企業に対する実際の攻撃の詳細な分析により、サイバー犯罪者が滞在期間を隠蔽し、迅速な防御対応を妨害するために使用する新たな詐欺が明らかになりました。 新しい Sophos Active Adversary Report は、サイバー犯罪者が使用する手口を明らかにします。
ソフォスは、新しい Active Adversary レポートをリリースしました。 特に印象的なのは、分析された攻撃の 42 パーセントでテレメトリ プロトコルが欠落しており、これらのケースの 82 パーセントで、犯罪者が攻撃を隠すために積極的にテレメトリ データを無効化または削除していたことです。 さらに、ハイジャックされたシステムでの滞在時間は減少し続けており、前回のレポートからの傾向が続いています。
アクティブな敵対者レポート
「アクティブな敵対者」は、システムに対する攻撃戦略の種類を表す専門用語です。 純粋に技術的で自動化された攻撃とは対照的に、このタイプの攻撃では人的要因が影響します。サイバー犯罪者は積極的にキーボードの前に座り、侵入したシステム内の状況に個別に反応します。 これらのステルス ジャーニーは、ネットワークやシステムで必要な可視性を低下させるため、テレメトリのギャップによってさらにサポートされます。 特に攻撃者が最初のアクセスから検出までに費やす時間は継続的に減少しており、そのため防御反応にかかる時間も短くなっています。
「現在進行中の脅威に対応するには時間が重要な要素です。 初期アクセスの発見から状況の完全な鎮静化までの段階は、できるだけ短くする必要があります。 犯罪者が攻撃チェーンに加わるほど、防御センターではより多くの問題が発生します。 テレメトリ データが欠落していると復旧時間が長くなり、ほとんどの組織では余裕がありません。 そのため、完全かつ正確なログ記録が非常に重要です。 「しかし、実際に必要なデータを組織が持っていないことがあまりにも多いのです」と、ソフォスのフィールド CTO であるジョン シャイアはテレメトリの問題について語ります。
システム内に存在する期間は 38 日未満 – 高速ランサムウェア攻撃は XNUMX%
ソフォスは、Active Adversary Report の中で、最長 38 日間続くランサムウェア攻撃を「高速攻撃」として分類しています。 調査された症例にはそのうちの 62% が含まれていました。 「緩徐発作」とは、場合によっては XNUMX 日よりもずっと長く続く発作です。 そのうちのXNUMXパーセントがありました。 「クイック」攻撃はまだそれほど一般的ではありませんが、全体像に占めるその割合は常に増加しています。その理由は次のとおりです。攻撃者は企業内でより優れた検出方法に反応しており、時間が短縮され、サイバー犯罪者も非常に簡単に実行できるようになりました。 。 「他のプロセスと同様、繰り返しと練習を行うことでより良い結果が得られる傾向があります」とジョン・シャイアーは言います。 「最新のランサムウェアは今年で XNUMX 周年を迎えますが、長い間、より多くの犯罪者を専門家に変える例が数多くありました。 多くの防御戦略が追いつかない場合には、さらに危険な展開となる。」
高速タイプと低速タイプを調べたところ、攻撃者が使用するツール、テクニック、LOLBin (living-off-the-land バイナリ) にはほとんど違いがありませんでした。 これは、攻撃されたシステムの防御者は、滞留時間が減少するにつれて防御戦略を再発明する必要がないことを示唆しています。 ただし、企業は、急速な攻撃やテレメトリの不足により、迅速な対応時間が妨げられ、その後、業務運営に大幅な混乱が生じる可能性があることを認識しておく必要があります。
新たな防御策は必ずしも必要ではない
「サイバー犯罪者は怠惰で、目的をより良く達成できる場合にのみ変更を加えます。 攻撃者は、たとえ侵入後により早く発見されることを意味するとしても、何が起こっているのかを変えることはありません。 攻撃者がターボをオンにしたからといって、防御戦略を根本的に変更する必要がないため、これは組織にとって朗報です。 素早い攻撃を察知する防御策は、時間を問わずあらゆる攻撃に有効です。 これには、完全なテレメトリ、すべてのエリアの堅牢な保護、遍在監視も含まれます」と Shier 氏は指摘します。 「重要なのは抵抗力を高めることです。 攻撃者を攻撃しにくくし、攻撃の各段階を延長すれば、対応する時間がより多くなります。
ソフォスのアクティブな敵対者レポートは、232 年 1 月 2022 日から 30 年 2023 月 25 日までの 34 業界にわたる 83 件のインシデント対応ケースに基づいています。 影響を受けた組織は 1.000 大陸 XNUMX か国にありました。 感染事例のXNUMX%は従業員XNUMX人未満の企業に影響を及ぼした。 このレポートは、セキュリティ専門家が防御戦略を最適に設計する方法に関する実用的な情報を提供します。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。