ますます専門的になりつつあるハッカー業界は、マルウェアやツールをレンタルで提供するだけではありません。 犯罪の専門家もお金のために仕事を提供します。 Advanced Persistent Threat (APT) に関する彼らの専門知識には、目のレベルでの防御、つまり Managed Detection and Response (MDR) が必要です。
近年、サイバー犯罪はより組織化されており、ますますビジネス界の例に基づいています。 ほぼ 40 年間、Malware-as-a-Service は当初、サイバー犯罪の世界への迅速な参入を提供し、違法市場には常に多種多様なツールがありました。リモート アクセス トロイの木馬 (RAT)、スパム送信用のボット ネットワーク、または高度なランサムウェア攻撃さえも。 このように装備されているため、技術的な専門知識がほとんどない加害者でも、複雑なマルウェアを操作できるようになりました。 生成された収益は、通常のビジネス ライフと同様に、さまざまな参加者の間で分配されます。たとえば、製造業者は XNUMX% を受け取り、残りは攻撃を実行するオペレーターに渡されます。
分業制のサイバー犯罪者
サービスとマルウェアの既存のエコシステムにより、サイバー犯罪者は産業スタイルの分業を継続するようになりました。開発者はコードを書き、製品マネージャーは対策を検討しながら全体的なロードマップを設計します。 テクニカル サポートは、ユーザーの日常業務をサポートします。 ビジネスモデル全体は、被害者によって資金提供されています。 攻撃者は自分たちに代わって、新しいパートナーを募集するために、ソーシャル メディアまたはフォーラム エイリアスで過去のキャンペーンから得られた財務結果を宣伝します。
残念ながら、商用のサービスとしてのマルウェアはその価値を証明しています。 分析によると、マイナスの意味での商業化への傾向は、想像以上に持続可能で広範囲に及びます。開発者とパートナーは何十億もの収益を生み出しています。 たとえば、GandCrab ランサムウェア攻撃の発信者は、2019 年にアンダーグラウンド フォーラムで、攻撃された企業から XNUMX 億米ドル以上をゆすり取ったと主張しました。
犯罪マルウェアから APT サービス プロバイダーまで
XNUMX 年前、APT 傭兵グループがサービスの提供を開始しました。 これらは、高度な攻撃方法に関心があり、政府と協力する可能性がある主要なプレーヤーを対象としています。 これらのグループは、ヨーロッパとドイツの大部分の IT システムを標的とし、高度な Tactics, Techniques and Process (TTP) を使用してスパイし、機密情報を盗みます。
2018 年には、これまで知られていなかった APT グループ RedCurl が、銀行、保険、法律、建設、金融、コンサルティング、小売、観光業界の複数の企業を攻撃しました。 Group-IB の IT セキュリティ専門家による分析によると、作成者は強力なマルウェア フレームワークを使用してデータを盗み出しました。 2020 年の夏、Bitdefender は別のプロの APT 攻撃グループの活動を明らかにしました。彼らのビジネス モデルは、不動産業界でのサイバー スパイ活動に基づいていました。 これを行うために、人気のある 3D コンピュータ グラフィックス ソフトウェアである Autodesk 3ds Max のプラグインを装った悪意のあるペイロードを使用しました。 対策に対するコードの専門的なテストにより、展開時にマルウェアが検出されないことが保証されました。
新しいレベルのサイバー犯罪
このような攻撃の背後にいる組織の専門知識は、サイバー犯罪を新たなレベルに引き上げます。 APTスパイツールは、高度な専門知識を持つ経験豊富な開発者チームの製品です。 これらは、それぞれのプロジェクトに合わせて調整されたツールキットを使用します。 また、マルウェアが攻撃の実際のターゲットを超えて拡散するのを防ぎます。 その結果、防御ベンダーは、将来の検出のためにマルウェアのコピーを取得する可能性が低くなります。 これは、特に中小企業の防御チームに大きな課題をもたらします。 ファイルに基づいてマルウェアを検出する従来のアプローチでは、たとえば、ポリモーフィック マルウェア サンプルやいわゆるファイルレス マルウェアが見落とされていました。 リモート デスクトップ プロトコル (RDP) やその他の正当なツールの悪用など、土地を離れて生活する戦術は検出が困難です。 これにより、中小企業や組織がこれらの危険に必要な速度で対応することが非常に困難になります。
