クラウドからネットワークに侵入する攻撃者を追跡する方法

2020年12月8日
Vectra AIセキュリティ研究チーム
サイバーセキュリティ
クラウドからネットワークに侵入する攻撃者を追跡する方法

悪意あるアクターが全員、サイバー戦争のジュネーブ条約のようなものにサインアップし、戦争のルールを定め、攻撃は企業内の単一のビジネスユニットに対して行わなければならないと義務づけたら、素晴らしいことではないだろうか。

ついでに、もういくつかルールを追加しよう:

  • 行動を起こす前に警告を発しなければならない。
  • 攻撃者は少なくとも24時間前に攻撃会場を発表しなければならない。
  • 守備側は、特定の重要なインフラを立ち入り禁止とし、攻撃されないようにすることができる。

そうなれば、ブルーチームにとっては生活がずっとシンプルになる!

しかし、そうはならない。つまり、セキュリティチームは、ユーザーがITインフラとどのようにやり取りしているかを、あらゆるメディアを通じて可視化する必要がある。

攻撃のライフサイクルを通じて警戒を怠らない

本番データベースから重要なデータを流出させようとしている悪意のある攻撃者を発見した場合、ただそれをシャットダウンして手を拭き、次の作業に移るというわけにはいかない。攻撃者がどこにどのように侵入したかを確認し、アクセスを遮断する必要がある。クラウド、ネットワーク・インフラとの点と点を結ぶことができなければ、このようなことはできません。

そのため、Vectraのセキュリティエンジニアは、ネットワーク上およびクラウドのアカウントを統一的に表示する画期的なソリューションを開発しました。

ユーザーがOffice 365上でスピアフィッシングに遭い、盗まれた認証情報が重要なインフラストラクチャへのアクセスに使用された場合、そのユーザーがいつ、何をしたのか、なぜ心配する必要があるのかについての完全なコンテキストとともに、統合された1つのアカウントにこの情報を表示します。

誰かがOffice 365上で不正なExchange操作を行っている場合、このアカウントがネットワーク上でどのホストを見たかをすぐに表示することができます。

最近のいくつかの攻撃を見直すと、攻撃者がクラウドのネットワークを攻撃の進行におけるわずかな障壁とさえ考えていないことは明らかだ。

正規のツールを悪意のある行為に悪用する。

攻撃者は、脆弱な認証情報をブルートフォースすることで攻撃を開始し、電子メールのルールを活用してエンドポイントに軸足を移しました。エンドポイントに侵入すると、同じユーザーの認証情報を活用して横方向に移動し、攻撃を進展させました。ネットワークとクラウドの検知ポートフォリオがリンクしていない場合、攻撃の規模を完全に見逃す可能性があります。

Office 365 のアタックサーフェスは初期アクセスだけにとどまりません。Office 365にアクセスした攻撃者は、SharePointを悪用して共有フォルダを破壊し、DLLハイジャック技術やマルウェアのアップロードによってエンドポイントに横展開することができます。通常のユーザーファイルの同期に使用されるのと同じ SharePoint 機能を各エンドポイントで実行し、単一の共有に同期することで、標準的なネットワーク収集技術を回避することができます。攻撃者は、数回クリックするだけで、感染したすべてのエンドポイントからデータを毎日アップロードできるPower Automateフローを介して、持続的な流出チャネルを設定できます。このような機会は膨大であり、増え続けている。

クラウド、あるアカウントの認証情報がブルートフォースされ、その後に新しいメールルールが作成されたという問題を目にするかもしれない。これは悪いことですが、ひどいことではありません。これは、ハッカーがどのように侵入したのか見当がつかないため、より心配です。Cognitoでは、これらのビューに参加することで、アナリストは早期に完全に可視化され、データが移動したり被害が発生したりする前に攻撃を阻止することができます。

攻撃者がどのようにOffice 365を活用しているかを知るには、最新のスポットライト・レポートをお読みください。また、Vectra の Cognito Platform を使用することで、ネットワークと Office 365 デプロイメントにおける攻撃者を検知し、対応するための可視性をどのように統合できるかをご覧ください。

よくあるご質問(FAQ)