ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
在宅勤務やデジタルトランスフォーメーションへの取り組みが加速した結果起きた攻撃対象の拡大は、攻撃者に「パーフェクトストーム」をもたらしました。悪意のある攻撃者は、これまでは強化された境界防御を突破するしかありませんでしたが、今ではリモートデバイスやWebアプリケーション、あるいはSaaS(Software as a Service)プラットフォームからバックドア経由で企業ネットワークに侵入しています。そしてそこからネットワーク全体に自由に拡散し、標的をいつ、どこで、どのように攻撃するかを自由に選択することができるのです。
その結果、多くの企業では攻撃者がすでにネットワークに侵入してしまっているという事実を受け入れています。今ではセキュリティチームは、異常または不正な行動を特定してそれらを封じ、ネットワーク内部における攻撃者のラテラルムーブメントを検知することに重点を置くようになっています。
しかし、初期アクセスの防止よりも侵入後の検知に重点を置くことは、攻撃者の思うつぼになりかねません。初期に悪意のあるアクセスを許すと、攻撃者は悪意のある行動を通常のユーザー行動として隠蔽することができ、攻撃を開始する前に姿を隠すことができるのです。
初期アクセスは、MITRE ATT&CKフレームワーク全体でも最も重要な敵対的戦術であることは間違いありません。 HEAT(Highly Evasive Adaptive Threats:高度に回避的で適応型の脅威)は、HTMLスマグリングやパスワードで保護されたドキュメント、サイズの大きいファイル、そしてメールパス回避などの手法を使用して検知を回避し、ネットワーク内で足場を固めます。従来のセキュアWebゲートウェイ(SWG)やウイルス対策、そしてサンドボックスソリューションは、異常な動作を検知する方法として特定のパターンやリモートファイルの要求、あるいはシグネチャを探すように設計されているため、これらの初期アクセス手法は成功しています。HEAT攻撃は、ドライブバイ侵害やフィッシングなどの回避技術を使用してこれらの技術をバイパスし、初期アクセスを可能にします。
ドライブバイ侵害では、攻撃者は正規のWebサイトを侵害してユーザーのシステムにアクセスします。ユーザーが通常のブラウジングセッションの中で侵害されたWebサイトにアクセスしただけで、ユーザーのWebブラウザーが標的となり、侵害されます。フィッシング攻撃では、攻撃者は従来のメールセキュリティソリューションを回避するために、専門家ネットワーク、コラボレーションツール、SMSテキストを介した様々な形態のWebサイト操作やスピアフィッシングの手法を使用します。
初期アクセスの防止に注目せず、従来型の検知と対応によるサイバーセキュリティアプローチを続けていると、セキュリティチームはこうした回避的な脅威を阻止できずに誤検知を許容できないほど大量に発生させてしまい、業務を中断させ生産性を低下させます。
攻撃者が検知を回避する能力を高めているにもかかわらず、エンドデバイスへの初期アクセスに無関心でいることは、災いのもとです。ランサムウェアや認証情報の盗難につながるフィッシングやドライブバイ攻撃を本気で阻止しようとするならば、悪意のある初期アクセスを防止し、攻撃が発生する場所やユーザーが最も長い時間を過ごす場所にセキュリティ防御を集中させる必要があります:それは、Webブラウザーです。
ランサムウェア、クレデンシャル窃取、およびその他のマルウェアを完全に阻止するためには、MITRE ATT&CKフレームワークのすべての段階を確実にカバーする必要がありますが、特に初期アクセスに重点を置くことが重要です。従来型の検知と対応によるセキュリティソリューションも重要ですが、アンチフィッシングや高度なアイソレーション技術など、初期アクセスを防止して攻撃者が組織のネットワークに侵入するのを阻止できる、防御型のソリューションを強化する必要があります。
アイソレーションは、クリックした時点で許可かブロックかを判断するのではなく、すべてのユーザー、アプリケーション、データ、Webおよびメールトラフィックが悪意のあるものであると仮定し、すべてのコンテンツをクラウド上のリモートブラウザーに隔離します。マルウェアはエンドデバイスにアクセスできないため、検知できたかどうかにかかわらず、事実上無力化されます。マルウェアは、シンプルに最初の侵入や意図したペイロードの配信を行うことができなくなります。
組織が脅威を最初のアクセスポイントで阻止することができれば、マルウェアがエンドポイントに到達するのを防ぎ、HEAT攻撃やランサムウェアを完全に阻止することができます。
