サイバー攻撃の被害に遭った企業のプレイブック 2021 ケーススタディから何を学ぶことができますか? 一連の記事では、ソフォスの専門家が未来にさかのぼり、IT セキュリティのさまざまな特定の側面に対処して、誰もが実装できる推奨事項を導き出します。
Sophos Active Adversary Playbook 2021 で詳しく説明されているように、攻撃者は IT 管理者やセキュリティ プロフェッショナルが使用するツールを使用して、疑わしいアクションの検出を困難にしています。 これらのツールの多くは、セキュリティ製品によって「望ましくない可能性のあるアプリケーション」または略して PUA (または RiskWare または RiskTool) として認識されていますが、IT チームが日常的に使用するために不可欠です。 これに対処するために、管理者は会社の IT ポリシーに関する XNUMX つの重要な質問を自問する必要があります。すべてのユーザーがこれらのユーティリティを使用できる必要があるか、これらのユーティリティをすべてのデバイスで実行できる必要があるか。
PUA とは何ですか?
PUA は、オペレーティング システム (PowerShell など) にバンドルされている管理ツールであり、ネットワーク上のデバイスを自動化および管理する方法を提供します。 さらに、ポート スキャン、パケット キャプチャ、スクリプト作成、監視、セキュリティ ツール、圧縮とアーカイブ、暗号化、デバッグ、侵入テスト、ネットワーク管理、リモート アクセスなどの機能を拡張するために一般的に使用される追加のサードパーティ ツールがあります。 これらのアプリケーションのほとんどは、システムまたはルート アクセスで実行されます。
IT の除外リストが問題となる理由
管理ツールがインストールされ、社内の IT チームによって使用されている場合、これらのアプリケーションは便利なツールです。 ただし、これが他のユーザーによって行われた場合、それらは PUA と見なされ、多くの場合、エンド デバイスの信頼できるセキュリティ ソリューションによってそのようにマークされます。 これらのツールを自由に使用できるようにするために、多くの管理者は、使用するツールをエンドポイント セキュリティ構成のグローバルな除外リストまたは許可リストに追加するだけです。 残念ながら、この方法では、多くの場合、監視、アラート、または通知なしで、許可されていない人がツールをインストールして使用することもできます。
サイバー犯罪者は PUA をどのように使用しますか?
したがって、PUA を許可するセキュリティ ポリシーは慎重に構成する必要があります。 このような無料のチケットは、サイバー犯罪者にとって金の価値があり、ツールの使用、意図、およびコンテキストに関する洞察がないためです.
ツールが除外されると、攻撃者は、特定のデバイスにまだインストールされていなくても、ツールをインストールして使用しようとする可能性があります。 ただし、「生活オフザランド」として知られる攻撃手法では、攻撃者は既存の機能とツールを使用して、可能な限り検出を回避する必要があります。 アクターは、危険信号を一切出すことなく、検出、資格情報へのアクセス、権限昇格、防御回避、持続性、ネットワークの横移動、収集、および流出を実行できます。
制御モードでのみ社内の PUA を許可する
最初のステップは、会社の現在のグローバル例外を確認することです。
- それらは必要ですか?
- 除外の理由は示されていますか? それとも「常に存在していた」のですか? 責任者は、セキュリティ ソリューションが最初に PUA を検出した理由を調査する必要があります。すでに悪意を持って使用されている可能性はありますか?
- 除外は本当にすべてのサーバーとエンド デバイスに適用する必要がありますか?
- 管理ツールは引き続き必要ですか、それとも組み込み機能に格下げできますか?
- 同じ結果を得るために複数のツールが必要ですか?
多数のケーススタディに基づいて、ソフォスは、特定のアプリケーション、特定のマシン、正確な時間、および選択されたユーザーなど、非常に制御されたベースでのみ PUA を許可することをお勧めします。 これは、必要に応じて再度削除することもできる、必要な除外を含むポリシーを介して実現できます。 予期しない PUA の使用が検出された場合は、調査する必要があります。これは、サイバー犯罪者がシステムへのアクセスを既に取得していることを示している可能性があるためです。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。