サイバー攻撃に対する検知能力：悪意のアクションの 44% が見逃されている – Picus Security

Organizations fail to log 44% of cyber attacks, major exposure gaps remain

2024/08/02 HelpNetSecurity — Picus Security の BLUE REPORT 2024 によると、同社が自動侵入テストを実施したところ、テスト環境の 40％において、ドメイン管理者アクセスにつながる攻撃が可能だったという。ドメイン管理者アクセス権の獲得は、組織の IT インフラ内で最高レベルのアクセス権であり、攻撃者にマスターキーを与えるようなものであるため、特に懸念される。このレポートは、Picus Security Validation Platform によりシミュレートされた、1億3600万件以上のサイバー攻撃の、世界的かつ包括的な分析に基づいている。

脅威アクターが企業ネットワークを横移動できる理由は？

同レポートによると、平均的な組織は 10回の攻撃のうちの 7回を防いでいるが、脅威の検知管理にギャップがあり、自動化を用いる攻撃者たちに企業ネットワーク内での横移動を許しているため、依然として重大なサイバー・インシデントのリスクにさらされている。シミュレーションされた全攻撃のうち、組織の検知ツールによりログに記録されたのは僅か 56％であり、アラートが発せられたのは僅か 12％だった。

Picus の共同設立者であり、Picus Labs の副社長である Suleyman Ozarslan は、「なにかの一押しで、ドミノ倒しの連鎖が始まるように、サイバー・セキュリティの小さなギャップが大きな侵害につながる可能性もある。脅威エクスポージャー管理と優先順位のバランスに関して、組織が依然として課題を残していることは明らかだ。攻撃者がドメイン管理者アクセス権を得るような、小さな隙間は孤立したインシデントではなく、その影響は広範に及ぶ。昨年の MGM への攻撃では、ドメイン管理者権限とスーパー管理者アカウントが悪用されていた。カジノのスロットマシンを停止させ、事実上すべてのシステムをシャットダウンし、数十億ドル規模の企業のビジネスを、数日間にわたってブロックした」と述べている。

繰り返しになるが、企業における 40％ の環境には、ネットワークへのイニシャル・アクセスを成功させた攻撃者が、ドメイン管理者権限を獲得できるような弱点がある。これらの権限を得た攻撃者たちは、その後に、ユーザー・アカウントの管理や、セキュリティ設定の変更などを可能にする。侵害されたドメイン管理者アカウントかた、ネットワークの完全なコントロールへとつながる可能性があり、データの流出／マルウェアの配備／業務妨害などを、攻撃者に許すことになる。

組織におけるデータ・レイヤーは改善されてきたが、その一方で検知エンジニアリングは依然として不十分である。そこで浮き彫りにされるのは、潜在的な脅威を迅速に特定し対応するための、セキュリティ・チームによるアラート・メカニズムの強化の緊急性である。

こうしたサイバー・セキュリティ戦略におけるギャップを埋めるために、”侵害を想定する” という考え方を、組織的に採用していく必要がある。組織の予防的コントロールに依存するだけではなく、このアプローチを導入することで、検知と対応のメカニズムを十分に強化され、侵害が発生した場合に対処できるようになっていく。

プロアクティブな対策／継続的な監視に加えて、組織のセキュリティ態勢を強固にするために不可欠なのは、ロギングとアラートの両システムの定期的な評価による、高レベルでの脅威検知管理の達成である。

エンドポイント・セキュリティのギャップ

このレポートでは、macOS におけるエンドポイント誤設定や、EDR (Endpoint Detection and Response) なしでの運用の可能性が、はるかに高いことも強調している。それが浮き彫りにするのは、macOS 環境のセキュリティ確保における IT／Security チームの、スキルセットとアプローチの潜在的なギャップである。

Picus の CTO である Volkan Ertürk は、「Mac に脆弱性が少ないことは分かっているが、macOSシステムのセキュリティ確保に対して、セキュリティ・チームが十分なリソースを投入していないという現実がある。最新の Blue Report 調査によると、セキュリティ・チームにとって必要なことは、macOS システムを検証し、設定の問題を表面化させることだ。Picus Threat Library のような脅威リポジトリは、最新かつ顕著な macOS 特有の脅威に対して武装しており、組織が検証と緩和の取り組みを効率化するのに役立つ」と語っている。

タイトルにある “44%” という数字ですが、文中の “組織の検知ツールによりログに記録されたのは僅か 56％” の部分と、セットになっているのだと思います。さらに、ログ内の問題点を見落とすという、ヒューマン・エラー (?) もあるので、さらに状況は悪いと言えるでしょう。よろしければ、カテゴリ Statistics も、ご利用ください。