Rapid7 Research

2020年第1四半期
脅威レポート

By Bob Rudis, Senior Director, Chief Security Data Scientist at Rapid7 Wade Woolwine, Principal Threat Intelligence Researcher at Rapid7 Kwan Lin, Principal Data Scientist at Rapid7 June 3, 2020

Introduction

今回の四半期の脅威レポートが(少なくとも新型コロナウィルスを題材にした安易な内容のマーケティングメールよりは)お役にたてる内容であることを願っております。さて、2020年の第1四半期脅威レポートの主要な題材が、日々の生活や職場における「ニューノーマル」となっていることについては疑いの余地がありません。変化と適応、混乱と恐怖の時となりました。言うなれば攻撃者にとって最も都合の良い状況でした。今回の四半期レポートでは、COVID-19や、ライフスタイル、ワークスタイルおよび脅威ランドスケープの変化に起因する��威に重点を置くことにしました。

脅威テレメトリ* のセクションでは、四半期で最も深刻だった脆弱性とビジネスサービスに対する認証の悪用について深掘りします。この四半期では、エンタープライズアプリケーションが脆弱であり攻撃に晒されています。リモートアクセス技術からMicrosoft Exchangeや、VMWare vCenterに至るまで、クリティカルなアプリケーションにパッチが適用されておらず攻撃者の標的になっています。Rapid7のMDRサービスのインシデント対応チームでは、外部公開されている脆弱性へのエクスプロイトに絡んだインシデント対応を9回実施しました。

検知テレメトリ* のセクションでは、スピアフィッシングと認証情報の窃取の影響について深掘りします。この四半期において、単一サードパーティのデータ侵害による漏洩が、80のMDRカスタマー、および286の認証情報に影響を与えました。これは、ビジネス上、認証情報を認められた方法で使用するようにユーザー教育を行う必要性があることを示しています。MDRサービスのSOCで報告されたマルウェア脅威の55%が従来の脅威防止ソフトウェアで検知することができませんでした。脅威に対する可視性を高めるためのセキュリティーチームが欠如しており、組織は、ユーザー行動の異常、攻撃行動の検知、プロセス動作の異常と次世代の脅威保護のテクノロジーとセキュリティアナリストのトレーニングに投資を行う必要があります。

推奨事項のセクションでは、ホームネットワークにおけるリモートアセットの安全性を確保するためのベストプラクティスと、景気低迷に備えた企業のセキュリティプログラムについて深掘りします。ビジネスユーザーは、自宅のネットワークとデバイスが脅威の元とならないよう、古いバージョンのファームウエアや既に感染していないかなど注意を払う必要があります。企業のセキュリティチームには、リモートエンドポイントに対して脅威の監視と修復が可能となるツールが必要です。レイオフや予算削減の要請に直面した際に、どのようにセキュリティプログラムを存続させていくか、セキュリティの責任者が戦略の立案を開始する時期かも知れません。

注記事項:*テレメトリとは、一般的に、観察された行動または観察された条件を指します。本レポートでは、直接的に測定/観察された結果をテレメトリと表現しています。脅威テレメトリとは、攻撃面の観点から配慮すべき潜在的な脅威です。本レポートの内容は、大部分が、Project HeisenbergとLabチームが実施した調査結果です。また、検知テレメトリとは、お客様の環境において発生した脅威とセキュリティ侵害です。本レポートの内容は、MDRサービスのデータによる調査結果です。       

脅威テレメトリ

Rapid7では、現在、緊急対応チームが、今までになく長時間の残業をしています。新たな脅威や脆弱性の評価、コンテンツの作成、お客様やコミュニティへの通知の配信を行うのが緊急対応チームの役目です。この第一四半期では、毎週のように企業に深刻な脆弱性が問題となる日々が続きました。この四半期レポートでは、最も影響力のあるものにのみに絞り込んで説明します。

攻撃対象となったリモートアクセス

Rapid7では、1月にCitrix NetScalerのリモートコード実行の弱点に対してガイダンスを提供しました。それ以降、毎月、3月までインターネット上でこの脆弱性に対するスキャンを継続してきました。主に脆弱性の標的が隔離されたなどの理由があって、4月には脆弱性スキャンがありませんでしたが、最も重要なのは、現在、かなりの数の脆弱性の標的が存在していることです。

