侵害評価とは何ですか?
侵害された場合、あなたは知っていますか?サイバー攻撃者は、多くの場合、ネットワーク内で数か月または数年にわたって検出されずに活動します。彼らは頻繁に「正当な」経路を通って侵入し、警報を鳴らさず、強制侵入の痕跡を残しません。狙撃兵のように、攻撃者は待ち伏せし、機密情報を収集または盗み出し、攻撃するのに最適なタイミングを探しながら、ビジネスのプロファイルを構築します。攻撃の滞留時間を短縮することは、攻撃が引き起こす可能性のある損害を制限するための最も重要な要素です。
侵害評価は、侵害が発生した場合にインシデント対応会社が行うことと同様の方法で、現在環境内にいる、または最近活動していた攻撃者を見つけようとします。これは、インサイドアウトの調査とセキュリティです。組織の内部環境、アプリケーション、インフラストラクチャ、およびエンドポイントの監査。
侵害評価では、システムを内部から調べて、ネットワークの侵害を試みた、または侵害に成功したマルウェアを検索して、どの脆弱性が悪用されているかについての洞察を提供します。結果は、疑わしいユーザーの行動、広範なログ レビュー、侵害の痕跡 (IOC)、および現在の環境に存在する攻撃者を特定するための (過去または現在の) 悪意のある活動のその他の証拠に基づいています。
多くの国では、定期的な侵害評価も規制要件になっています。
しかし、妥協の評価はどのように機能するのでしょうか? Blackpanda のレベル 3 脅威ハンティングのスペシャリストが、侵害評価を実施する際にクライアント システムで実行する主要な手順の概要を以下に示します。
ステップ 1: オンボーディングとネットワークの正規化
Security Information and Event Management (SIEM)、Endpoint Detection and Response (EDR)、およびその他の自動化されたセキュリティ ソリューションは、既知のマルウェアや一般的な悪意のある動作を探しますが、新しいマルウェアの亜種や一見正当な攻撃者によって実行される攻撃は、多くの場合検出されません。 Blackpanda では、スペシャリストがクライアントのシステムを徹底的に調査して、IOC)、ハッカーの戦術、技術、手順 (TTP)、および既存のセキュリティ システムを回避する Advanced Persistent Threat (APT) などの脅威を特定します。
組織のセキュリティ体制を評価した後、SentinelOne の次世代 Singularity プラットフォームをデプロイして、セキュリティ ログとデータを 2 週間収集します。これにより、動作のベースラインが作成され、エンドポイントのネットワーク トラフィックとセキュリティ イベントの詳細が表示され、高度な脅威ハンティング クエリ用の環境が準備されます。
ステップ 2: 積極的な脅威ハンティング
当社のレベル 3 脅威ハンティング スペシャリストは、最新の脅威インテリジェンスを反映するために毎週更新される 120 以上の高度な脅威ハンティング クエリの独自のリストを使用して、広範なログ調査を実施します。
これらの高度にカスタマイズされたクエリは、疑わしい悪意のあるアクティビティを発見するように設計されています。これには、非常に洗練された、以前は知られていない (ゼロデイで知られている) マルウェアの系統を特定することを目的とした行動検索が含まれます。
Blackpanda で使用されるサンプル クエリは次のとおりです。
- T1081: 資格情報への不審なアクセス
- T1083: ディレクトリの列挙が検出されました
- T1497: マウスにフックが配置されました
- T1503: 機密データが復号化されました
当社の特注の脅威ハンティングは、分析の実施時に、システム内で進行中、潜在的、および過去のすべての侵害の明確な全体像を保証します。
「当社のレベル 3 脅威ハンティング スペシャリストは、最新の脅威インテリジェンスを反映するために毎週更新される 120 以上の高度な脅威ハンティング クエリの独自のリストを使用して、広範なログ調査を実施します。」
