クラウドストライクの報告書が、脅威ハンティングのエリートチームが得たサイバー侵入の動向を明らかに
中間報告書のOverWatchが高まる侵入の傾向について知見を提供、2万5000件以上の侵入の試みを調査して主要な脅威と標的業界を浮き彫りに
米カリフォルニア州サニーベール--(BUSINESS WIRE)--(ビジネスワイヤ) -- クラウドベースのエンドポイント保護技術のリーダー企業であるクラウドストライクは本日、報告書「脅威ハンティング最前線からの考察」を公表したと発表しました。本報告書は、巧妙で密やかな攻撃者による侵入を検知し、攻撃者の戦術・技術・手法(TTP)などの知見を明らかにする当社の業界有数のマネージド型ハンティング・チームであるクラウドストライク
Falcon OverWatch™のデータを分析しています。報告書はまた、クラウドストライクの業界最先端の脅威テレメトリーを活用しています。この脅威テレメトリーは、176カ国から1週間に寄せられる1兆件のセキュリティー・イベントを処理し、クラウドストライクのOverWatchが1年間に阻止する2万5000件以上の侵入の試みについて、さらなる関連情報を提供するものです。全体的に見て、検知された侵入のうち国家が関与した攻撃者による標的型攻撃は48%で、サイバー犯罪者によるものは19%でした。
報告書によると、サイバー攻撃者が最も頻繁に標的にしているのは、技術、プロフェッショナル・サービス、ホスピタリティーの分野でした。攻撃者はさまざまな新しい戦術を使い、とりわけ防御回避と認証情報アクセスのTTPで、独創性と執拗さをみせていました。例えば、Windows
InternalsツールやActive Directory
Explorerを悪用して、1回限りのクレデンシャルダンピングを行っています。侵入事例が特に多い垂直分野は、以下の通りです。
テクノロジー:36%
プロフェッショナル・サービス:17%
ホスピタリティー:8%
防衛・政府機関:7%
非政府組織:7%
クラウドストライクの共同設立者で最高技術責任者(CTO)のドミトリー・アルペロビッチは、次のように述べています。「現在の攻撃者は、あらゆる業種を標的に侵入を試みる使命に燃えています。もはや組織は、何かが起こってから対処するというアプローチでは、保護された状態を保つことができません。その代わりに、すでに誰かがセキュリティーの境界線を侵害しているという想定に基づき、システム上の脅威を年中無休で積極的に発見しなければなりません。クラウドストライクが脅威ハンティングサービスを開発したのは、まさにそのためです。このサービスにより、お客さまのネットワークで通常なら見落とされてしまう侵入を検知しています。」
重要な所見は、以下の通りです。
中国による攻撃が増加:OverWatchのデータによると、2018年前半に国家レベルの攻撃者が最も多かったのは中国でした。データは、中国の攻撃者がバイオテク、防衛、鉱業、医薬品、プロフェッショナル・サービス、交通など、いくつもの経済分野を標的に侵入を試みていること示しています。
仮想通貨マイニングに対するサイバー犯罪者の関心の高まり:OverWatchは、犯罪者が法律業界と保険業界の社内ネットワークに侵入し、特権的アクセスを入手した複数のケースを発見しました。攻撃者はこれらの事例で、侵入後に財政的利益を得る狙いで、仮想通貨マイナーを埋め込んでいます。そして、幅広く水平展開することができる技術を展開し、マイニングにリソースを振り向けるための足場を可能な限り大きく築いていました。
バイオテク業界を標的にした攻撃の増加:OverWatchの観察によると、犯罪者の関心対象として、引き続きバイオテク業界が標的になっています。産業スパイ活動が、複数の攻撃が仕掛けられている動機だと推測しています。通常見られる戦術では、同分野の組織からデータを継続的に収集することを企んでいました。
境界線が一貫して曖昧化:クラウドストライクの2017年世界の脅威報告書は、主要な動向の1つとして、国家が関与した高度なスキルを持つ攻撃者と、犯罪的動機を持つそれ以外の攻撃者のTTPの違いが、曖昧になっていることを指摘しています。この傾向は継続しており、クラウドストライクはスキルの低い犯罪者が、国家関連の有名な攻撃者による高度なTTPを採用しているのを目の当たりにしています。
クラウドストライクのOverWatch/セキュリティーレスポンス部門担当バイスプレジデントのジェニファー・エアーズは、次のように述べています。「この報告書は、攻撃者の最新の動向と手法について、さらに深みのある知見と分析情報を提供しています。組織が脅威の状況について、より戦略的に理解し、新しいハンティング手法を学び、執拗なサイバー攻撃者に関する調査効率を高める上で、貴重なリソースとなります。」
