復習: 攻撃者が管理ツールも使用する場合

9。 10月2021
| コメントはありません
復習: 攻撃者が管理ツールも使用する場合

投稿を共有する

サイバー攻撃の被害に遭った企業のプレイブック 2021 ケーススタディから何を学ぶことができますか? 一連の記事では、ソフォスの専門家が未来にさかのぼり、IT セキュリティのさまざまな特定の側面に対処して、誰もが実装できる推奨事項を導き出します。

Sophos Active Adversary Playbook 2021 で詳しく説明されているように、攻撃者は IT 管理者やセキュリティ プロフェッショナルが使用するツールを使用して、疑わしいアクションの検出を困難にしています。 これらのツールの多くは、セキュリティ製品によって「望ましくない可能性のあるアプリケーション」または略して PUA (または RiskWare または RiskTool) として認識されていますが、IT チームが日常的に使用するために不可欠です。 これに対処するために、管理者は会社の IT ポリシーに関する XNUMX つの重要な質問を自問する必要があります。すべてのユーザーがこれらのユーティリティを使用できる必要があるか、これらのユーティリティをすべてのデバイスで実行できる必要があるか。

PUA とは何ですか?

PUA は、オペレーティング システム (PowerShell など) にバンドルされている管理ツールであり、ネットワーク上のデバイスを自動化および管理する方法を提供します。 さらに、ポート スキャン、パケット キャプチャ、スクリプト作成、監視、セキュリティ ツール、圧縮とアーカイブ、暗号化、デバッグ、侵入テスト、ネットワーク管理、リモート アクセスなどの機能を拡張するために一般的に使用される追加のサードパーティ ツールがあります。 これらのアプリケーションのほとんどは、システムまたはルート アクセスで実行されます。

IT の除外リストが問題となる理由

管理ツールがインストールされ、社内の IT チームによって使用されている場合、これらのアプリケーションは便利なツールです。 ただし、これが他のユーザーによって行われた場合、それらは PUA と見なされ、多くの場合、エンド デバイスの信頼できるセキュリティ ソリューションによってそのようにマークされます。 これらのツールを自由に使用できるようにするために、多くの管理者は、使用するツールをエンドポイント セキュリティ構成のグローバルな除外リストまたは許可リストに追加するだけです。 残念ながら、この方法では、多くの場合、監視、アラート、または通知なしで、許可されていない人がツールをインストールして使用することもできます。

サイバー犯罪者は PUA をどのように使用しますか?

したがって、PUA を許可するセキュリティ ポリシーは慎重に構成する必要があります。 このような無料のチケットは、サイバー犯罪者にとって金の価値があり、ツールの使用、意図、およびコンテキストに関する洞察がないためです.

ツールが除外されると、攻撃者は、特定のデバイスにまだインストールされていなくても、ツールをインストールして使用しようとする可能性があります。 ただし、「生活オフザランド」として知られる攻撃手法では、攻撃者は既存の機能とツールを使用して、可能な限り検出を回避する必要があります。 アクターは、危険信号を一切出すことなく、検出、資格情報へのアクセス、権限昇格、防御回避、持続性、ネットワークの横移動、収集、および流出を実行できます。

制御モードでのみ社内の PUA を許可する

最初のステップは、会社の現在のグローバル例外を確認することです。

  • それらは必要ですか?
  • 除外の理由は示されていますか? それとも「常に存在していた」のですか? 責任者は、セキュリティ ソリューションが最初に PUA を検出した理由を調査する必要があります。すでに悪意を持って使用されている可能性はありますか?
  • 除外は本当にすべてのサーバーとエンド デバイスに適用する必要がありますか?
  • 管理ツールは引き続き必要ですか、それとも組み込み機能に格下げできますか?
  • 同じ結果を得るために複数のツールが必要ですか?

多数のケーススタディに基づいて、ソフォスは、特定のアプリケーション、特定のマシン、正確な時間、および選択されたユーザーなど、非常に制御されたベースでのみ PUA を許可することをお勧めします。 これは、必要に応じて再度削除することもできる、必要な除外を含むポリシーを介して実現できます。 予期しない PUA の使用が検出された場合は、調査する必要があります。これは、サイバー犯罪者がシステムへのアクセスを既に取得していることを示している可能性があるためです。

詳細は Sophos.com をご覧ください

 

ソフォスについて

ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。

 

トピックに関連する記事

IT セキュリティ: NIS-2 により最優先事項となります

経営陣が IT セキュリティに責任を負っているのはドイツ企業の 4 分の 1 だけです。特に中小企業では ➡続きを読む

サイバー攻撃は 104 年に 2023% 増加

サイバーセキュリティ会社は、昨年の脅威の状況を調査しました。結果は、以下の重要な洞察を提供します。 ➡続きを読む

Google Workspace 経由の MDR と XDR

カフェ、空港ターミナル、ホームオフィスなど、従業員はさまざまな場所で働いています。ただし、この開発には課題も伴います ➡続きを読む

モバイル スパイウェアはビジネスに脅威をもたらす

日常生活でも会社でもモバイルデバイスを使用する人がますます増えています。これにより、「モバイル」のリスクも軽減されます。 ➡続きを読む

クラウドソーシングのセキュリティで多くの脆弱性を特定

クラウドソーシングによるセキュリティは、昨年大幅に向上しました。公共部門では、前年よりも 151% 多くの脆弱性が報告されました。 ➡続きを読む

デジタルセキュリティ: 消費者は銀行を最も信頼しています

デジタル信頼調査によると、銀行、医療機関、政府が消費者から最も信頼されていることがわかりました。メディア- ➡続きを読む

ダークネットの仕事交換: ハッカーは反逆者の内部関係者を探している

ダークネットは違法商品の取引所であるだけでなく、ハッカーが新たな共犯者を探す場所でもあります ➡続きを読む

ターミネーターツールが戻ってきます

BYOVD (Bring Your Own Vulnerable Driver) は、EDR キラーとして依然として脅威アクターの間で非常に人気があります。理由の 1 つは、 ➡続きを読む

ストーリー
, , ,