ステップ 3: 脅威の報告と封じ込め
脅威ハンターがすべてのコンピューター ログを注意深く調べた後、システムの状態に基づいて調査結果の詳細とアクションへの道筋を示すレポートが作成されます。
典型的な調査結果には、侵害される前のアカウント パスワードのブルート フォース試行など、初期段階の攻撃が含まれます。また、既知のマルウェアと既知の不正な動作 (ネットワーク ビーコン、IOC、PowerShell スクリプト) の存在を特定することで、進行中または過去の攻撃を検出します。当社のインシデント対応 (IR) スペシャリストは、実際のインシデントの封じ込めと、組織のセキュリティ ベースラインの復元に進むことができます。
評価の最終的な目標は、重大な脆弱性、攻撃者の活動、または悪意のあるロジックを迅速に特定することです。評価が完了すると、Blackpanda は適切な対応に関する推奨事項を作成し、組織が攻撃の根本原因と原因に関する正式な法医学的調査を実施できるように、収集した証拠を保存することを提案します。
ステップ 4: 継続的なサポート
AI主導の自動脅威ハンティングとは異なり、当社の侵害評価サービスは人間主導です。専門家は個人的にログを調べて、ネットワークの全体像を作成します。このようにして、脅威ハンティングの演習を超えて組織のサイバー防御をサポートし、組織のセキュリティに損害を与える活動にフラグを立てることができます。その過程で、組織のセキュリティ体制とその特定のニーズを深く理解し、業界、地域の状況、およびサイバー攻撃の最新の傾向によって設定されたカスタム要件に合わせて継続的なサービスを調整します.
どのくらいの頻度で侵害評価を実施する必要がありますか?
グローバルな金融機関には、Blackpanda のように内部チームがあり、侵害の評価を毎日行っています。これは、アクティブな侵害に気付かないことに対するリスク許容度が本質的にゼロであるためです。より高いリスク許容度を想定できる小規模な企業の場合、侵害評価は毎週、毎月、または四半期ごとに実施できます。頻度に関する決定は、最終的には各企業の財務費用便益分析になります。
Blackpanda は、平均滞留時間が 90 日、つまり被害者がアクティブな侵入を検出するのにかかる時間のために、アジアでは最低でも四半期ごとの侵害評価を推奨しています。四半期ごとに侵害評価を実施することで、被害者は、通常の滞留時間のシナリオで誤って侵害に遭遇するのではなく、アクティブな侵害を未然に防ぐことができます。妥協評価は、そうでなければ与えられるべき損害の減少をもたらします。
サードパーティの侵害評価は、客観的かつ公平であり、運用中に内部関係者の脅威の可能性を制限するため、ゴールド スタンダードです。
Blackpanda の専門家は、リアルタイムの監視で日常的に予想されるよりも深く掘り下げることができます。さらに、評価は、通常はインシデント対応のために予約されているデジタル フォレンジック分析や行動分析などのツールと手法をもたらします。調査者は、侵害後の活動を検出するのにより適しています。侵害評価は、組織が防御を通過した脅威を確実にするために使用できる非常に効果的な多層防御手段です。
--
独立した侵害評価により、検出されなかった可能性のある侵害が明らかになり、追加のセキュリティ投資を正当化するために必要な証拠が提供されます。
多くの組織は、サイバー セキュリティに十分な投資レベルを持っていないか、必要なすべてのサイバー コントロールを実装するための時間やリソースを持っていません。したがって、組織が現在の手段で検出できるよりも高度な攻撃によって環境が侵害されないようにするために、定期的な侵害評価をリスク軽減戦略に組み込む必要があります。
侵害評価は、隠れた攻撃者が行動する前に妨害して根絶することで攻撃の滞留時間を短縮するだけでなく、正当なアクセス資格情報を盗んだり悪用したりする攻撃者を根絶し、投資家、規制当局、およびその他の利害関係者にセキュリティを保証することでデューデリジェンスを示します。