ほぼ10年前、ランサムウェアは消費者の目立った問題になり始め、コンピューターをロックし、ライセンスのないソフトウェアや児童ポルノをダウンロードしたと思われる罰金と懲役でユーザーを脅迫しました。その後間もなく、サイバー犯罪者はユーザーのファイルを実際に暗号化するランサムウェアに切り替え、企業が消費者よりもはるかに収益性の高い被害者になることにすぐに気付きました。

技術プロバイダーやセキュリティ会社がマルウェアが電子メール、悪意のあるダウンロード、または同様の方法で配信されるのを防ぐ方法を見つけたとき、ランサムウェアギャングの次の「大きな」適応は、組織に違反し、マルウェアを広範囲に「植え付け」た後、手動でランサムウェア展開することに切り替えました。ネットワークとエンドポイント全体。

このアプローチは非常に成功しているため、企業がサイバー衛生、一般的な防御、および検出機能を改善しているにもかかわらず、普及しています。

それでも、ランサムウェアがこれほど大きな問題になっている主な理由は、潜在的なターゲットや被害者の可能性が不足することは決してないからだと思います。

大衆は、大企業、政府や法執行機関、またはヘルスケアやエネルギーなどの重要なセクターの企業に影響を与えたランサムウェア攻撃について主に耳にしますが、ランサムウェアのギャングは、同じ熱意を持ってさまざまな業界の中小企業を追いかけます(彼らはもっと合理的な、しかしそれでもかなりの金額を要求するかもしれません)。

その結果、「もし」ではなく「いつ」の問題であるサイバー攻撃に見舞われる組織についてのその使い古された格言は、特に他のすべてのタイプのサイバー攻撃をミックス。

誰もが標的ですが、誰もが犠牲者になる必要はありません

防御側は、すべての攻撃を防ぐことは不可能であることを知っているため、追加の目標は、最悪の結果を回避できることを期待して、攻撃者の滞留時間を最小限に抑えることです。

ソフォスのRapidResponseチームが関与した最近の取り組みの詳細は、ディフェンダーが優位に立つ方法の良い例です。

(ランサムウェアの疑いのある)攻撃者は、最近のProxyLogonエクスプロイトを使用して大企業のExchangeサーバーを侵害し、2週間にわたって、ドメイン管理者アカウントの資格情報を盗み、ネットワークを横方向に移動し、ドメインコントローラーを侵害し、複数のマシンに足場を確立し、展開しましたそれらへのアクセスを保持するための商用リモートアクセスツール、および悪意のあるプログラムの配信。

攻撃者はゆっくりと動き、レーダーの下を飛ぶために毎日少数のアクションを実行しましたが、最終的には、商用リモート管理ツールの異常な組み合わせの使用がセキュリティ製品と防御者に注目させました。

ソフォスの主任研究員であるアンドリュー・ブラントは、次のように述べています。

「メモリ内でCobaltStrikeの起動を検出することは、そのような特徴の1つに過ぎず、次のような攻撃の他の一般的な指標の多くを観察しなかったにもかかわらず、深刻な(潜在的に非常にコストのかかる)攻撃が積極的に進行中であることを顧客に納得させるのに役立ちました。長期間にわたるRDPの広範な使用。これは、ログエントリに表示されます。」

ソフォスXDR:脅威ハンティングの可能性を広げる

言うまでもなく、これらのような危険信号は、適切な技術的解決策が整っていなければ、人間の安全保障事業者が気付くことは事実上不可能です。

ソフォスのRapidResponseチームは、とりわけ、新しいソフォスXDRソリューションを自由に利用できました。これは、ネイティブエンドポイント、サーバー、ファイアウォール、および電子メールのセキュリティを同期する業界初の(そしてこれまでのところ唯一の)拡張検出および応答ソリューションです。

ソフォスXDRは、組織のIT環境全体とセキュリティエコシステムから関連する感覚情報を収集し、脅威ハンターが全体像を確認し、他の方法では見過ごされがちな手がかりを検出して検査できるようにします。

このソリューションは、業界で最も豊富なデータセットに依存しています。ソフォスのクラウドベースのデータレイクは、Intercept X(ワークステーションのエンドポイント保護)、Intercept X for Server(サーバーのエンドポイント保護)、Sophos Firewall(同期セキュリティを備えたファイアウォール)から収集された重要な情報をホストします。組み込み)、およびSophos Email(AIを利用したクラウド電子メールセキュリティ)。

「そのデータレイク内で、収集したデータを(Sophos Intelixの)脅威インテリジェンスで強化し、そのデータに対してAIモデルを実行して、検出と自動化を推進することができます。ソフォスのチーフプロダクトオフィサーであるDanSchiappa氏は、その情報をセキュリティオペレーターや実務家に提供し、LiveQueryと呼ばれる言語で提供しています」と説明しました。

ソフォスXDR脅威ハンティング

それを正しくするためのテスト

ソフォスXDRを広く利用できるようにする前に、同社は、関連するAPIを介して早期アクセスプログラムを実装していました。

「SophosXDRの価値提案の一部は、すべてのデータを収集しようとするのではなく、適切なデータ、つまりAIエンジンが結論を出すのに役立つデータのみを収集することです。API対応の早期アクセスを利用することで、それを微調整することができました」とSchiappa氏は語りました。

ソフォスXDR、ソフォスEDR(最近、スケジュールされたクエリとカスタマイズ可能なコンテキストピボット機能を備えています)、およびその他のエンタープライズセキュリティソリューションは、本質的に会社の適応型サイバーセキュリティエコシステム(ACE)の一部ですが、プラットフォームにはオープンAPIとソフォスの製品を使用していなくても、サードパーティが参加して利用できるようにする強力な統合。

「彼らはデータレイクからデータを引き出し、データレイクにデータを提供することができます。それらは、セキュリティオペレーターが洞察する応答のための自動化されたプレイブックの一部になることができます」と彼は説明しました。

データレイクは、7日間のEDR配信データと30日間のXDR収集データをホストします。また、エンドポイントとサーバーには90日間の詳細なデータが保存されているため、ユーザーはクエリを実行して、これらのデバイスで何が起こっているかをリアルタイムで確認できます。

擁護者のコミュニティを構築する

ソフォスXDRは、経験豊富なセキュリティオペレーターが使用できますが、その旅を始めたばかりの人や、IT管理者であり、小規模企業の指定されたセキュリティ担当者でも使用できるほど直感的です。

ソフォスXDR脅威ハンティング

専門知識のレベルに関係なく、ソフォスの脅威ハンターによって作成された定型クエリ、ACEに参加している他の組織の脅威ハンターによって作成されたクエリ、およびソリューションのクエリピボット機能をすべて利用できます。

「それは私たちが本当に興奮していることの1つです。顧客が非常に役立つと思ったクエリを投稿できるコミュニティフォーラムがあり、それらを簡単に切り取って製品に貼り付けることができます。目標は、セキュリティ実践者の専門知識を活用し、それをコミュニティに推進することです」とSchiappa氏は付け加えました。

コメントをどうぞ