Advanced Persistent Threat (APT) とは、ハッカーがシステムやネットワークにアクセスし、そこに長時間気付かれないようにする攻撃です。 これは、サイバー犯罪者が機密データに常時アクセスできるようになるため、企業にとって特に危険です。
これらの APT 攻撃は、洗練された回避および難読化戦術により、従来のセキュリティ対策による検出も回避します。 次の記事では、サイバー犯罪者が攻撃にどのようにアプローチするか、組織が APT 攻撃の兆候を発見する方法、およびこれらの脅威のリスクを軽減するためのベスト プラクティスについて説明します。
高度で持続的な脅威 – APT の仕組み
APT は通常、会社のネットワークやローカル コンピューターに損害を与えることはありません。 代わりに、彼らの目的は通常、データの盗難です。 これらの脅威は、さまざまな手法を使用して、ネットワークへの初期アクセスを取得します。 たとえば、攻撃者はオンラインでマルウェアを拡散したり、マルウェアでデバイスを物理的に感染させたり、システムの脆弱性を悪用して保護されたネットワークにアクセスしたりできます。
これらの攻撃は、ウイルスやマルウェアの種類など、何度も同じように動作し、別のシステムや組織を攻撃するために転用されている従来の多くの脅威とは異なります。 APT は、一般的な広範なアプローチに従っているのではなく、特定の組織を標的にして実施されているセキュリティ対策を回避することを目的として、慎重に計画および設計されています。
ハッカーはしばしばフィッシングを使用します
ハッカーは、信頼できる接続を使用して初期アクセスを取得することがよくあります。 このようにして、攻撃者は、たとえばフィッシング攻撃やその他の方法で、盗んだ従業員やビジネス パートナーのログイン データを悪用することができます。 これにより、企業のシステムとデータを偵察し、データ盗難に対する戦略的な攻撃計画を策定するのに十分な時間、検出されずにいることができます。
高度なマルウェアは、APT 攻撃の成功に不可欠です。 ネットワークが攻撃されると、高度なマルウェアは特定の検出システムから隠れ、システムからシステムへとネットワークをナビゲートし、データを収集し、ネットワーク アクティビティを監視します。 高度で持続的な脅威をリモートで制御する犯罪者の能力も重要です。 これにより、ハッカーは企業ネットワーク全体をナビゲートして、重要なデータを特定し、必要な情報にアクセスして、その情報を盗み出すことができます。
Advanced Persistent Threat の警告サイン
Advanced Persistent Threat は本質的に検出が困難です。 実際、これらのタイプの攻撃は、目標を達成するために検出されない能力に依存しています。 ただし、組織が APT 攻撃の影響を受ける可能性があることを示す重要な危険信号がいくつかあります。
- 勤務時間外または特定の従業員が通常ネットワークにアクセスしない時間帯のログインの増加。
- 広く普及しているバックドア型トロイの木馬の検出: バックドア型トロイの木馬は、ハッカーが APT 攻撃を試みるときに一般的に使用され、資格情報が侵害されたユーザーが侵害を発見して資格情報が変更された場合でも、ネットワークへのアクセスを維持できるようにします。
- 大規模で異常なデータ フロー: セキュリティ チームは、内部の起点から内部または外部のコンピューターへの大規模なデータ フローに注意する必要があります。 これらのフローは、会社の典型的なベースラインとは異なる必要があります。
- 異常なデータ バンドルの検出: Advanced Persistent Threat 攻撃を実行する攻撃者は、データの押し出しを試みる前に、ネットワーク内でデータをバンドルすることがよくあります。 これらのデータの束は、データが通常組織内に保存されていない場所で発見されることが多く、組織が通常使用しないアーカイブ形式でパッケージ化されている場合があります。
- pass-the-hash 攻撃の検出: データベースまたはストレージからパスワード ハッシュを盗み、新しい認証済みセッションを作成する攻撃は、APT で常に使用されるとは限りません。 ただし、会社のネットワークに対するこれらの攻撃の発見には、常にさらなる調査が必要です。
高度で持続的な脅威は、主に高レベルの組織や貴重なデータを持つ企業を標的にしていましたが、現在では小規模な組織でもますます一般的になっています。 攻撃者はますます高度な攻撃方法を使用するため、あらゆる規模の組織は、これらの脅威を検出して対応できる強力なセキュリティ対策を実装するように注意する必要があります。
高度で持続的な脅威に対するベスト プラクティス
Digital Guardian の最高情報セキュリティ責任者、Tim Bandos 氏
Advanced Malware の回避および難読化技術により、多くの従来のセキュリティ ソリューションは、APT 攻撃の検出または緩和において効果がなくなります。 そのため、セキュリティ チームは、シグネチャではなくアクティビティに基づいてマルウェアを特定して阻止するために、コンテキストおよび動作ベースの検出を使用するソリューションを必要としています。 APT 攻撃の検出を改善するために、セキュリティ チームは、システム内の脅威活動の増加やその他の異常に注意する必要があります。 エンドポイント レベルでは、ネットワーク偵察、疑わしいファイル転送、疑わしいコマンド アンド コントロール サーバーとの通信など、APT 攻撃の警告サインに注意してください。
最新の高度な脅威検出テクノロジーは、APT 攻撃を検出するためのサンドボックス化と監視を提供します。 サンドボックス化により、疑わしいファイルがネットワーク上で許可される前に隔離された環境で実行および監視されるため、システムに侵入して損害を与える前に脅威を検出できる可能性があります。
APT に対する防止と保護
高度なマルウェアの防止と保護では、感染とデータ盗難の可能性を最小限に抑えるために、脅威ベクトル (侵入ポイントと流出ポイントの両方) を保護することに重点を置く必要があります。 電子メール、インターネット接続、ファイル転送、USB などのベクトルに制御を適用することで、初期段階の攻撃に対する高度なマルウェア感染に対する保護と、攻撃の最終段階を試みるマルウェア感染が成功した場合のデータの流出に対する保護を提供します。 防御の最後の行として、すべての機密データ資産を暗号化し、すべてのキーを安全に保つ必要があります。 これにより、ネットワークに侵入されてインシデントが検出されなくなった場合でも、被害を最小限に抑えることができます。
ソーシャル エンジニアリング攻撃は非常に蔓延しているため、組織は従業員に広範かつ継続的なトレーニングを提供する必要もあります。 フィッシング攻撃は、APT 攻撃の一般的な方法です。 したがって、従業員が攻撃者の戦術に精通していることが重要です。 さまざまなセキュリティ テクノロジと訓練を受けた従業員による多層的なアプローチにより、APT 攻撃に対する防御を大幅に強化できます。
詳しくは Digitalguardian.com をご覧ください
デジタルガーディアンについて Digital Guardian は妥協のないデータ セキュリティを提供します。 クラウドで提供されるデータ保護プラットフォームは、Windows、Mac、および Linux オペレーティング システムでの内部関係者の脅威や外部の攻撃者によるデータ損失を防止する目的で構築されています。 Digital Guardian データ保護プラットフォームは、エンタープライズ ネットワーク、従来のエンドポイント、およびクラウド アプリケーション全体に展開できます。 Digital Guardian は 15 年以上にわたり、データ集約型の企業が最も価値のある資産を SaaS またはフル マネージド サービス ベースで保護できるように支援してきました。 Digital Guardian 独自のポリシーレスなデータ可視性と柔軟な制御により、組織はビジネス オペレーションを遅くすることなくデータを保護できます。