個人情報の盗難、WhatsApp、悪意を持って作成された Microsoft Word ドキュメントの共通点は何でしょうか? その答えを探すために、時を少し戻しましょう。
新型コロナウィルスのパンデミックが始まって丸1年が経とうとしています。ヘルスケア業界が組織的なサイバー犯罪の格好の標的となる中、製薬会社は、データの安全確保に対して大きなプレッシャーを受けています。同時にリモートワークへの移行と、コラボレーションの必要性によって、あらゆる業界においてクラウドサービスの急速な導入に拍車をかけています。遠隔医療や新たなリモートワークの要件が増加している医療機関も例外ではありません。
ヘルスケアに注目が集まる中、サイバー攻撃者が隠れて組織に侵入する方法がより独創的になっています。
その手口とは、採用担当者を装った攻撃者が、採用業務に豊富な経歴を持つ実在の人物になりすまし、不正なLinkedInプロフィールを活用するというものです。この脅威者は、数日間にわたってWhatsAppを介してターゲットと親密な関係を築きながら、有利な仕事のオファーという誘い文句で人々に接触します。最後に、ターゲットは感染したWord文書を受け取り、それを開くと攻撃者は組織のシステムにアクセスできるようになるのです。このソーシャルエンジニアリングの手法によって、ハッカーは、多国籍製薬会社であるサノフィの従業員に対して実際に行ったように、会社の従業員を標的にし、危険に晒すのです。
私は、サノフィのサイバーセキュリティ担当グループ責任者であるJean-Yves Poichotte氏と、サイバーセキュリティオペレーションセンター責任者であるRichard Webster氏と集まり、この攻撃がどのように展開したのか、そしてなぜデータ漏洩を防ぐためにVectraとの提携が重要なのかについて話し合う機会に恵まれました。
「私たちには多くのベンダーがいます。Vectra のチームは、パートナーシップのマインドセットをもたらしてくれます」
Vectraで価値を高める
アカウントが侵害され、攻撃者が完全に正当なツールやプロセスを通じて組織に侵入すると何が起こるでしょうか? 攻撃者の悪意のある動作は「通常の」ノイズの中に隠れており、エンドポイント スキャンでは目立たなくなります。 このような場合、エンドポイントの検出と対応 (EDR) ソリューションはすでに感染しており、脅威に対抗できなくなります。 これはまさにサノフィが Vectra で解決した問題です。
私たちはサノフィのセキュリティの取り組みにおける特定のギャップを埋め、企業と AWS インフラストラクチャを含むクラウド展開の間の完全な可視性とカバー範囲を提供しました。 レッドチームのテスト中、サノフィは、EDR などの既存のツールをバイパスし、セキュリティ情報およびイベント管理 (SIEM) システムでは検出できない攻撃を検出するソリューションを必要としていました。
Vectra AIの Network Detection and Response (NDR) プラットフォーム は、AI 由来の機械学習アルゴリズムを適用して、進行中のサイバー攻撃の動作を自動的に検出し、優先順位を付け、対応します。 Vectra AIは、ネットワークとクラウド全体、さらにすべてのアプリケーション、オペレーティング システム、デバイス (BYOD) やモノのインターネット (IoT) を含む、高精度の可視性を提供します。
Vectra AIのすべてのネットワークとクラウドのトラフィックを継続的に監視する機能に加えて、AWS VPC Traffic Mirror データの追加により、攻撃者が回避することは不可能になります。 最もリスクの高い脅威を高い確実性で優先することで、脅威の監視を自動化するための自信を持ったアプローチが可能になります。 Richard 氏によると、Vectra テクノロジーのおかげで、組織は攻撃を検知して停止できるようになりました。
SOCを増強するNDR
サノフィのセキュリティアーキテクチャは複雑なオペレーションに対応できるように構築されているにもかかわらず、攻撃はすでに導入されているツールを回避してしまいました。Richard氏は、「私はいつもチームに、常に新しい検知網を構築する必要があると話して います。私たちは検知網のレイヤーを次々に追加していますが、今回の攻撃で機能したのは、そのうちの2つだけです。」 その2つとは、Endpoint detection and Response (EDR)とNDRです。
Jean-Yves氏とRichard氏に、EDRとNDRのどちらを選ぶかを尋ねると、Richard氏は、セキュアな環境を維持するためにはどちらも不可欠だと答えました。「どちらか一方ではなく、両方が必要です。可能な限り可視化したいし、EDRとNDRで深いフォレンジックを行いたいからです」敵対者がエンドポイントデバイスを侵害し、EDRソリューションを無効にすることができるのに対し、攻撃者はNDRに対して同じことをすることができないと説明します。「NDRを破るのは難しいのです」
EDRはエンドポイントにとって重要で、NDRはネットワークに対して重要になります。サノフィはDetectとRecallを併用することで、脅威を検知し、攻撃の進行を追跡しました。Detectがリアルタイムで支援する一方で、Recallはその後、サノフィのチームがフォレンジックを実施するのを支援しました。Richard氏は、次のように述べました。「この特定の攻撃では、Recallに入ると、共有の列挙を一行ずつ正確に見ることができました。ファイルのオープン、読み込み、ファイル名、バイト数まで見ることができました。」このような攻撃の完全な可視化によって、チームは今後同様の手口を防止するための検知フレームワークを作成する際に、教育され、情報を得ることができます。
サノフィと Vectra AI : より良い関係を
対談の最後には、組織間のパートナーシップを強化するということで
本対話を締めくくりました。今回の攻撃は、攻撃者が認証情報を盗み出し、従来のエンドポイントソリューションを迂回することに成功した場合、NDRがそのギャップを効果的に埋めることを実証しました。
この攻撃を阻止することは、チーム間の熱心な協力から得られる協力的な利点の例でもあります。 Vectra はプラットフォームを提供し、Sanofi は独自のユースケースを提供することで、一緒に革新し、問題を解決し、技術的専門知識を交換することができます。
サノフィがクラウドに適応し、エンタープライズ・セキュリティを構築し続ける中、Jean-Yves氏とRichardは、Vectraとの継続的なパートナーシップを楽しみにしていると語りました。ジャン・イヴ氏からは、次のようなコメントをいただきました。 「Vectra は革新性と深い技術的価値をもたらします。 サノフィにソリューションのフィードバックを提供しています。 そしてその組み合わせが進歩と成熟への道なのです。
今回の対話は、視聴者からのQ&Aセッションで締めくくられました。対話のすべてではありませんが、サノフィのお二人からのコメントの要点をまとめました。
サイバー犯罪者がLinkedIn、WhatsApp、Microsoft Wordを悪用して攻撃を実行するために使用した手法と、サノフィが検知 、Vectraを使用して攻撃を阻止した方法の全貌は動画 (https://www.youtube.com/watch?v=dgyga7DYs6E&t=84s) でもご紹介しています。