IOCのセキュリティ限界-APT29からの教訓

2020年7月20日
Tim Wade
Deputy Chief Technology Officer
IOCのセキュリティ限界-APT29からの教訓

最近、英国の National Cyber Security Centre (NCSC) とカナダの Communications Security Establishment (CSE) は、COVID-19 ワクチンの研究開発に関連する組織を標的とした高度な脅威アクター (APT29)の詳細を発表した。既知の悪質なインジケータを特定することだけに頼る従来の境界ベースのセキュリティツールにとって不運なことに、このキャンペーンは、持続性を維持し攻撃を継続させるために、許可された認証情報の窃盗と悪用を大いに活用している。

このようなツールは、現在知られている侵害の兆候(IOC)を利用することもできるが、IOCは敵対者によって容易に変更されるため、単独で使用する場合は、ネットワーク防御者が攻撃の進行を阻止するための唯一の先行指標としてではなく、これらの脅威アクターの過去の存在を調査するのに適している。

幸いなことに、Vectra CognitoNetwork Detection and Response (NDR) プラットフォームを導入している組織は、ネットワーク防御が既知の悪質なIOCの検知だけに依存しておらず、ネットワーク内とMicrosoft Office 365のような重要なSaaSサービスの両方をカバーしているため、このキャンペーンに強い。Cognitoは、人工知能と機械学習を導入し、敵が使用するツールや作成するIOCではなく、攻撃を進めるために必要な行動を検知します。例えば、プラットフォームにネイティブなPrivileged Access Analytics (PAA) を広範に使用します。PAAは、企業全体で特権がどのように使用されているかを観察・学習し、特権が悪用された場合にシグナルを送ることで、盗まれたり悪用されたりした認証情報を活用した攻撃後の活動を検知します。さらに、Zeekのような広範で充実したメタデータにアクセスすることで、セキュリティアナリストは、脅威アクターの過去の証拠を迅速に発見したり、脅威アクターの作戦活動の結果として開発された新しいIOCで脅威をハントしたりすることができます。

Vectra を使えば、ネットワーク防御者は環境の可視性と制御を取り戻し、高度な敵対者であっても台本を翻し、被害が及ぶ前に阻止することができる。

よくあるご質問(FAQ)