Zero Day
主な洞察
- FireEyeのレポートによると、zero-day 脆弱性は悪用された脆弱性全体の0.1%を占め、その希少性が強調されているが、影響は大きい。
- IBMが発表した「データ漏洩のコスト・レポート2020」によると、データ漏洩を特定し、封じ込めるまでの平均時間は280日で、zero-day 攻撃によるステルス性が浮き彫りになった。
Zero-Day 脆弱性とは何か?
zero-day 、ソフトウェアやハードウェアの未知の脆弱性のことで、開発者や製造者がその脆弱性に気づき、パッチや修正プログラムを発行する前に、ハッカーが悪用する可能性がある。zero-day」という用語は、開発者にとって未知の問題であるため、開発者がその問題に対処するための日数が「ゼロ日」であるという事実を指している。
これらの脆弱性は、既存のセキュリティ対策を迂回し、高い確率で攻撃を仕掛けることができるため、サイバー犯罪者のコミュニティでは非常に注目されている。Zero-day 脆弱性は、パッチがリリースされ適用されるまでの間、長期間発見されずに残る可能性があり、大きな被害をもたらす可能性があるため危険です。
ゼロデイを防ぐ方法はありますか?
zero-day 脆弱性やエクスプロイトを防ぐことは難しいが、こうした巧妙な攻撃に関連するリスクを軽減するのに役立つ戦略がいくつかある。
Implementing advanced threat detection systems that use machine learning and behavioral analysis can be crucial in identifying unusual activities that might indicate a zero-day exploit. Continuous monitoring and real-time visibility into endpoint activities are also essential to quickly address any suspicious behavior.
ネットワーク・セグメンテーションによるネットワーク・セキュリティの強化は、潜在的な侵害を封じ込め、ネットワーク内での攻撃者の横の動きを制限することができます。ネットワーク・トラフィックを監視して不審な活動を検出する侵入検知防御システム(IDPS)は、既知のシグネチャだけでなく、挙動に基づいてzero-day 攻撃を検知 ブロックすることができます。しかし、侵入検知システムは、XDR、EDR、SIEM、ファイアウォールなどの他のツールと組み合わせても、未知の脅威を簡単に識別したり、すでにネットワーク内に侵入している攻撃を阻止したりすることはできません。
Application whitelisting ensures that only approved applications run on systems, reducing the risk of malicious software execution. Regular security awareness training helps employees recognize phishing attempts and other social engineering tactics that could lead to zero-day exploits. Conducting regular vulnerability assessments and penetration testing can identify and address potential weaknesses before attackers exploit them.
EDR(エンドポイント・ディテクション・アンド・レスポンス)ソリューションは、エンドポイントにおける脅威の継続的な監視と迅速な対応を提供し、高度なアナリティクスを使用して異常を検知 します。定期的なバックアップと堅牢なリカバリ・プランを維持することで、攻撃が成功した場合の事業継続性を確保し、被害と復旧時間を最小限に抑えます。しかし、これらの技術が一部の攻撃者のテクニックに対して有効であるのと同様に、今日の攻撃者は、これらの制御を超える暴露のギャップを見つけることに同じように効率的です。
While it's impossible to prevent zero-day vulnerabilities entirely, these measures can significantly reduce the risk and impact of zero-day exploits on an organization.
Zero-Day 攻撃から始まった攻撃の例
The image below represents a simulated zero-day exploit attack which begins with the attacker exploiting an exposed file-sharing server where endpoint detection and response (EDR) cannot be run.
攻撃者はその後、外部制御のためにコマンド・アンド・コントロール(C2)を展開し、ネットワークをマッピングし、リモートコード実行を使用して横方向に移動してサーバーにアクセスし、最終的に管理者アカウントを発見します。攻撃者はジャンプサーバーを使用して多要素認証(MFA)を回避し、Azure ADとMicrosoft 365(M365)にアクセスします。
攻撃者はAWSに接続するために連携アクセスを使用するが、価値の高いデータにアクセスする前に検知され、Vectra AIによって阻止される。
Vectra AIの検出には、隠されたHTTPSトンネル、疑わしいリモート実行、 権限の異常、AWS組織の検出などが含まれ、アナリストは侵害されたアカウントをロックダウンし、攻撃をリアルタイムで阻止することができます。
zero-day 脆弱性とその組織への潜在的影響についてご心配なら、Vectra AIのチームがお手伝いします。私たちは、このような脅威が被害をもたらす前に検知 し、軽減するように設計された最先端のソリューションを提供します。お客様のサイバーセキュリティ態勢を強化する方法について詳しくは、今すぐお問い合わせください。
サイバーセキュリティの基礎知識
よくあるご質問(FAQ)
Zero-Day 脆弱性とは何か?
zero-day 脆弱性とは、ソフトウェアのベンダーや開発者が知らないソフトウェアのセキュリティ上の欠陥を指す。この脆弱性は、ベンダーがその脆弱性に気づき、修正パッチをリリースする前に、攻撃者に悪用される可能性がある。
Zero-Day 脆弱性はどのように発見されるのか?
これらの脆弱性は、セキュリティ・リサーチ、日常業務中の偶発的な発見、異常な活動が検知された際の能動的な攻撃など、さまざまな手段によって発見される可能性がある。
Zero-Day 脆弱性はなぜ危険なのか?
Zero-day 脆弱性が特に危険なのは、発見された当初はそれに対する既存の防御手段が存在しないためである。このため、攻撃者は脆弱性を悪用してシステムやデータに不正アクセスすることができる。
Zero-Day 攻撃から守るために何ができるか?
zero-day 攻撃から身を守るために、セキュリティチームは、定期的なソフトウェア更新、高度な脅威検知システム、包括的なセキュリティ意識向上トレーニングなど、多層的なセキュリティ戦略を実施する必要があります。
セキュリティチームはどのようにZero-Day 脅威を検知 のか?
セキュリティチームは、脅威インテリジェンス、異常検知ツール、行動分析を組み合わせて使用し、潜在的なzero-day 脅威を特定する。定期的なセキュリティ評価と侵入テストも重要な役割を果たします。
Zero-Day 脆弱性検知における人工知能の役割とは?
人工知能(AI)と機械学習は、大量のデータを分析して新たな悪用を示すパターンや異常を特定することで、zero-day 脆弱性の検出を大幅に強化することができる。
Zero-Day 脆弱性はどのくらいの頻度で発生するのか?
Zero-day 脆弱性は、既知の脆弱性に比べれば比較的まれなものですが、その影響ははるかに大きなものになります。発見される頻度は、ソフトウェアやセキュリティ・コミュニティの努力によって大きく異なります。
Zero-Day 攻撃の一般的な標的とは?
一般的な標的には、広く使われているソフトウェア・アプリケーションやオペレーティング・システムが含まれる。
セキュリティチームはZero-Day 脆弱性にどう対応すべきか?
早急な対策としては、影響を受けたシステムを隔離し、一時的な緩和策を適用し、パッチが利用可能になるまで、悪用の兆候がないかネットワークトラフィックを注意深く監視することである。
Zero-Day 攻撃の顕著な例はあるか?
代表的な例としては、産業制御システムを標的としたStuxnetや、Hafnium攻撃で悪用された最近のMicrosoft Exchange Serverの脆弱性などがある。