Uncategorized

サイバーレジリエンスの強化:チームが知っておくべきこと

  1. HOME >
  2. Uncategorized >

サイバーレジリエンスの強化:チームが知っておくべきこと

悪意のある攻撃を受けて、攻撃が発生した方法や理由、およびその結果として学ぶことができる最も重要な教訓とは対照的に、誰もが責任者の検索に集中しているのを目撃することがよくあります。この考え方は間違っており、その理由はここにあります。

まず、悪意のある攻撃者がさまざまな手法を使用してマルウェアの発信元を隠蔽するため、攻撃を責任者に帰することは困難です。第二に、報復や正義を提供するために誰が攻撃を行ったかを知りたいと思うかもしれませんが、この知識は、おそらく同じ方法でさえ、そのようなイベントの再発を防ぐためにまったく何もしません。

「どこ」または「誰」に焦点を当てることにより、過去の攻撃の性質を分析し、それらから学ぶことができる教訓を発見することを怠っています。

重要な学習を適用しながらサイバーレジリエンスを強化する

1.最近のコンパイラーのため、以前は効果的な分析手法はほとんど役に立たなかった

過去には、ベイジアン分析は、可能性のある起点につながる可能性のあるコード内の手がかりを特定するのに役立ち、その後、ソースコード、バイナリ、サブルーチン、命令のシーケンス、およびペイントするコードに埋め込まれた言語の分析が続きましたマルウェアが発生した可能性のある場所の写真。

ただし、今日の最新の最適化コンパイラでは、以前は効果的だった分析手法で有用な情報を生成することはほぼ不可能です。

2.以前は信頼できたインジケーターは信頼できなくなりました

コード内のタグ、言語、変数名などの特定のインジケーターは、誰がコードを書いたかを垣間見ることができますが、実際には、これらは知識のある攻撃者によって簡単に隠され、気を散らして誤解を招く可能性があります。悪意のある人物は、ペルシア語または北京語にコメントを入力するだけで、コードが中東または中国で作成されたように見せることができます。

また、組織を攻撃するために使用されたコードが、別の国の攻撃者から購入された可能性もあります。したがって、脅威アクターA、たとえばイタリアは、ロシアの脅威アクターBからマルウェアを購入し、それを武器にして、世界中の組織に対する攻撃に使用します。そして、残念ながら、攻撃者はメソッドがより洗練され、ミスが少なくなっています。

さらに、攻撃者はコードベースを再利用して共有することも多いため、特定のマルウェアを特定の脅威アクターに確実に帰することは難しい場合があります。タイムスタンプはコンパイラーにありますが、コードは世界中のどこにでもアセンブルされている可能性があるため、タイムスタンプやコンパイラーにもあるライセンス情報に依存することはできません。

コマンドアンドコントロール(C2)パスを調べることで、マルウェアが誰と話しているのかを分析できますが、攻撃者がC2通信に複数の侵害されたマシンで階層化されたベクトルを使用している場合はどうでしょうか。

3.分析で過去の戦術を見落とさないでください

以前の攻撃のスタイルと性質を評価することで多くのことを収集できますが、無視されたり見落とされたりすることがよくあります。一例として、ロシアの悪意のある人物が国全体のインフラストラクチャを標的にする傾向が強いです(水ろ過システム、電力網などを考えてください)。一般的に言って、これらのインフラストラクチャ層の攻撃は、広範囲にわたる混乱を引き起こすことを目的としています。

一方、中国の脅威アクターは長いゲームをプレイします。マルウェアがネットワークに配置されると、数か月、場合によっては数年もアクティブにならない可能性があります。ここでの目標は、混乱を引き起こすのではなく、情報を収集することです。中東に拠点を置く攻撃者の場合、以前の攻撃の分析は、ランサムウェアと金儲けのためのサービスの中断を示します。

4.誰ではなく、どのように焦点を合わせる

すべてが言われ、実行されるときの目標は、サイバー回復力を高めることです。つまり、誰が実行したかは、どのように実行され、何が盗まれたかということよりもはるかに重要ではありません。よりサイバーレジリエントになるには、最初にハッキングが発生することを可能にしたセキュリティの方法とギャップを特定する必要があります。

ハッキングの背後にある科学を特定して分析し、そこから学べることに焦点を合わせます。そうすれば、同じことが二度と起こらないようになります。また、指標がある場合でも、ハッキングの原因となることにうんざりしてください。

-Uncategorized