フィッシング攻撃やマルウェア攻撃が未だに増加しているのはなぜでしょうか?これは、脅威アクターが、一般的な企業セキュリティスタックを回避するための非常に回避的で適応性の高い手法を見出しているからです。
高回避型・適応型脅威(HEAT)はサイバーセキュリティ脅威の一種で、検出を回避して従来のセキュリティ対策を回避するために、動的挙動、ファイルレス攻撃、遅延実行などの高度な手法がよく使用されます。これらの脅威は目に見えないように設計されており、特にセキュリティ専門家が特定して軽減するのが難しい場合があります。攻撃者がユーザーのシステムや組織のネットワークに初めてアクセスするときの成功率を高めようとしているため、回避型の脅威は以前から存在していました。企業のセキュリティ統制が進化し続ける中でも、脅威アクターはユーザーやそのシステムに侵入しようとする回避手法を加速させています。
毎年サイバーセキュリティへの投資が続いているにもかかわらず、脅威は依然として侵入し、ユーザーは日々影響を受けています。実際、フィッシング防止の業界全体がこのために生まれたのです。フィッシングの脅威を 100% 排除できれば、今日のセキュリティ意識向上トレーニングは存在しなかったでしょう。単純な攻撃手法は、一般的に導入されているセキュリティソリューションに対しても有効であり、現在も有効です。
その結果、業界は変化し、脆弱性を軽減するためにベストプラクティスを採用しています。たとえば、攻撃者は検出を回避して被害者に手を差し伸べる手段としてマクロを使用していたため、マイクロソフトはデフォルトですべてのマクロを無効にしました。企業は、ユーザーが一般的なマルウェアスキームの被害に遭う可能性が低くなることを期待して、マルウェアのリスクやフィッシングの一般的な兆候 (不明な送信者のアドレス、緊急または憂慮すべき言葉、さらにはスペルや文法の誤りなど) についてユーザーを教育するのに役立つ広範なセキュリティ啓発ツールに投資してきました。登場当初から侵入不可能なシステムと考えられてきた二要素認証や多要素認証でさえ、ユーザーアカウントへの不正アクセスや機密情報の盗難による変化を減らすためのセキュリティレイヤーを追加するために広く採用されています。
すべての企業ユーザーは、Web、エンタープライズクラウド、SaaS アプリケーション、さらには電子メールにアクセスするために使用するブラウザを少なくとも 1 つ持っています。そのため、このブラウザはフィッシングやマルウェア攻撃の標的として最も人気の高いものの1つになっています。残念なことに、SWG、EDR、ファイアウォールなどの既存のセキュリティコントロールでは、これらの攻撃を阻止するには至りませんでした。脅威アクターは、回避性の高い適応性の高い手法を取り入れるように戦術を進化させたためです。こうした一般的なセキュリティ・ソリューションがどのように機能するか、また回避する方法については、非常に低いレベルでは理解していません。そのため、企業がセキュリティスタックへの投資を増やしているにもかかわらず、ユーザーはこれまで以上に危険にさらされています。
現在、攻撃者はウェブブラウザを攻撃ベクトルとして標的とする回避能力が高く適応性の高い脅威を、一般的に導入されているセキュリティを回避するために設計されたさまざまな手法を用いています。そのため、これらの回避能力が高く適応性の高い脅威は、マルウェアの伝達、ユーザーシステムの侵害、機密データの盗用などに利用されています。
回避率の高い攻撃の例としては、次のようなものがあります。
ヒートチェックセキュリティアセスメント
検知回避型脅威、検知回避型攻撃 AT脅威は通常、URLフィルタリング、メールセキュリティツール、ファイルベースの検査、HTTPコンテンツ/ページ検査を回避します。
前述のように、LUREサイトは攻撃者がURLフィルタリングをバイパスするための一般的で簡単な方法です。もう 1 つの一般的な手法は、キャプチャの使用です。キャプチャは、ウェブサイト管理者がサイトを利用しているのが人間であり、悪意を持ったボットではないことを確認するために使用される一般的で便利なツールです。脅威アクターは、キャプチャを使用してLUREサイトの信頼性を高めるだけでなく、サイトを分類しようとするURLクローラーをかわすこともできます。攻撃者は、被害者がキャプチャの存在を見て、そのサイトが正当なものであると想定することを計画しています(「不正なサイトがなぜキャプチャに煩わされるのか」という考えです)。また、キャプチャを使用して、URL クローラーが LURE サイトの怪しげなコンテンツを見られないようにすることもできます。
これまで、フィッシングは 100% メールの問題でした。そのため、脅威アクターはユーザーを攻撃する新しい方法を模索しています。現在、脅威アクターは回避手法を使用してフィッシング攻撃を仕掛けています。ユーザーは、ソーシャルメディア、プロフェッショナルWebネットワーク、コラボレーションアプリケーション、SMS、共有ドキュメント、その他の媒体など、電子メール以外の通信チャネルを介して悪意のあるリンクで標的にされる(またはスピアされる)。これらの悪質なリンクは、マルウェアを企業のエンドポイントに届けるため、ひいては企業のセキュリティを回避するために、個人の認証情報ではなく企業の認証情報を盗むために使用されるケースが増えています。
で 最近のサイバー脅威キャンペーン、攻撃者はLinkedInのビジネスプロフェッショナルに対してスピアフィッシング戦術を使用しました。攻撃者はプラットフォームのダイレクトメッセージ機能を通じて、悪意のあるリンクを使って偽の求人情報を提示し、最終的にユーザーにバックドア型のトロイの木馬を感染させ、攻撃者が被害者のコンピューターを完全にリモート制御できるようにしました。このスピアフィッシング攻撃はメールパスに現れることはなく、そこで行われるはずの分析をすり抜けてしまいました。
従来のSecure Web Gateway(SWG)アンチウイルスまたはサンドボックスソリューションは通常、既知のマルウェアのシグネチャをスキャンし、疑わしい動作がないかファイルの実行とリモートファイルリクエストを監視することにより、悪意のあるコンテンツを特定するために使用されます。Secure Web Gateway (SWG) anti-virus or sandbox solutions are typically used to identify malicious content by scanning for known malware signatures and by monitoring file execution and remote file requests for suspicious behavior.