脆弱性が攻撃者にとってどの程度、標的として魅力的なのか情報を共有できるAttackerKB.comのコミュニティは非常に有用な情報源です。このコミュニティにおいて、この脆弱性は、攻撃者にとってどの程度価値があり、どの程度悪用の可能性があるかという両面において、最高評価となる「5」が付けられています。

リモートアクセスについては、他にも Pulse Secure、Fortinet、Cisco、Pao Altoが標的となっています。

Pulse Secure

  • AttackerKB.comで、任意のファイル読み取りの脆弱性の評価が2件挙げられています。攻撃者にとっての価値と悪用の可能性の両面で「非常に高い」という評価が付けられています。
  • AttackerKB.comで、任意のコマンド実行の脆弱性の評価が1件挙げられています。攻撃者にとっての価値に関しては「低い」、一方で、悪用の可能性に関して「非常に高い」という評価が付けられています。

Fortinet

  • AttackerKB.comで、任意のファイル読み取りの脆弱性が1件挙げられています。攻撃者にとっての価値と悪用の可能性の両面で「非常に高い」という評価が付けられています。
  • AttackerKB.comで、認証されていないユーザーパスワードの変更の脆弱性1件挙げられています。攻撃者にとっての価値と悪用の可能性の両面において「中程度」という評価が付けられています。
  • AttackerKB.comで、認証されていないWebサービスDoSの脆弱性が1件挙げられています。攻撃者にとっての価値と悪用の可能性の両面で「低い」という評価が付けられています。

Cisco

  • AttackerKB.comで、任意のファイルの読み取りと削除の脆弱性が1件挙げられています。攻撃者にとっての価値に関して「中程度」、一方で悪用の可能性に関しては「非常に高い」という評価が付けられています。
  • AttackerKB.comで、メモリコンテンツの漏洩の脆弱性が1件挙げられています。攻撃者にとっての価値に関して「非常に高い」と、悪用の可能性に関して「高い」の評価が付けられています。

Palo Alto には、認証されていないリモートコード実行の脆弱性があります。(AttackerKB.com!で是非、最初の評価者になってはいかがでしょう)

本レポートの「検知テレメトリ」のセクションで詳しく説明しますが、MDRサービスのインシデント対応チームが、NetScalerの問題の悪用による9つのセキュリティ侵害について調査を実施しました。攻撃者はこれらの脆弱性を積極的に悪用しています。

Microsoft Exchange Outlook Web Application (OWA)

Microsoftは、2月11日にMicrosoft Exchange(CVE-2020-0688)のセキィリティ更新をリリースしました。これは、窃取されたExchange Serverのユーザーアカウントでシステムを完全に侵害できるものです。本レポートの「検知テレメトリ」のセクションで認証情報の悪用について説明している内容も加味すると、この脆弱性に対して、迅速にパッチを当てる必要があることが理解できます。幾つかのパッチを当てたサーバーを確認しましたが、実際のところデータでは更に複数脆弱なサーバーが存在することが分かりました。

調査結果の要約は以下の通りです。

  • インターネット上で35万台以上の脆弱性のあるMicrosoft Exchangeが見つかっています
  • これは調査対象の約46万2千台の約82%に相当します
  • 既に侵害を裏付けるログアーティファクトを入手しています
  • 本レポートの作成途上の3月から4月末にかけて7千台にパッチが当てられました

Rapid7のl findings, ブログ(英語)に調査結果の全貌を掲載しています。

 

まるで本レポートの執筆者の一人が作ったハロウィーンの衣装のよう見るからにとても恐ろしい脆弱性です。電子メールでやり取りされる機密データ、ソーシャルエンジニアリングで攻撃者が容易に取得する有効な認証情報、エグゼクティブのメールボックスへのアクセス権限で生じる多大な影響を考え合わせると、これは全てに優先して今すぐパッチを当てるべき危険なものです。

さらに、この脆弱性に関してAttackerKB.comのコミュニティには、攻撃者にとっての価値に関して「高い」と「非常に高い」の間、悪用の可能性に関して「高い」という評価が付けられた 9つもの評価結果 が掲載されています。

