ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
セキュリティは以前はかなり簡単でした。企業は、強固なデータセンターの前に強力な境界防御を構築し、ネットワークへのエントリポイントを強化して、悪意のある攻撃者がアクセスできないようにしていました。その後、数十年前、デスクトップコンピューターがインターネットに接続され、突然、脅威の対象がエンドデバイスにまで広がりました。ブラウザ自体は、機能が限られていたため、あまり標的にはなりませんでした。ただ、悪意のある攻撃者が悪用できるものはあまりありませんでした。そのため、企業は仮想プライベートネットワーク (VPN)、ファイアウォール、サンドボックス、ウイルス対策、エンドポイント検出/対応 (EDR) など、ネットワークとエンドポイントのセキュリティに重点を置いたセキュリティソリューションに頼る傾向がありました。
近年、エンタープライズアプリケーションがデータセンターからSoftware as a Service(SaaS)プラットフォームやパブリッククラウドインフラストラクチャに分散化されてきたため、Google、Microsoftなどの開発者、および新しいブラウザプレーヤーは、ネイティブアプリケーションを模倣できる高度な機能を備えたより堅牢なブラウザーを構築するよう圧力をかけられています。
しかし、結果として生じたネットワークセキュリティへの投資は、ブラウザを保護するためのものではありませんでした。その代わり、エンドポイントセキュリティが対策として期待されていましたが、ブラウザーの高度化が進むにつれて、悪意のある攻撃者はこれらの機能を活用する新しい革新的な方法を模索しています。新しい在宅勤務ポリシーは、ブラウザにさらなる圧力を強め、ますます巧妙化する脅威アクターへの対処の失敗の一因となっています。
ブラウザがそれ以上のものであることを考えると 今日の就業時間の 75% は行われています、脅威アクターがそれを標的にする動機が高まっているのは当然のことです。によると ベライゾン 2022 データ漏えい調査レポート現在、侵害の 90% はブラウザを介して発生しています。
強固なデータセンターの周囲に強固な境界防御を構築する時代が過ぎ去ったことは明らかです。ブラウザのセキュリティは、企業のセキュリティチームにとって最優先事項であるべきです。
デジタルトランスフォーメーション、ハイブリッドワークポリシー、クラウド移行により脅威の対象領域が拡大していることを考えると、ITセキュリティチームはブラウザを保護するためにできる限りのことをする必要があります。残念なことに、検出と対応のアプローチのみに頼る従来のセキュリティソリューションでは、今日の高度に高度な脅威に対処するための対策はひどく不十分です。今日の悪意のある攻撃者はこれを悪用しています。 回避性の高い適応型脅威 (HEAT) は、ブラウザーのセキュリティを回避し、エンドポイントに最初に侵入し、より魅力的な企業ターゲットを探して、適切なタイミングで攻撃を行うことです。
回避テクニックの範囲 メール以外のチャネルへのフィッシング攻撃、信頼できるファイルタイプとしてのマルウェアの展開、人間の本性を利用してユーザーを騙して悪意のあるリンクをクリックさせる、ファイアウォールの反対側でファイルを再構築して分析ツールを回避するなど、さまざまな方法があります。
ここでは、現実世界におけるこれらの回避テクニックの注目度の高い例を3つ紹介します。
今や悪名高いフィッシングキャンペーンで、ランサムウェアグループのOktapusは、驚きとスピードを頼りにユーザーを騙して認証情報を提供させました。攻撃はOktaの顧客を対象としており、偽のOkta認証ページへのリンクを含むテキストメッセージまたは電子メールを送信していました。リンクをクリックすると、被害者はオンラインフォームにユーザー名、パスワード、二要素認証コードを入力するよう求められました。これは、脅威アクターが MFA をバイパスする方法の一例にすぎません。ユニークコードやプッシュ通知の有効期限が切れる前に(通常は 2 分以内)にネットワークに侵入するには、攻撃者は迅速に行動しなければならず、おそらくリアルタイムでツールを監視して、侵害された認証情報を即座に利用できるようにする必要がありました。