クラウドストライクのOverWatchが発見するすべての侵入で追跡する主要メトリクスに、“ブレイクアウト時間”があります。これは攻撃者が、最初の侵入ポイントからネットワークのその他のシステムへと、水平移動を始めるまでの時間を指します。現在の平均的なブレイクアウト時間は1時間58分です。つまり防御担当者が、侵入を2時間以内に検知、調査、修正できれば、攻撃者による深刻な被害を阻止できます。当社はすべての組織が1-10-60ルールを導入することを推奨しています。
脅威を平均1分以内に検知できるよう努める
検知した侵入を10分以内に調査する
攻撃を1時間以内に修正し、食い止める
OverWatchの深い専門知識とFalcon®プラットフォームの技術的機能により、顧客を24時間365日体制で確実に保護します。クラウドストライクの技術は、次世代のアンチウイルス、エンドポイント検知・対応(EDR)、マネージド脅威ハンティング、ITハイジーン、脆弱性管理、脅威インテリジェンスを統合し、すべてを1つの軽量エージェントで提供します。
詳細な情報については、「脅威ハンティング最前線からの考察」に関するブロク記事をご覧ください。
報告書の全文もダウンロードできます。
クラウドストライク(CrowdStrike®)について
クラウドストライクは、クラウドベースのエンドポイント型保護技術のリーダー企業です。人工知能(AI)を活用するCrowdStrike
Falcon®プラットフォームは、企業全体を即時に可視化して保護し、ネットワーク内外のエンドポイントへの攻撃を防止します。CrowdStrike
Falconは数分で導入でき、実用的なインテリジェンスとリアルタイム保護を1日目から実現します。次世代のAVを、24時間365日体制のマネージドハンティングによって支えられるクラス最高のエンドポイント検知/対応機能とシームレスに統合します。そのクラウドインフラストラクチャーとシングルエージェントアーキテクチャーは、複雑さを排除し、拡張性・管理容易性・速度を向上させます。
CrowdStrike
Falconは、あらゆるタイプのサイバー攻撃からお客さまを保護するために、洗練されたシグネチャレスAIと攻撃インジケーター(IOA)ベースの脅威防止を使用して、既知および未知の脅威をリアルタイムで阻止します。CrowdStrike
Threat
Graph™の力を活用したFalconは、世界中で発生するセキュリティーイベント1週間当たり1兆件以上の相関関係を瞬時に確認し、脅威を即座に防御・検出します。
Falconがエンドポイント保護を変革した方法については語り尽くせませんが、クラウドストライクについて重要なことは1つだけです。つまり、当社が侵害を防止するということです。
Falcon Prevent™の全機能を無料トライアルでお試しください。
詳細については、https://www.crowdstrike.com/をご覧ください。
© 2018 CrowdStrike, Inc.All rights reserved.CrowdStrike®、CrowdStrike
Falcon®、CrowdStrike Threat Graph™、CrowdStrike Falcon Prevent™、Falcon
Prevent™、CrowdStrike Falcon Insight™、Falcon Insight™、CrowdStrike Falcon
Discover™、Falcon Discover™、CrowdStrike Falcon Intelligence™、Falcon
Intelligence™、CrowdStrike Falcon DNS™、Falcon DNS™、CrowdStrike Falcon
OverWatch™、Falcon OverWatch™、CrowdStrike Falcon Spotlight™、Falcon
Spotlight™は、クラウドストライクの商標の一部です。他のブランドは、第三者の商標である場合があります。
本記者発表文の公式バージョンはオリジナル言語版です。翻訳言語版は、読者の便宜を図る目的で提供されたものであり、法的効力を持ちません。翻訳言語版を資料としてご利用になる際には、法的効力を有する唯一のバージョンであるオリジナル言語版と照らし合わせて頂くようお願い致します。
Contacts
CrowdStrike, Inc.
Ilina Cashiola, 202-340-0517
Ilina.cashiola@crowdstrike.com