攻撃のライフサイクルにおける脅威の行動

2019年6月20日
Vectra AIセキュリティ研究チーム
サイバーセキュリティ
攻撃のライフサイクルにおける脅威の行動

活発なサイバー攻撃には複数の段階があり、それぞれが複雑なキルチェーンの危険なリンクとなって、犯罪者にネイティブおよびハイブリッドクラウド ワークロード、ユーザーおよびIoTデバイスの重要な情報をスパイし、拡散し、盗む機会を与える。

すべてのワークロードとネットワーク・トラフィックに忠実な可視性を提供することで、AI主導のCognitoプラットフォームは次のような機能を提供します。 Vectraは、攻撃のライフサイクルのあらゆる段階で脅威の行動をリアルタイムに検知します。

攻撃ライフサイクルのフェーズ

コマンド&コントロールからデータ流出まで、攻撃のライフサイクルの段階。標的型攻撃か日和見攻撃かにかかわらず。

攻撃がいつあるフェーズから次のフェーズに進むかを知ることは非常に重要である。例えば、内部偵察の段階から横移動の段階に進んだ攻撃は、その部分の合計よりも重要な意味を持つことがある。

攻撃ライフサイクルのフェーズには、標的型攻撃を示すイベントとそうでないイベントがあります。例えば、日和見的なボットネットの収益化行動は、クライムウェアの存在を示すかもしれませんが、標的型攻撃ではありません。しかし、内部偵察や横移動の行動は、標的型攻撃の強力な指標となります。

以下は、攻撃ライフサイクルの各フェーズの内訳と一般的な説明である。

指揮統制

指揮統制

C&C行為は、デバイスが外部の悪意のあるエンティティのコントロール下にあるように見える場合に発生する。多くの場合、デバイスがボットネットの一部であるか、アドウェアやスパイウェアがインストールされているため、制御は自動化されています。まれに、しかし最も重要なこととして、デバイスが悪意のある外部者によって手動で制御されることがある。これは最も脅威的なケースであり、多くの場合、攻撃が特定の組織を標的としていることを意味する。

内部偵察

内部偵察

偵察攻撃者の行動は、デバイスが企業のインフラをマッピングするために使用される場合に発生します。この行動は、ボットネットが他のデバイスに内部拡散しようとしていることを示す場合もありますが、多くの場合、標的型攻撃の一部です。検知タイプは、システム、ネットワーク・ポート、ユーザーアカウントの高速スキャンと低速スキャンをカバーしています。


横方向の動き

横方向の動き

横方向への移動は、標的型攻撃を促進するための横方向への行動のシナリオをカバーする。これには、アカウントの認証情報を盗んだり、別のデバイスからデータを盗んだりする試みが含まれます。また、攻撃者の足場をより強固なものにしたり、標的のデータに近づいたりするために、別のデバイスを侵害することもあります。攻撃ライフサイクルのこの段階は、プライベート・データ・センターやパブリッククラウドに移行する前兆です。

データ流出

データ流出

データ流出行為は、転送を隠すことを意図した方法でデータが外部に送信される場合に発生する。通常、正当なデータ転送では、転送を隠すための技術は使用されない。データを送信するデバイス、データを送信する場所、データの量、送信に使用される技法が、流出の指標となる。

Vectra ボットネットの収益化

ボットネットの収益化

ボットネットは、デバイスがボットハーダーのためにお金を稼ぐ日和見的な攻撃行動です。感染したデバイスを使用して価値を生み出す方法は、ビットコインの採掘からスパムメールの送信、偽の広告クリックの生成まで多岐にわたります。利益を得るために、ボットハーダーはデバイスとそのネットワーク接続、そして何よりも、割り当てられたIPアドレスの汚れのない評判を利用します。

攻撃ライフサイクルの各段階における脅威行動の詳細については、2019年攻撃者行動業界レポートをダウンロードするか、vectra.ai/demoまでお問い合わせください。

よくあるご質問(FAQ)