Kaspersky のレポート: ヨーロッパでのサイバー攻撃の 25% で、サイバー犯罪者は正規のツールを悪用して活動を続けています。 ほとんどの場合、プログラムの脆弱性を企業ネットワークへのゲートウェイとして使用したり、データを盗むためのリモート アクセス ツールを使用したりします。 ヨーロッパのインシデント対応の 11,1% はドイツからのものです。 スイスから25,9パーセント。
金融機関であろうと、電気通信、産業、運輸、物流の企業であろうと、あらゆる分野のヨーロッパの組織はサイバー攻撃と戦わなければなりません。 昨年カスペルスキーが世界規模で分析したインシデント対応のほぼ 24 分の 32,6 (36,2%) は、中東 (21,3%) に次いで 10,6 番目に多いヨーロッパに関するものでした。 最も頻繁に、疑わしいファイル (XNUMX%)、既に暗号化されたデータ (XNUMX%)、またはエンドポイントでの疑わしいアクティビティ (XNUMX%) が企業のインシデント対応を引き起こしました。 これに関する問題: インシデントの半分は数週間後にしか発見されないため、被害はすでに発生しています。 さらに、セキュリティ インシデントの XNUMX 分の XNUMX は正当な管理およびリモート アクセス ツールに関連しており、これらのセキュリティ ソリューションは攻撃として検出するのに苦労しており、在宅勤務時代に人気があります。
サイバー攻撃は、後になって初めて明らかになることがあります
一方では、企業はサイバー攻撃を、暗号化されたデータ、金銭の損失、データの漏えいなどの顕著な悪影響、およびセキュリティ ソリューションから受け取る警告によって認識します。 Kaspersky の専門家がヨーロッパでのインシデント対応を分析したところ、ケースの 35,3 分の XNUMX 以上 (XNUMX%) で、悪用されたプログラムの脆弱性が企業ネットワークへのゲートウェイであることがわかりました。 次の初期攻撃ベクトルが特定されました。
- 悪意のある電子メール (29,4%)、
- 外部データキャリア (11,8%),
- 構成ミスによる脆弱性の悪用 (11,8%)、
- アクセスデータの漏えい (5,9%)
- およびインサイダー (5,9%)
あらゆるセクターの企業が影響を受けます。 Kaspersky が分析したインシデント対応は、金融 (25,4%)、電気通信 (16,9%)、産業 (16,9%)、輸送 (13,6%) の分野の組織からのものでした。 約 8,5 分の XNUMX のインシデント対応が当局からのものでした (XNUMX%)。
管理ツールとリモート アクセス ツールは企業にとってリスクとなります
ネットワークに侵入すると、攻撃者は正当なツールを悪用して、分析されたインシデント レスポンスの 25% に損害を与えました。 これらは、特に IT およびネットワーク管理者がトラブルシューティングや従業員への技術サポートの提供に実際に使用しています。 ただし、サイバー犯罪者がエンドポイントでプロセスを実行し、機密情報にアクセスして抽出し、マルウェアの検出に使用されるさまざまなセキュリティ制御をバイパスすることを可能にします.
カスペルスキーの専門家は、インシデント対応を分析して、攻撃者が悪用した 18 種類の正当なツールを特定することができました。 ヨーロッパで分析されたケースの半分 (50%) は、情報の収集からマルウェアの実行まで多くの目的に使用できる強力な管理ツール PowerShell と、リモート エンドポイントでプロセスを開始するために使用される PsExec を使用していました。 攻撃の 37,5% で、ネットワーク環境に関する情報を取得するために使用される SoftPerfect Network Scanner。
正当なソフトウェアが攻撃を難読化する
Kaspersky のグローバル緊急対応チームの責任者である Konstantin Sapronov 氏は次のように説明しています。 「これらのツールを使用すると、攻撃者は企業ネットワークに関する情報を収集して移動したり、ソフトウェアやハードウェアの設定を変更したり、悪意のあるアクションを実行したりできます。正規のソフトウェアを使用して顧客データを暗号化する可能性があります. 正当なソフトウェアを使用すると、攻撃者は損害が発生してから攻撃を発見することが多いため、セキュリティ アナリストの監視下に留まることができます。 多くの理由から、これらのツールを除外することはできません。 しかし、適切に配備されたロギングおよび監視システムは、ネットワーク上の疑わしいアクティビティや巧妙な攻撃を初期段階で検出するのに役立ちます。」
企業は、このような攻撃をタイムリーに検出して対応するために、MDR サービスを備えたエンドポイント検出および応答ソリューションの実装を検討する必要があります。 Kaspersky EDR や Kaspersky Managed Protection Service などのさまざまなソリューションを評価した MITRE ATT&CK® Round 2 Evaluation [2] は、組織がニーズを満たす EDR 製品を選択するのに役立ちます。 ATT&CK 評価の結果は、完全に自動化された多層セキュリティ製品と手動の脅威ハンティング サービスを組み合わせた包括的なソリューションの重要性を示しています。
ビジネス向けのカスペルスキー保護のヒント
- 外部 IP アドレスからのリモート管理ツールへのアクセスを制限し、限られた数のエンドポイントからのみリモート コントロール インターフェイスにアクセスできるようにします。
- すべての IT システムに厳格なパスワード ポリシーを適用し、多要素認証を使用します。
- 従業員に限られた特権を提供し、職務を遂行するために必要な人だけに高特権アカウントを付与します。
- Kaspersky Endpoint Security for Business [3] などの専用セキュリティ ソリューションをすべての Windows、Linux、および MacOS エンドポイントにインストールします。 これにより、既知および未知のサイバー脅威に対する保護が可能になり、オペレーティング システムごとにさまざまなサイバー セキュリティ制御オプションが提供されます。
- SOC チームが脅威インテリジェンス [4] を通じて最新の脅威インテリジェンスにアクセスできるようにすることで、攻撃者のツール、手法、および戦術を常に最新の状態に保つことができます。
- 関連するすべてのビジネス データの定期的なバックアップの作成。 このようにして、ランサムウェアによって暗号化されて使用できなくなった重要なデータを迅速に復元できます。
Kaspersky の Incident Response Analyst Report からの追加の洞察は、オンラインで入手できます。
Kaspersky.com で詳細をご覧ください
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。