82% of Attacks Show Cyber-Criminals Targeting Telemetry Data
2023/11/14 InfoSecurity — サイバー犯罪者が仕掛けたインシデントの 82% で、ログが無効化され消去されていることが判明した。この Sophos のレポートは、ランサムウェアによる攻撃が数時間以内に実行されるという、いまの時代のスピードにフォーカスし、それらの攻撃の複雑さを分析するものだ。今日のレポートは、2022年1月1日〜6月30日に 25分野で発生した、232件の Sophos Incident Response (IR) の事例をベースとして、活発な敵対勢力が展開する TTP (tactics, techniques and procedures) の概要を示している。
Sophos の CTO である John Shier は、「アクティブな脅威に対応する際に、きわめて有用なのは時間であり、最初のアクセス・イベントを発見してから完全に緩和するまでの時間は限りなく短縮されるべきだ。攻撃の連鎖の先に進めば進むほど、対応する側にとって頭痛の種が増えていく。テレメトリが欠落していると、修復作業に時間を費やすことになるが、ほとんどの組織には、そのような余裕がない。そのため、完全で正確なロギングが不可欠となるが、必要なデータを持っていない組織も数多くある」と述べている。
Sophos の分析は、ランサムウェア攻撃の滞留時間を、5日というラインで切り分けて分類するものだ。5日以内の Fast 攻撃は 38% を占め、5日以上の Slow 攻撃は 62% を占めている。
Fast/Slow 攻撃の低速ランサムウェア攻撃を詳細に調査したところ、攻撃者によるツール/テクニック/LOLBin (living-off-the-land binaries) のデプロイメントにおいて、きわめて小さな差異しか認められなかったという。
そうだとすると、滞留時間が短くなっても、防御戦略を見直す必然性は少ないのかもしれない。ただし、防御側として認識すべきことは、テレメトリ欠如が迅速な対応を妨げ、被害の拡大につながる可能性である。
John Shier は、「サイバー犯罪者は、標的を捕らえるために必要な範囲でのみ、技術的な革新を行っている。つまりは、たとえ侵害から検知されるまでの時間が短縮されても、攻撃が上手く行っていれば何も変えようとはしない」と述べている。
Sophos は、攻撃のスピードが速められても、それに対応する防御は可能であり、現在の戦略を維持できるはずだと述べている。ただし、それを実現する上で、包括的なテレメトリ/強固なプロテクション/広範なモニタリングが必須となる。
John Shier は、「重要なのは、攻撃者にとっての摩擦を、可能な限り増やすことだ。攻撃者の仕事を難しくすれば、対応するための貴重な時間を増やせる。つまり、攻撃の各段階を引き延ばすことが可能になる」と締め括っている。
マルウェアの TTP を説明してくれる記事では、”ログの削除” という表現に出くわしますが、その比率が 82% にも達しているとは思いもしませんでした。 Sophos のビジネスとも絡むはずなので、その辺りを考慮する必要がありますが、とても貴重な情報だと思います。よろしければ、Sophos で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.