ほとんどの企業が、さまざまな種類のマルウェアから保護するための基本的なテクノロジを備えていることは事実です。 しかし、APT 専門家の洗練されたツールは、企業ネットワーク内に侵入すると、カウンターのレーダーをすり抜けて、少なくともしばらくの間、彼らの行動を回避することができます。
防御を専門化する
Bitdefender の脅威分析責任者、Bogdan Botezatu 氏
エンドポイント セキュリティ ソリューションだけでは、攻撃チェーン全体で悪意のある動作やペイロードを検出することはできません。 テクノロジーだけでは、非常に洗練されたスキルで開発された複雑な攻撃を特定するには不十分です。 APT 攻撃者に対する防御には、ソフトウェアと専門家の相互作用が必要です。
専門家によって実行された攻撃のすべての意図と全範囲を明らかにするためには、人間のアナリストが EDR (エンドポイントの検出と対応) ソリューションに集約されたイベントを評価することが重要です。 関連するインシデントは、分析のためにデジタル フォレンジックの専門家に渡されます。 インシデント管理には損害が含まれます。 以前のシステム状態またはデータセットを復元するためのコストと時間を削減し、風評被害を防ぎます。
しかし、そのような分析に必要な専門知識は不足しており、代償が伴います。 また、サイバーリスク専門家チームのトレーニングにも時間がかかります。 したがって、非常に決意の強い攻撃者に直面した場合、多くの組織は、管理された検出および対応サービスの形で外部の支援を求めることを検討する必要があります。
管理された検出と応答
外部で運用されている MDR (マネージド ディテクション アンド レスポンス) は、エンドポイント検出セキュリティ分析とネットワーク トラフィック調査のための実績のあるセキュリティ テクノロジと、高度な資格を持つ専門家の必要な能力と知識を組み合わせています。 このような外部委託された追加の IT セキュリティ センターは、SIEM (セキュリティ情報とイベント管理)、TIP (脅威インテリジェンス プラットフォーム)、SOAR (セキュリティ オーケストレーションの自動化と対応) などの高度なテクノロジにアクセスできない、または持っていない企業をサポートします。ビジネスに不可欠なサイバー脅威に対する XNUMX 時間 XNUMX 日の防御。 専門家による追加の監視により、セキュリティ インシデントの高度な検出が可能になり、自動化された事前承認プロセスを使用して迅速に対応できます。 これにより、外部アナリストは、脅威を軽減および回避するためのアクションを迅速に実行できます。
MDR 製品には、ダーク Web モニタリングやフォレンジックに至るまでの積極的な脅威ハンティングも含まれており、状況に応じた実用的な脅威指標を調査します。 専門家は、人と従業員のリスク要因も分析します。 カスタム定義の脅威モデルにより、インシデントへのカスタマイズされた対応が可能になります。 企業にとって重要で、企業にとって特別なリスクを伴う攻撃対象は、的を絞った方法で監視できます。 MDR プロバイダーのセキュリティ オペレーション センター (SOC) は、専門家の経験を提供し、さまざまな業界の顧客の要件に従ってレポートを提供します。
アイレベルを元に戻す
脅威の状況が変化しただけでなく、サイバー犯罪者の組織、構造、そして最終的には人員配置も変化しました。 彼らのモデルは、法律ビジネスの世界における分業とビジネスモデルです。 攻撃者は技術と開発を外部委託します。 悪意のあるサービス プロバイダーは、サイバー犯罪から利益を得るために、あらゆる規模のあらゆるセクターの企業を攻撃する製品を提供し続けています。 リーガル エコノミーがコラボレーション プロセスについて考える時が来ました。企業は、防衛技術へのアクセスだけでなく、有害なアクターに立ち向かうために、外部の専門家の能力と経験にもアクセスする必要があります。 必要なものは買えますが、自分ではできません。
Bitdefender.comで詳細をご覧ください
Bitdefenderについて Bitdefender は、サイバーセキュリティ ソリューションとウイルス対策ソフトウェアのグローバル リーダーであり、500 か国以上で 150 億を超えるシステムを保護しています。 2001 年の設立以来、同社のイノベーションは、優れたセキュリティ製品と、デバイス、ネットワーク、およびクラウド サービスのインテリジェントな保護を、個人の顧客や企業に定期的に提供してきました。 最適なサプライヤーとして、Bitdefender テクノロジは、世界で展開されているセキュリティ ソリューションの 38% で使用されており、業界の専門家、メーカー、および顧客から信頼され、認められています。 www.bitdefender.de