Microsoft announces automatic BEC, ransomware attack disruption capabilities
2023/02/24 HelpNetSecurity — 昨年に Microsoft は、企業向けのセキュリティ・スイートである Microsoft 365 Defender に、自動攻撃遮断機能を搭載すると発表した。水曜日に同社は、これらの機能を活用する組織は、ランサムウェアと BEC (Business Email Compromise) の攻撃という、2つの代表的なパターンを効果的に阻止すると明かした。
攻撃阻止に最重要なものは反応速度
サイバー攻撃への迅速な対応が、企業にとって更に重要になってきている。IBM Security の X-Force Team によると、ランサムウェア攻撃を完了するまでの平均時間は、これまでの2ヶ月から4日未満へと短縮され、侵害したメール・アカウントや既存メール・スレッドを驚異アクターが悪用して、企業の従業員を狙うケースは2倍に増加しているという。
理想的な世界では、すべての組織が適切なテクノロジーを導入し、SOC (security operations center) を充実させ、攻撃の最初の兆候を発見できるようになることだ。しかし、この不完全な世界では、過労と疲労の問題により、SOC アナリストのなり手が不足している。アラートに圧倒されながら、偽陽性の海をかき分けても、重要な手掛かりを見つけるまでに時間が掛かりすぎている。
数多くのセキュリティ・ベンダーは、その解決策は自動化にあると述べている。Microsoft も、それは自動化であり、マシンスピードで反応することだと述べている。
BEC/ランサムウェア攻撃による被害
Microsoft 365 Defender が自動破壊アクションを実行するためのシグナルは、エンドポイント/ID/Eメール/コラボレーション/SaaS アプリケーションから収集される。これらの信号は集約され、自動的に分析され、高い信頼性が確立された場合に処理が進められる。
Microsoft の Senior Product Manager である Eyal Haik は、「悪意の活動の原因となる資産にフラグを立てることが意図されている」と述べている。現在のパブリック・プレビューにおける自動攻撃阻止の機能は、以下の通りである。
- 攻撃者のアカウントが Microsoft Defender for Identity に登録されている場合に、Active Directory/Azure AD のアカウントを一時停止する。
- 侵害されたマシンとの通信を防止するためにデバイスを封じ込める (Defender for Endpoint を使用している環境では可能)。
自動実行されたアクションに関する視覚的なシグナルは、ダッシュボードで一目瞭然となる。さらに重要なことは、自動実行されたアクションを、Microsoft 365 Defender ポータルから元に戻すことが可能な点だ。なお、セキュリティ・チームは、自動的な攻撃阻止のためのコンフィグレーションをカスタマイズできる。
Microsoft によると、「自動アクションがネットワークの健全性に悪影響を与えないようするために、Microsoft 365 Defender はネットワークに不可欠な資産を自動的に追跡するが、封じ込めは控える。その一方で、クライアント側にフェールセーフ機構を構築してライフサイクルに組み込んでいる 」とのことだ。
これだけ、メールを介したフィッシング/BEC 攻撃が多発すると、メール・サーバにおけるフィルタリングが重要になります。2023/02/20 の「メール・フィルターを解剖する:自社に適した機能を選ぶために知っておくべきこと」に記されているように、一言でフィルタリングと言っても、その中身は複雑なものになるようです。最大の問題は、偽陽性の取り扱いですが、このあたりは AI が対処してくれるはずと期待したいですね。
IoT OT Security News 
You must be logged in to post a comment.