Zero Day

Zero-Day 脆弱性とは何か？

zero-day 、ソフトウェアやハードウェアの未知の脆弱性のことで、開発者や製造者がその脆弱性に気づき、パッチや修正プログラムを発行する前に、ハッカーが悪用する可能性がある。zero-day」という用語は、開発者にとって未知の問題であるため、開発者がその問題に対処するための日数が「ゼロ日」であるという事実を指している。

これらの脆弱性は、既存のセキュリティ対策を迂回し、高い確率で攻撃を仕掛けることができるため、サイバー犯罪者のコミュニティでは非常に注目されている。Zero-day 脆弱性は、パッチがリリースされ適用されるまでの間、長期間発見されずに残る可能性があり、大きな被害をもたらす可能性があるため危険です。

ゼロデイを防ぐ方法はありますか？

zero-day 脆弱性やエクスプロイトを防ぐことは難しいが、こうした巧妙な攻撃に関連するリスクを軽減するのに役立つ戦略がいくつかある。

zero-day 攻撃を示す可能性のある異常な行動を特定するためには、機械学習や振る舞い 分析を利用した高度な脅威検知システムの導入が不可欠です。また、エンドポイントの活動を継続的に監視し、リアルタイムで可視化することも、不審な挙動に迅速に対処するために不可欠です。

ネットワーク・セグメンテーションによるネットワーク・セキュリティの強化は、潜在的な侵害を封じ込め、ネットワーク内での攻撃者の横の動きを制限することができます。ネットワーク・トラフィックを監視して不審な活動を検出する侵入検知防御システム（IDPS）は、既知のシグネチャだけでなく、挙動に基づいてzero-day 攻撃を検知 ブロックすることができます。しかし、侵入検知システムは、XDR、EDR、SIEM、ファイアウォールなどの他のツールと組み合わせても、未知の脅威を簡単に識別したり、すでにネットワーク内に侵入している攻撃を阻止したりすることはできません。

アプリケーションのホワイトリスト化により、承認されたアプリケーションのみがシステム上で実行されるようになり、悪意のあるソフトウェアが実行されるリスクが低減します。定期的なセキュリティ意識向上トレーニングにより、従業員は フィッシング の試みと、zero-day 攻撃につながる可能性のあるその他のソーシャル・エンジニアリングの手口を認識できるようにする。定期的な脆弱性評価と侵入テストを実施することで、攻撃者に悪用される前に潜在的な弱点を特定し、対処することができる。

EDR（エンドポイント・ディテクション・アンド・レスポンス）ソリューションは、エンドポイントにおける脅威の継続的な監視と迅速な対応を提供し、高度なアナリティクスを使用して異常を検知 します。定期的なバックアップと堅牢なリカバリ・プランを維持することで、攻撃が成功した場合の事業継続性を確保し、被害と復旧時間を最小限に抑えます。しかし、これらの技術が一部の攻撃者のテクニックに対して有効であるのと同様に、今日の攻撃者は、これらの制御を超える暴露のギャップを見つけることに同じように効率的です。

zero-day 脆弱性を完全に防ぐことは不可能だが、これらの対策を講じることで、zero-day 悪用のリスクと組織への影響を大幅に軽減することができる。

Zero-Day 攻撃から始まった攻撃の例

下の画像は、zero-day 攻撃のシミュレーションを表しており、攻撃者は、エンドポイント検出および応答（EDR）が実行できない、公開されたファイル共有サーバーを悪用することから始まります。

攻撃者はその後、外部制御のためにコマンド・アンド・コントロール（C2）を展開し、ネットワークをマッピングし、リモートコード実行を使用して横方向に移動してサーバーにアクセスし、最終的に管理者アカウントを発見します。攻撃者はジャンプサーバーを使用して多要素認証（MFA）を回避し、Azure ADとMicrosoft 365（M365）にアクセスします。

攻撃者はAWSに接続するために連携アクセスを使用するが、価値の高いデータにアクセスする前に検知され、Vectra AIによって阻止される。

Vectra AIの検出には、隠されたHTTPSトンネル、疑わしいリモート実行、 権限の異常、AWS組織の検出などが含まれ、アナリストは侵害されたアカウントをロックダウンし、攻撃をリアルタイムで阻止することができます。

zero-day 脆弱性とその組織への潜在的影響についてご心配なら、Vectra AIのチームがお手伝いします。私たちは、このような脅威が被害をもたらす前に検知 し、軽減するように設計された最先端のソリューションを提供します。お客様のサイバーセキュリティ態勢を強化する方法について詳しくは、今すぐお問い合わせください。