トレンドマイクロのゼロデイ イニシアチブ (ZDI) は、Pwn2Own ハッキング コンテストで脆弱性を発見した倫理的なハッカーに賞金を授与します。 58 件のゼロデイ脆弱性を発見すると、約 1 万ユーロの報奨金がありました。 Zero Day Initiative は、現在の Pwn2Own コンテストの結果を発表します。 24月27日から58日まで開催されるトレンドマイクロ主催のハッキングコンテストで。 このイベントは XNUMX 月 XNUMX 日にカナダのトロントで開催され、参加者は合計 XNUMX 件のこれまで知られていなかったゼロデイ脆弱性を発見しました。 モバイルおよび IoT 消費者製品のギャップがハッキング イベントの焦点であり、倫理的なハッカーがゼロデイ脆弱性を発見 トロントで開催された年次大会でいくつかのチームが得点しました...
IoT デバイスはサイバー犯罪者の人気の標的です。 ダークネットでは、これらの攻撃はサービスとして提供されます。 特に、IoT ボットネットを介した DDoS 攻撃に対するサービスは現在非常に人気があります。 IoT デバイスに対する攻撃のためのサービスがダーク Web 上で提供されることが増えています。 カスペルスキーのセキュリティ専門家は、2023 年上半期にさまざまなダークネット フォーラムで DDoS 攻撃サービスの 700 以上の広告を特定しました。 63,50 ドルの DDoS 攻撃サービス 特に、IoT ボットネット経由で実行される DDoS 攻撃のサービスは明らかにサイバー犯罪者に非常に人気があります。 これらのサービスのコストは、既存の DDoS 保護によって異なります。
企業ネットワークへのリモート アクセスが増加しており、それに伴いサイバー脅威も増加しています。 サイバー犯罪者は常に攻撃戦術を開発しています。 企業の内部サイバーセキュリティの保護と監視が強化されるにつれ、サイバー犯罪者は戦術を進化させ、これまでよりも大きな攻撃対象領域を提供する新しい侵害方法に焦点を当てています。 これは、組織が従来の IT 境界を超えて、サイバー インシデントにつながる可能性のある脅威の全範囲を理解する必要があることを意味します。 外部の脅威 この拡大する攻撃の状況をより深く理解するには、継続的に...
欧州の IoT/OT セキュリティ スペシャリストである ONEKEY は、工業製品と制御における未知のゼロデイ脆弱性のソフトウェア サポートによる自動分析を初めて可能にしました。 このカテゴリは、ソフトウェアを使用するすべてのものにとって最大のリスクの XNUMX つです。「ゼロデイ攻撃は、長い間検出されずに存在し、デバイスやシステムの製造元によって認識されていなかったセキュリティ ギャップを利用します。 したがって、脆弱性に対するパッチはなく、影響を受けるデバイスに対するグローバルな攻撃は壊滅的なものになる可能性があります」と、ONEKEY の CEO である Jan Wendenburg 氏は述べています。 脆弱性の取引が盛ん これらの脆弱性は、iOS のゼロデイ脆弱性であるハッカーの間でも取引されています。
新しいゼロデイ脆弱性が通知されてから、システムにセキュリティ更新プログラムを提供するために、管理者が与えられる時間は 15 分から 10 時間という短い期間だけであることが調査で示されています。 攻撃者は、新しいゼロデイ脆弱性を悪用することに関して、ますます高速化しています。 これは、約 600 件のセキュリティ インシデントを分析した Palo Alto Networks の調査によって示されています。 平均して、新しいゼロデイ セキュリティ脆弱性が報告されてから、犯罪者がインターネットで脆弱なシステムを積極的に検索するのにかかる時間はわずか 15 分です。 そのため、過去 XNUMX 年間で最も困難なゼロデイ脆弱性がいくつかありました。
ゼロデイ脆弱性と関連するエクスプロイトの取引は急速に拡大しています。 Mandiant は多くのエクスプロイトを調査し、その結果をレポートにまとめました。 特に中国、ロシア、北朝鮮は、エクスプロイトの主な提供者です。 ゼロデイ エクスプロイトは、ハッカーの間で非常に人気が高く、独自の市場を持っています。 エクスプロイト業界は、犯罪者にとって経済的に非常に有益であり、それが継続的に成長している理由です。 Microsoft、Google の Chrome ブラウザ - 大きなブラウザでさえ、以前は知られていなかったシステムのセキュリティ ギャップを見つけて悪用する犯罪者から保護されていません...
企業は詳細な推奨事項に従い、既存のパッチを適用し、log4j に即座に対応してベスト プラクティスを適用できます。 しかし、4 番目のステップでは、ソフトウェア サプライ チェーンに関連するプロセスを概観する必要があります。 結局のところ、Log4Shell でさえ、そのギャップがどれほどセキュリティ関連であったとしても、ソフトウェア サプライ チェーンの欠陥コンポーネントにすぎません」と、Trend Micro の IoT セキュリティ エバンジェリスト ヨーロッパである Udo Schneider は述べています。 Log4Shell - ソフトウェア サプライ チェーンを知っていますか? もちろん、LogXNUMXShell の脆弱性によってもたらされる重大な脅威には、迅速な対応が必要です。 しかし、XNUMX 番目のステップでは、企業は通常、以下について自問する必要があります。
APT による 2021 年の予測: Kaspersky の専門家は、攻撃戦略の変化と新たな脆弱性を予想しています。 APT 攻撃者の焦点: 5G、ネットワーク アプリケーション、多層攻撃。 Kaspersky の専門家は、2021 年の Advanced Persistent Threat (APT) の分野での予測を提示します。攻撃対象領域が増加するため、標的型攻撃に関して構造的および戦略的な変化が生じるでしょう。 APT アクターは、ネットワーク アプリケーションを標的にする可能性が高く、ますます 5G の脆弱性を探し、多段階攻撃を実行します。 しかし、一縷の希望もある。ゼロデイの販売など、サイバー犯罪活動に対する対策が講じられるだろう. 年間予報は…
