ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
目に見えないところに隠れることは、自然界で何百万年もかけて磨かれてきた実証済みの戦術です。花のように見える蝶。虫がすぐ近くをさまようのを待つ祈るカマキリ。背景に溶け込むカメレオン。昆虫、爬虫類、哺乳類など多種多様な動物は、目につかない場所に隠れることがおいしい食事をとるため、あるいは他人のお弁当にならないようにする良い方法であることを知っています。
サイバー犯罪者やその他の悪意のある攻撃者は、自然界からヒントを得て、通常のユーザー行動を利用して従来の検出手法を回避し、企業ネットワークに侵入しています。これらは 高回避型適応型脅威 (HEAT) 従来のWebセキュリティ対策を回避し、Webブラウザ機能を活用してマルウェアを配信したり、認証情報を侵害したりします。HEAT 攻撃が成功すると、サンドボックスを含むすべてのブラウザベースのセキュリティ防御が役に立たなくなります。また、ファイルインスペクション、ネットワークおよび HTTP レベルのインスペクション、悪意のあるリンク分析、オフラインドメイン分析、侵害インジケーター (IOC) フィードも役に立ちません。
HEAT 攻撃は、悪意のあるアクティビティを通常のユーザー行動に見せかけることで、こうした従来の検出方法をすべて回避します。HEAT 攻撃はすべて正当な活動に似ているため、組織はそれらをブロックする能力だけに頼ることはできません。これは、バグが葉のように見えるものから遠ざかるだけで、祈るカマキリに食べられてしまうことを防ぐことができるのと同じくらいです。世界中の何百万もの組織が使用しているサンドボックスでは、良い行動と悪い行動を区別することができません。そのため、マルウェアやランサムウェアなど、今日最も一般的で破壊的なサイバー攻撃の検出と対応がますます困難になっています。
HEAT攻撃がサンドボックスを回避するために使用する4つの戦術は次のとおりです。
正規の JavaScript および HTML5 機能を活用して、悪意のあるペイロードを HTML コードに直接隠す攻撃者が増えています。電子メールに埋め込まれた JavaScript ブロブとして、または添付ファイルとして配信された悪質なスクリプトは、ブラウザによってデコードされ、ユーザーのデバイス上でペイロードが組み立てられます。これにより、攻撃者はファイアウォールの内側でローカルにマルウェアを構築し、サンドボックスを回避することができます。
例: アイソモルフ感染
もう1つの手法は、セキュリティ上の目的でサンドボックスで検査できないパスワードで保護されたファイルに悪意のあるコードを配信することです。支払いカード情報 (PCI) データや、ポリシーに従ってサンドボックスインスペクションが免除されている個人識別情報 (PII) などの機密情報を含む重要なファイルになりすますと、攻撃者はサンドボックスをすり抜けることができます。この最初の防衛線を通過すると、攻撃はエンドデバイスのペイロードとして組み立てられ、ネットワーク全体に広がります。
例: Qbot マルウェアはパスワードで保護されたファイルを使用します
セキュリティチームは、生産性に影響を与えずに企業を保護することを常に認識しています。すべてのファイルをサンドボックスに送信して検査することは、生産性を低下させる方法の好例です。ポリシーは、どのファイルをエンドユーザーに送信するかを、ファイルタイプと、もちろんサイズに基づいて決定します。100 MB 未満の大半のファイルはサンドボックスで分析され、エンドユーザーに配信されます。100 MB を超えるファイルはサンドボックスで拒否され、特定のポリシーに基づいてブロックされるか、エンドユーザーに直接渡されます。これにより、生産性が低下したり、ヘルプデスクへの問い合わせが増えたりするのを防ぐことができます。悪意のある攻撃者は、この実証済みのアプローチを使用して、最終的にペイロードをエンドデバイスにまとめる特大サイズのファイルを送信することでサンドボックスを回避します。
例: SEOポイズニングを利用して悪意のあるペイロードをダウンロードするSolarmarker
攻撃者は、悪意のある URL リンク分析エンジンを回避する巧妙な方法を考え出しています。悪意のある URL リンク分析エンジンは、従来はメールパス内に実装されていて、ユーザーに見つかる前にリンクを分析していました。代わりに、テキストメッセージ、ソーシャルメディア、プロフェッショナルWebネットワーク、コラボレーションソフトウェア、SMS、共有ドキュメント、共有フォルダー、Software as a Service(SaaS)プラットフォームを使用する可能性があります。このようなセキュリティ保護されていないチャネルを通じて悪意のあるリンクを送信すると、サンドボックスを回避し、攻撃者がユーザーのエンドデバイスに侵入できるようになります。
例: ハッカーはMSFT Teamsを利用してマルウェアを配信します
一見無害に見えるコンテンツや行動が良いか悪いかを確実に知る唯一の方法は、セキュリティについて予防的な姿勢をとり、問題を完全に回避することです。今日の多くの組織は、次のようなことを組み合わせています。 隔離機能を備えたセキュリティソリューションによるゼロトラストマインドセット 答えとして。こうすることで、インターネットとユーザーのデバイスの間に抽象化されたレイヤーが作成され、良いものも悪いものも含めて、すべての Web コンテンツが分離されたレイヤーを介してルーティングされます。これによってヒートアタックが防止され、回避手法は無意味なものになります。
