために必ずしも悪意がある必要はありません。ソフォスのセキュリティ専門家は、ソフトウェア製品の古いバージョンや最新バージョンのドライバーやその他のライブラリが攻撃者によってシステム メモリにマルウェアを注入するために使用された事例をいくつか確認しました。
Microsoft 独自のドライバーも攻撃に使用されました。 Microsoft の Process Explorer ユーティリティ用ドライバーの脆弱なバージョンは、エンドポイント保護製品を無効にするためにランサムウェア オペレーターによって何度も使用されています。 2023 年 XNUMX 月、ソフォスは「」というツールについて報告しました。オーキルこのドライバーは、Medusa Locker と LockBit ランサムウェアをインストールするいくつかの攻撃でこのドライバーを使用しました。
場合によっては、脆弱なドライバーが悪用される前に特定できる場合があります。 7 月、ソフォスの行動規範は、他社のセキュリティ製品のドライバーのアクティビティによって引き起こされました。アラームは、顧客自身の攻撃シミュレーション テストによってトリガーされました。このインシデントの調査により 3 つの脆弱性が明らかになり、ソフトウェア メーカーに報告され、その後パッチが適用されました。
中小企業はサイバー脅威から身を守ることができます
中小企業は、グローバル企業や大企業と同様にサイバー脅威にさらされていますが、中小企業ほどの資金と人材を持っていません。しかし、自分自身を武装させることはできます。
- 従業員の一貫したトレーニング
- すべての外部資産に対する多要素認証の使用
- サーバーとネットワークの常に健全な状態 (定期的なパッチ適用と更新)
- Microsoft Exchange サーバーなどの管理が難しいリソースを SaaS 電子メール プラットフォームに移行する
- 定期的な脆弱性評価と侵入テスト
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。