アクティブアドバーサリー (活動中の攻撃者や脅威) は、あらゆる企業にとって大きな脅威となっています。熟練のサイバー犯罪者は、高度な防御機能に対抗できるようなテクニックの開発、発展に常に励み、大規模な攻撃を展開したり、予防型セキュリティソリューションでは捉えられないような高度なテクニックを繰り出したりします。
このたび、このようなアクティブアドバーサリー攻撃を阻止する新機能が Sophos Firewall、Sophos XDR、Sophos NDR ソリューションに追加されました。
アクティブアドバーサリー攻撃の仕組み
サイバー犯罪者は、高度なソフトウェアやネットワーキングスキルを駆使して、社内システムへの侵入や検出回避を試みます。アクティブアドバーサリー攻撃は、このような高スキルのサイバー犯罪者がテクニックを常時適応させるのが特徴で、ハンズオンキーボードや AI を使って、予防型のセキュリティコントロールを回避しながら攻撃を行います。
アクティブアドバーサリー攻撃でよく使われる手法には以下のものがあります。これらの検出や対処には、適応型のセキュリティコントロールが必要となります。
多段階型の攻撃
攻撃が最初に仕掛けられた場所から、最終的なターゲットへと移動します。
攻撃対象の環境内でドメイン間を移動しながら攻撃を行うのが特徴です。特定の脅威に的を絞ったポイント型の製品では、このような攻撃の全貌をつかむことはできません。エコシステム全体を可視化する必要があります。
環境寄生型の攻撃
正規ツールを悪用する攻撃です。
予防型のセキュリティツールでは、正規の IT ツールの使用をブロックできません。こうしたツールをブロックすると、業務が大きく妨げられる恐れがあるからです。環境寄生型の攻撃は、その点につけこみ、RDP や PowerShell などの正規の IT ツールを利用して、環境内に紛れ込みます。
未知の脆弱性
ソフトウェアの弱点、欠陥、エラーを利用するタイプの攻撃です。
ゼロデイ脆弱性や、パッチが未提供の脆弱性が狙われます。ランサムウェア攻撃のうち 65% は、このような未知の脆弱性を狙ったエクスプロイトか、正規の認証情報によるログインがきっかけとなっています。
認証情報の盗用
力づくで侵入するのではなく、不正入手した認証情報でログインして、攻撃を開始します。
不正入手したユーザーの認証情報を使ってログインし、攻撃を仕掛けます。正規ユーザーを偽っているため、不審または悪質な行動を始めない限り、予防型のセキュリティツールでブロック、検出することはできません。
最新の Active Adversary Report for Security Practitioners (セキュリティ担当者のためのアクティブアドバーサリー攻撃レポート) で、昨年見られた主な攻撃の変化を紹介しています。
- 攻撃スピードが速まっている。ランサムウェアの滞在時間が、2022年は 9日間だったのが、2023年前半には 5日間になった。
- 正規 IT ツールの利用が増えている。LOLBins (環境寄生型バイナリ) およびアクティブアドバーサリー攻撃のテクニックは、スピードの速い攻撃 (滞在時間が 5日未満) と遅い攻撃 (滞在時間が 5日以上) であまり変わらない。
- アクティブアドバーサリー攻撃のイノベーションは、必然性に応じて、必要な範囲内で行われることが予想される。
このレポートでは、企業がアクティブアドバーサリー攻撃の振る舞いを把握すること、ならびに、セキュリティエコシステム全体を可視化して攻撃の検出および対応をスピードアップすることの重要性を訴えています。
新機能
Sophos XDR、Sophos Firewall、Sophos NDR に、アクティブアドバーサリー攻撃に対抗するための強力な新機能が追加されました。
Sophos Firewall – Active Threat Response
リリース済み
Sophos Firewall V20 に Active Threat Response 機能が追加され、アクティブアドバーサリー攻撃に即時かつ自動的に対応できるようになりました。Sophos XDR および MDR のアナリストが、脅威インテリジェンスを Sophos Central からファイアウォールに直接プッシュすると、ファイアウォールにただちに保護機能が適用されます。ファイアウォール上で手動操作やファイアウォールルールの追加を行う必要はありません。
Sophos NDR – XDR で利用可能に
2023年 11 月 20日に一般リリース
Sophos NDR (Network Detection and Response) は、社内ネットワーク経由でデバイス間を移動するアクティブアドバーサリー攻撃を検出します。Sophos NDR はこれまで、Sophos MDR へのアドオンとしてのみ提供されていましたが、このたび Sophos XDR にも対応し、自社で検出や対応を管理している組織でも利用できるようになりました。
Sophos XDR – サードパーティツールのサポートが拡充、UX の最適化
2023年 11月 20日に一般リリース
Sophos XDR に統合できるサードパーティツールや製品が大幅に増えました。エンドポイント、ファイアウォール、クラウド、アイデンティティ、ネットワーク、メール、生産性の分野に対応しています。Sophos XDR 側でセキュリティデータを統合し、単一コンソールで作業できるようになるため、ワークフローが効率化され、調査の負担が減ります。
ポイント型製品 VS 連係動作する製品とサービス
攻撃手法の進化に伴い、新しい手法に対抗するポイント型の新製品が登場しますが、このような単独のツールは、通常、他の製品と連係して動作しません。ソフォスは、統合プラットフォームから幅広いサイバーセキュリティ製品やサービスを提供しています。また、これらの製品やサービスは、シームレスに連係動作するように設計されています。さらに、サードパーティのテクノロジーとの連係にも対応しています。ソフォスのこのエコシステム内では、製品間で処理やデータが自動的に連係されます。そのため、攻撃対象となる主な箇所をすべてカバーして、アクティブアドバーサリー攻撃の検出、調査、対応をすばやく行うことが可能となります。
アクティブアドバーサリー攻撃に対抗して防御レベルをアップする
ソフォスソリューションがアクティブアドバーサリー攻撃を効果的に阻止する仕組みについて詳しくは、ソフォス パートナーポータルで Sophos XDR、Sophos NDR、Sophos Firewall の資料をご覧ください。