最終更新日時: Wed, 09 Nov 2022 16:29:36 GMT
どのマネージドサービス企業も、脅威を効果的に検知し、対応するための専門知識と技術を有していると言っています。しかし、それを証明できるかどうかは別問題です。
マネージドサービスに関する初のMITRE ATT&CK Evaluations for Managed Services の結果により、今まで困難だったマネージドサービスの評価と、実際の攻撃シナリオに対してどの様な対応を行うかを知ることができるようになりました。
Rapid7 MDRは、他の16社のマネージドサービスプロバイダーとともに、この第1回目の評価に参加することができたことを大変嬉しく思っています。Rapid7は日々、お客様のために敵と戦っていますが、その仕事のほとんどは目に触れることがありません。今回の評価は、Rapid7 MDRが日々世界中のお客様に提供している早期発見、迅速な対応、そしてお客様との深いパートナーシップをより多くの人々に知ってもらう良い機会となりました。
そして、その結果が全てを物語っています。
Rapid7はATT&CKの10の評価ステップすべてにおいて悪意のある活動を報告
Rapid7 MDRは、74の攻撃者の「テクニック」のうち63を報告しました。Rapid7に期待される強力な低ノイズ性を維持しながら、侵害の全範囲と影響を正確に記述することに成功しています。
この評価は、Rapid7 が実際にどのように脅威に対して取り組んでいるかを表しています。Rapid7チームがMITRE Engenuityに提供したものは、同評価に向けて用意した「特別」な何か(訳補足:設定やバージョンなど)ではありません。だからこそ、この結果はRapid7 MDRが日頃その全てのお客様に提供している無制限のインシデント対応サービスの一部であるリソース、経験、技術をの素晴らしさを実証することになりました。
その他の注目点を以下にご紹介します。
確実な早期発見:スタートラインでOilRig(通称:APT34)を停止
この攻撃は、フィッシングメールを使って悪意のあるペイロードを送り込み、無防備なユーザーのワークステーション上に永続性を確立させるという、よくある方法で開始されるものです。攻撃者は、その環境に足場を設置したあと、発見アクションを実行し、ユーザー認証情報をダンプし、その後、組織全体に移動し、最終的に機密データを収集し、流出させました。
Rapid7 MDRは攻撃の最初のステップを特定し、最初の悪意のあるペイロードのダウンロードと実行をMITREに通知し、脅威を封じ込めるための推奨アクションを提供しました。これが「現実の」顧客の事件であったなら、攻撃はここで止まっていたことでしょう。
キルチェーンを包括的にカバーする
攻撃が継続されたため、私たちのチームは、発見、認証情報のダンピング、Webシェルのインストール、データのステージング、データの流出、クリーンアップなど、侵害のすべての主要なステップを特定し、MITRE Engenuityに報告しました。
堅牢で実用的なレポーティング
この評価では、Rapid7 MDR の顧客が受ける包括的なレポート、強固なコミュニケーション、詳細なタイムライン、および深いフォレンジック調査も強調されています。Rapid7 MDR は、40 ページに及ぶ包括的なインシデントレポートを作成し、侵害の全容と影響を詳細に説明するとともに、重要インフラを標的とすることで知られるイラン系ハッカーグループ、APT グループ OilRig による活動であることを明らかにしました。
Rapid7 MDRにより、攻撃前よりも良い環境の確立に成功
この評価では封じ込めは対象外でしたが、Rapid7 は詳細な対応策と緩和策を推奨していることがおわかりいただけると思います。他のマネージドサービスでは、インシデントを解決し、将来同様のインシデントが発生しないようにセキュリティを強化する方法を考えるのはお客様の役目になっていますが、Rapid7 はこのガイダンスを提供し、お客様と協力してこれらの提言が確実に実施されるようにします。Rapid7
は、エンドツーエンドの検知・対応プログラムを提供します。
最後に:MITRE ATT&CK 評価だけではわからないこと
ここに掲載したのは、Rapid7 MDRによってもたらされる可能性のある価値の一端です。
この評価は主にエンドポイントに焦点を当てたものですが、Rapid7のお客様は、エンドポイント、ネットワーク、ユーザー、クラウドなどを包括的にカバーすることができます。攻撃対象が複雑化する中、お客様のビジネスに合わせて拡張し、エンドツーエンドで結果を出し、最先端の攻撃の一歩先を行き、お客様のセキュリティチームのシームレスな延長として働く、真の MDR パートナーが必要です。
Rapid7は、統合型DFIRをはじめ、さまざまな違いを積み重ねています。
評価の詳細については、お問い合わせください。
※本ブログは英語ブログ "New MITRE Engenuity ATT&CK® Evaluation: Rapid7 MDR Excels"の機械翻訳をもとにしています