サンドボックスを回避するのは、サンドボックスのファイル制限よりも大きいサイズのファイル、またはスキャンできないパスワードで保護されたアーカイブファイルを送信するのと同じくらい簡単です。攻撃者の側では少し試行錯誤が必要かもしれませんが、比較的簡単に実行できます。脅威アクターは通常、(前述のように) HTML スマグリングも利用することでサンドボックスを回避します。これは検査ツールをすり抜けるのに非常に効果的な方法です。
スクリプトを難読化して、スクリプトのソースコードを表示できないようにしている合法的なWebサイトはたくさんあります。
また、攻撃者はコードの難読化を利用してブラウザのエクスプロイトやフィッシングキットのコードを配信し、検出を回避します。その後、エンドポイントでアクティブなコンテンツを実行しているときに、悪意のあるコード(通常はJavascript)がブラウザに表示されます。また、攻撃者は Web サイトの操作を利用して、偽装ロゴをモーフィングされた画像の背後に隠し、検査エンジンで視覚的に検出されないようにします。
大多数ではないにしても、多くのセキュリティベンダーが人工知能 (AI) ベースの機能を活用してソリューションの有効性を高め、大きな成果を上げています。前提は単純です。AI は開発した機能をさらに拡張し、生産データやテレメトリを調べて新しい脅威を発見します。これこそが、サイバーセキュリティだけでなく他の業界においても AI が真に期待できることです。ただし、AIの性能はトレーニングされたデータによって決まるということに注意することが重要です。ファイアウォール、SWG、CASB、DLP といった共通のセキュリティスタックでは、これらのコンポーネントが生成するデータ、ロギング、テレメトリを使用して AI モデルをトレーニングすることしかできません。ターゲットがブラウザであるフィッシング攻撃やマルウェア/ランサムウェア攻撃の場合、ブラウザ内部からのテレメトリは役立つだけでなく、ブラウザベースの脅威をより適切に検出する方法についてAIモデルをトレーニングする際にも必須です。一般的なセキュリティスタックには、そのテレメトリを受信して利用するためのブラウザへのフックがないため、AI ソリューションがもたらすメリットと改善はごくわずかです。HEATポートフォリオを支えるAIモデルは、Menlo SecurityのIsolation Coreから派生したディープ・ブラウザ・テレメトリを使ってトレーニングを行っています。これが、HEAT ShieldとHEAT Visibilityが、ゼロアワーフィッシングやマルウェア攻撃の防止とブロックにおいて非常に強力で効果的な理由です。SWG, CASB, DLP – can only train the AI model with the data, logging, and telemetry those components generate. In the case of phishing and malware/ransomware attacks where the target is the browser, telemetry from inside the browser is not only useful, it is mandatory when training AI models on how to better detect browser based threats. The common security stack lacks the hooks into the browser to receive and utilize that telemetry, and therefore the AI solutions offer only negligible to incremental benefit and improvement. The AI models that power the HEAT portfolio are training on the deep browser telemetry derived from Menlo Security’s Isolation Core. This is what makes HEAT Shield and HEAT Visibility so powerful and effective in preventing and blocking zero-hour phishing and malware attacks.
組織は、ジェネレーティブAIプラットフォームやChatGPTのようなチャットボットがサイバーセキュリティに与える影響を認識し始めています。多くの人々は、当然のことながら、これらのツールによって、インターネットに接続していて悪意のある動機を持つ人なら誰でもこれらのツールを使用できるようになるのではないかと心配しています。 回避可能な脅威を驚くべきスケールするで開発する。ボタンを1回クリックするだけで、個別に標的型(の); 標的(になった); 標的(にされた)を絞った何千ものマルウェア、フィッシングメール、その他の脅威を数分以内に作成してリリースできることを想像してみてください。さらに恐ろしいのは、攻撃者がAIを使用して特定のペイロード内のコード行を変更することさえできるという事実です。その結果、ゼロデイフィッシングやマルウェアの新しい脅威が次々と発生し、企業セキュリティがこれらの攻撃をブロックすることが非常に困難になっています。zero day phishing and malware threats, making it extremely difficult for enterprise security to block these attacks.
回避性が高く適応性の高い脅威攻撃には、次の 3 つの段階があります。
ステージ2と3は、ステージ1(初回のアクセス、初期アクセス権)に完全に依存しています。
Menlo Securityは、フィッシング攻撃やマルウェアを効果的にブロックし、初回のアクセス、初期アクセスが可能になる前に回避性が高く適応性の高い脅威を阻止することに重点を置いています。アクセスできなければ、マルウェアがネットワーク全体に拡散したり、管理を得たり、データを盗み出したり、システムに身代金を要求したりすることはできません。blocking phishing attacks and malware. Without access, malware can’t spread through the network, gain control, exfiltrate data, or hold systems ransom.