類似の画像、フォント、スクリプトを共有することが多い不正ドメインをセキュリティツールが検知した速度だけでは、Oktapusを阻止するには不十分でした。このグループはほぼリアルタイムのペースで業務を行い、脅威が軽減される前にペイロードを配信してデータを抽出していました。不正なログインページが特定され、ブラックリストに登録された場合でも、ランサムウェアグループは組織内のより多くの個人をターゲットとする新しいドメインを迅速に作成しました。ブラックリスト登録、URL フィルタリング、フィッシングトレーニングなどの従来のセキュリティ対策だけでは、攻撃者が最初にアクセスするのを阻止するには不十分でした。
もっと読む Menlo LabsのリサーチチームによるOktapus脅威キャンペーンの詳細。
北朝鮮のあるグループは、エンドデバイスにマルウェアやランサムウェアをインストールする方法として、一般的なブラウザで一連のゼロデイエクスプロイトを行いました。ユーザーが最初でした。 侵害された Web サイトに誘導された それは未知だったか、以前は安全だと考えられていたかのどちらかでした。残念ながら、ほとんどの検出と対応のアプローチでは、ユーザーの生産性を損なうことを恐れて、未分類の Web サイトをブロックしません。さらに、すでに安全と分類されている Web サイトは後に侵害され、侵害の新たな手段となりました。さらに、悪意のあるファイルはパスワードで保護され、ファイル分析ツールから保護されました。パスワードなしではこれらのファイルの内容を分析する方法がないため、ファイル分析ツールは通常、パスワードで保護されたすべてのファイルをブロックして生産性を低下させるのではなく、ネットワークへの侵入を許可します。このブラウザのセキュリティチェックポイントを通過すると、悪意のある攻撃者は自由にネットワーク全体に広がりました。
Menlo Labsの研究チームは、このキャンペーンの詳細を人気のある記事にまとめました。 ここで見つかりました。
Qakbot(別名 QBot または Pinkslipbot)は、バンキング型トロイの木馬としては世界中でも有数の存在となっています。その主な目的は、銀行の認証情報 (ログイン、パスワードなど) を盗むことですが、金融業務をスパイしたり、拡散したり、ランサムウェアをインストールしたりして、侵害を受けた組織からの収益を最大化するための機能も獲得しています。Lazarus Groupと同様に、Qakbotは複数の評判回避手法を使用して、最近侵害されたWebサイトにユーザーを誘導し、悪意のあるファイルをダウンロードさせます。Menlo Labs の研究チームは、悪意のあるリンクがパスワードで保護された ZIP ファイルを介して送信されていることを確認しました。これにより、検出ベースのセキュリティ技術によるリンクの検査を防ぐことができます。リンクをクリックすると、悪意のあるペイロードが経由して配信されます。 HTML の密輸について—攻撃者が悪意のあるコードをHTMLページに隠し、ファイアウォールを通過した後にエンドユーザーのデバイス上でマルウェアを再構築することで、ブラウザのセキュリティ対策を回避できるようにするHEAT手法。
Quakbotキャンペーンの詳細は以下のとおりです。 ここで見つかりました。
悪意のある攻撃者は、サイバーセキュリティへの検出と対応というアプローチに依存する従来のセキュリティソリューションを回避するために、一般的なブラウザーの脆弱性を悪用する手法を巧みに利用するようになっています。Oktapus、Lazarus Group、Qakbotは、脅威アクターがどのように検出を回避し、脆弱なエンドポイントに最初に侵入し、その後、貴重な標的を探してネットワーク全体に広がることができるかを示す3つの例にすぎません。セキュリティに対する従来の検出ベースのアプローチがまったく機能していないことは明らかで、その多くが セキュリティ・スタックへの投資が組織の失敗につながり続けている。これらの攻撃を未然に防ぐためには、組織は既存の検出機能に加えて予防的なセキュリティ層を設け、これらの攻撃が最初の侵害を未然に防ぐ必要があります。
考慮すべき点の1つは、隔離テクノロジーです。これにより、悪意のあるコンテンツであるかどうかにかかわらず、すべてのコンテンツがクラウドの仮想レイヤーで実行され、潜在的な脅威がエンドポイントの近くに来ることがないようにすることで、脅威が発生する前に防止できます。これが必要なのは、これまで見てきたように、既存のネットワークやエンドポイントのセキュリティソリューションをますますしのぐことができるこれらの回避型の脅威に追いつくのがますます難しくなっているためです。
