Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
アタックサーフェス

ブラックハットの収穫:誰もが予防を口にするが、誰が侵害を検知するのか?

2025年8月15日
Lucie Cardiet
サイバー脅威リサーチマネージャー
ブラックハットの収穫:誰もが予防を口にするが、誰が侵害を検知するのか?

Black Hatの会場を歩けば、ひとつだけ明らかなことがある。それは、誰もが AIによって 何かをセキュアにし、保護し、守っているということだ。

そして、表面的には誰もが同じように見える。

現実の問題を解決しようとするバイヤーにとって、誰を信頼し、誰と時間を過ごすべきかを見極めるのは難しいことだった。

日々、攻撃者の行動を研究し、検知ロジックを構築している者として、異なる視点を提供したい。それは、誰が最高のキャッチフレーズや最も派手なデモを持っているかということではない。現代の攻撃が実際にどのように機能するかに基づいた、より鋭い質問をすることなのだ。

依然として予防が主流。しかし、予防だけではうまくいかない。

ベンダーのメッセージのほとんどは、依然として攻撃者の侵入を防ぐことに重点を置いており、それは必要なことだ。しかし、今日の脅威行為者は、もはやエクスプロイトに頼って侵入しているわけではない。

ブラックハットのセッションで 攻撃の隙間に注意で、私はScattered Spider、Volt Typhoon、Mango Sandstormのような脅威グループがどのようにアクセスを獲得し、静かに支配を拡大していくかの例を共有しました。これらの攻撃者はmalware ゼロデイを必要としません。彼らは正当な活動に紛れ込むために、有効な認証情報、盗まれたセッショントークン、またはフェデレーションの悪用に頼っています。

最初の侵害は、どんなセキュリティ・ツールも止めることができないことから始まることが多い:ログインの成功。

そこから、ネイティブ・ツールを使って環境を探索し、信頼されたIDパスを通じて特権を昇格させ、OAuthアプリを使って永続化し、水面下でデータを流出させる。エクスプロイトなし。バイナリもない。 ただ、それらしく振る舞うだけだ

従来のコントロールは、アクティビティが技術的にルールに従っているため、アラートを上げない。認証情報はチェックアウトされている。アクセス・パスは許可されている。ログは、もし削除されていなければ、不完全なものである。ほとんどの防御は、有効で不正に使用されたものでなく、異物や明らかに悪意のあるものを検知 ように設計されている。

私たちが実際に調査したすべてのケースで、防止策は講じられていた。しかし、それらは誤ったシグナルを監視していた。

今日の攻撃は目立たないからだ。溶け込むのだ。

ベンダーの評価には「妥協の前提」が必要。

あなたは以前、"assive compromise "を耳にしたことがあるだろう(このトピックに関する以前のブログも読んだかもしれない)。これは単なる考え方の転換ではなく、ショーで誰もが攻撃を止めると主張するときにベンダーを選別する方法で あるべきだ。

市場に出回っているサイバーセキュリティ製品をすべて理解する必要はない。攻撃者がどのように行動するかを理解し、その行動に対してベンダーがどのように検知 し、対応するかを尋ねる必要がある:

  • 初回アクセス後の 検知 ?
  • クレデンシャルが有効である場合、どのようにして横の動きを確認するのか?
  • SaaSアプリでユーザーのセッショントークンがハイジャックされたらどうなるか?
  • 製品は、クラウド、アイデンティティ、ネットワークの各レイヤー、あるいは1つのレイヤーにまたがって行動を検知 できるか?
  • ログが消えた場合、どのような検知・対応能力を提供するのか?

もしその答えがアラートノイズを増やすようなものであったり、解決策がすべて予防とログに依存するものであれば、答えは出ています。妥協がすでに起こっている場合、あなたは誰かに相談することはできない。

妥協後に必要なもの(そしてそれを見抜く方法)

侵害が発生したとき、そして発生する可能性があるとき、重要な差別化要因は可視性である。未加工のテレメトリの可視性ではなく、攻撃者の行動の可視性です。以下のようなソリューションを探しましょう:

  • エージェントやログに依存しない検知活動
  • 偵察、クレデンシャルの乱用、執着などの 行動を特定する
  • アイデンティティ、ネットワーク、クラウド全体で起きて いることを関連付ける
  • ノイズを増やすのではなく、ノイズを減らすトリアージを提供する
  • 孤立したイベントだけでなく、完全な攻撃経路を表示する

これらはごまかしのきかない能力だ。デモを見ればわかる。インシデント発生時に何が起きているのか、製品がどのように説明するのかを見れば、それを実感できるだろう。そして、遠隔測定を示すシステムと、意図を示すプラットフォームとの間のギャップを目の当たりにするでしょう。

もし」ではない。その後に何が起こるかだ。

ほとんどのベンダーはいまだに、侵入を防げるという希望を売り込んでいる。しかし、攻撃者はもはや侵入を試みているのではない。ログインしているのだ。信頼を悪用しているのだ彼らはすでに中にいるのだ。

今大事なのは、彼らをゲートで止めたかどうかではなく、彼らが中に入ってから何をするかを見ることだ。

それが、すべてのバイヤーが問うべき質問である。

現代の侵害がどのように展開されるのか、実際の行動ベースの検出がどのように防止ツールの見落としを暴くのか、ご興味のある方は、数分で探索できるセルフガイド式のエクスペリエンスを構築しました。フォームなし。電話もありません。ただ、効果的な侵害検知が実際にどのようなものであるかを明確に知ることができます。

よくあるご質問(FAQ)