インシデント対応ライフサイクル
インシデント対応は、当社のインテリジェント プラットフォームのいずれかまたはエンドポイント検出および対応ツールからの呼び出し、アラート、または自動化されたインジケーターから始まります。
このようなアラートを受け取ったら、攻撃の有効性と範囲を判断します。基本的に、インシデント レスポンダーは何が起こったのかを調査し、攻撃に対処するために展開する必要があるリソースを評価します。
この後、トリアージ プロセスが開始されます。当社のデジタル フォレンジック スペシャリストは、侵害の兆候を見つけることを目標に、証拠を収集します。その間、インシデント対応担当者は行動計画を策定し、クライアントと協力して感染の拡大を阻止します。
次の封じ込めフェーズでは、インシデント レスポンダーが積極的にマルウェアをブロックし、システムに損害を与えるのを阻止します。
これらはすべて、攻撃の最初の通知から最初の 48 時間以内に発生します。 Blackpanda DFIR のスペシャリストは、24 時間体制で作業することで、攻撃者が誰であるかを迅速に突き止め、どのような資産やデータが危険にさらされる可能性があるかを把握できます。
な
流出したデータは?
マルウェアが根絶された後、通常、クライアントから同じ質問が寄せられます。「どのデータが漏洩したのですか?」
漏洩したデータには電子メール、パスワード、または独自のファイルなどの機密情報が含まれている可能性があるため、これは評価することが非常に重要です。ハッカーはこの情報をダークネット フォーラムに投稿することが多く、2 回目の攻撃に対する企業の脆弱性を事実上高めています。
この時点で、DarkOwl のダークネット スキャン ツールにアクセスできることは非常に役立ちます。このようにして、ダークネットを積極的かつ継続的に監視し、クライアントに提供するサービスの一環として、30,000 以上の Web サイトからダークネット データを検索することができます。
ダークネットではどのような情報を入手できますか?
ダークネットで発見された種類のデータの中には、攻撃者がランサムウェアを広めるために使用できる非常に大量の個人を特定できる情報と侵害されたアカウントの資格情報があります。さらに、ダークネット フォーラムでは脅威アクター間のチャットがホストされており、特定された場合、攻撃者が次に標的にする可能性が高い組織を予測するのに役立ちます。
また、多くのベンダーとサプライのリスク指標も見つけることができます。ごく最近では、ウクライナとロシアの戦争に関連して、ベンダー、サプライ チェーン ベンダー、およびウクライナ、ベラルーシ、ロシアに存在するサプライ チェーンの間でリスクの重要な指標を発見しています。
このようなダークネット データへのアクセスにより、Blackpanda は「点をつなぐ」ことに取り組み、関連するインテリジェンスを提供して、組織が直面するリスクを情報に基づいて予測することができます。
APAC の組織をサイバー攻撃から保護するために協力する
Blackpanda はアジア有数の「サイバー消防」会社であり、地域の組織に専門的なデジタル フォレンジックとインシデント対応を提供しています。
DarkOwl の Vision プラットフォームを活用することで、Blackpanda はクライアントにダークネット インテリジェンスを提供し、全体的なサイバー セキュリティ体制を知らせながら、短期的および長期的なリスクを軽減するための適切なアクションを実行するようにクライアントを導くことができます。
Blackpanda が DarkOwl のダークネット インテリジェンス プラットフォームを活用してサイバー インシデントに対応する方法については、こちらをご覧ください。