急速に進行する重要な脆弱性やゼロデイによって、シグネチャに依存して脅威を照合するレガシー・サイバーセキュリティ製品の弱点が露呈している。シグネチャは、既知の脅威や歴史的な脅威に対する継続的な保護を提供するために有用ですが、セキュリティリサーチャーによって脆弱性が発見され、新しいシグネチャが作成されるまでは、新たな脅威に対して多くのことを行うことはできません。悪用可能な脆弱性は、セキュリティ・リサーチによって発見されるまでに何年も存在する可能性があり、その結果、あなたは無防備な状態にさらされることになる。ZeroLogonのような脆弱性の場合、エクスプロイトの威力とスピードを考えると、防御が遅れればビジネスが終わる可能性もある。
しかしVectraは、サイバーセキュリティに対して根本的に異なるアプローチをとっている。Vectraの洗練された攻撃者行動AI/MLモデルは、攻撃に使用される特定のツールやシグネチャに関係なく、攻撃行動を検知 。そのため、Vectra AI の顧客は、脆弱性が発表される前であっても、この新たな脆弱性を活用する可能性のある攻撃キャンペーンに対する実質的な検知能力を有している。
これらのレガシー・サイバーセキュリティ製品にとっては、シグネチャを作成し、このエクスプロイトから顧客をある程度保護するために奔走する忙しい時期となった。これらの新しいシグネチャはもちろん助けになるだろうが、手遅れになる人もいるだろうし、これらの保護を回避するためにエクスプロイトが少し変化するのも時間の問題だ。ここ数日、多くの競合他社 (例えばExtraHop、CoreLight、Awake) が脆弱性の公開後、新しいZeroLogonシグネチャのリリースに奔走しているのを目にしました。それ以前はどうだったのでしょうか?カバーされていたのでしょうか?脆弱性が悪用されるのは、セキュリティ・リサーチによって公開されたときだけだと信じていいのでしょうか?
Vectra ゼロログオン検出のためのAI/MLモデル
このエクスプロイトを成功裏に使用するには、攻撃者がローカルネットワーク上にいる必要がある。外部攻撃者の場合、Detectは、外部リモートアクセス、Hidden HTTP/HTTPS/DNSトンネル、またはSuspicious Relayの形で、侵害されたホストからの コマンド&コントロール(C&C) を確認するでしょう。外部攻撃者であれ内部攻撃者であれ)脆弱性を悪用した後は、RPC Targeted ReconでカバーされているDCSyncを見ることになるでしょう。攻撃者が管理者アクセス権を獲得すると、私たちの洗練された特権アクセス分析(PAA)検知は、この新しいアクセス権の使用法をカバーします。Suspicious Admin、Suspicious Remote Execution、Suspicious Remote Desktopの ような他のモデルも、横方向の動きに関するカバレッジを提供します。RDP ReconおよびRPC Reconは、外部攻撃者がネットワーク周辺を探索する際に発生する可能性があります。
Cognito検知 は、反応的で容易に回避されるシグネチャではなく、変化しないもの、すなわち攻撃者の振る舞いに焦点を当てることで、出現しつつあるゼロデイや動きの速い脅威からお客様のビジネスを保護します。
Vectra AIプラットフォームによるZeroLogon検出の強化
検知攻撃行動を発見することに重点を置くことは、攻撃者を発見するための真に耐久性のあるメカニズムです。Vectra AIプラットフォームは、より深い調査と脅威ハンティングを可能にする当社の高度な検出機能を補完します。ZeroLogon脆弱性については、新しいRecall ダッシュボード(NetLogon Exploit Dashboard)を公開し、ネットワーク内でこの脆弱性を活用しようとする試みをより可視化できるようにしました。
ZeroLogon脆弱性を理解する
最大深刻度のCVE (ZeroLogon - CVE-2020-1472 - CVSS 10) が最近報告されました。この脆弱性を利用すると、攻撃者はネットワークへのトラフィックを発信する能力以上の特権を必要とすることなく、ネットワークへのマスターキーであるドメイン管理者認証情報を驚くほど迅速かつ容易に取得することができます。この脆弱性は、Windows Server OSがNetLogon RPCプロトコルを処理する方法の欠陥によって引き起こされ、攻撃者はパスワードリセットイベントで身元を偽造し、ドメインコントローラーのマシンアカウントを含むあらゆるパスワードをリセットすることができます。
Microsoftはその後、Windows Serverの脆弱なバージョンにパッチを適用している。この脆弱性についての詳しい情報はこちら、Microsoft社からの影響するバージョンとパッチ情報についてはこちらをご覧ください。
サイバー攻撃の検知とレスポンスへのアプローチを変更する準備ができ、Recallが攻撃者のツールやエクスプロイトをどのように見つけることができるかを詳しくお知りになりたい場合は、Vectra 、今すぐデモをご予約ください。