図1. Sonarによるスキャンで判明したExchange Serverの脆弱性の状況変化

VMWare vCenter

通常、脅威レポートでは、余程重大な脅威がない限り脆弱性について説明することはありません。しかし、次の脆弱性は例外的に、攻撃面というものは、外部から攻撃者に対してどう見えるかだけではなく、内部の悪意のある者からどう見るか、でもあることを改めて認識させられる内容です。VMWareは、2020年4月9日に、顧客に対して「vmdir」ディレクトリサービスの脆弱性情報を通知しました。4月に技術的な開示がされた内容ですが、Rapid7 Labsのチームは、第一四半期にこの問題を概要に追記していました。これは問題が単なる情報開示レベルではなく、インターネットにおける「vmdir」の存在が非常に深刻であるように見受けられたからです。

vCenterユーザーにとって残念なことに、この脆弱性により、認証されていないネットワークアクセスを持つユーザーが、vCenterで任意のユーザーを作成できるようになり、vCenter環境と内の仮想マシンへの完全な不正アクセスが可能になります。これは、フラットアクセスまたはオープンアクセスの内部ネットワークの配下にあるvCenterのすべてのインスタンスも、フィッシング攻撃の成功から初期アクセスを取得した攻撃者、もしくは不正を働こうとする可能性のある内部の信頼されたユーザーのリスクに晒されていることを意味します。

結果として、AttackerKB.comのコミュニティでは、この脆弱性について、攻撃者にとっての価値と悪用の可能性の両面で非常に高い「5」の評価が付けられています。

図2. 全世界の1,700台弱のvCenter 6.7.0の分布

テレメトリデータにはインターネットに公開された約1,700のインスタンスしか表示されていません。しかし、この脆弱性は、vCenter内のデータまたはコンピューターリソースにアクセスしたい攻撃者や不正ユーザーにとって最適です。

インターネットに公開している900台のvCenterの内の1台をもし保有しているのであれば、是非修正してください。vCenterを使用している他のすべてのユーザーは、パッチの適用に加えて、承認されたアドレスまたはネットワークからのみvCenterへのアクセスを許可するようにネットワークベースの制御を検討してください。

重要なポイント

昨今の非常に困難な状況下で、リモートアクセス、電子メール、仮想化はすべて、もはや対象外として扱うべきではない重要なサービスです。Rapid7 Labのチームでは、あらゆる業態と規模の組織と定期的に連絡を取り合っています。その中で、一部の組織で「効率的な運用」が行われていることに気付かされました。つまり、問題が発生した場合に、人が歩いて行って大きな赤いon/offボタン(緊急停止ボタン)を押せば良いというものではないので、これは、システムに対して余裕ある管理と変更に対する制限を行っているということをうまく言い表した表現です。重大な脆弱性は、十分な配慮をもって扱う必要があります。

  • インターネットに接続されたアプリケーションとそのコンポーネントについて、すべてのベンダーのセキュリティ通知を有効にしましょう。
  • 対策としてリモートアクセスとコラボレーションサービスにパッチを当てましょう。
  • CISA(米国🇺🇸)、NCSC(ドイツ🇬🇧)、CCS(カナダ🇨🇦)、ACSC (オーストラリア🇦🇺)、NCSC(ニュージーランド🇳🇿)、その他の国単位のサイバーセキュリティの当局の警告を常にモニタリングしましょう。
  • インターネットに接続されたすべてのシステムに対する監視を強化しましょう。とりわけリモートアクセスソリューションです。そして、早急に既知の弱点に対して��減策をとりましょう。
  • 多くの組織が平常時でさえタイムリーなパッチの適用に対して課題を抱えています。しかし、攻撃者は、インターネットに接続されたシステムにパッチが当てられていないことを知っています。他のIT運用業務を後回しにしてでも、攻撃対象になる可能性が高く重要なコンポーネントは、必ず安全な設定に保っておくようにしましょう。

検知テレメトリ

  • この四半期では、「ユーザーへの脅威」、「認証情報への影響」、「エンドポイントへの影響」の3つの視点で調査しました。前回の脅威レポートから今回のレポートまでの間で、データ収集の方法とテクノロジーを改良することで、脅威と影響をよりよく理解するのに役立つ新しいコンテキストソースを活用することができるようになりました。

データについて、まず非常に広範囲な分析から開始して、金融業(Financial)、サービス業(Professional)、製造業(Manufacturing)が上位の標的であることが判明しました。攻撃者にとって、エンドユーザーが一番の標的となっており、Rapid7 MDRサービスのレポートでは、96%がエンドユーザーの悪用であり、そのうち74%が認証情報の悪用であることが特定されています。51%が認証情報に関連しないマルウェアによる悪用であると特定されています。マルウェアの上位に挙がっているのは、ursnif、 Emotet,、Cryxos,、Trickbot、Rontobroです。以下のパーセンテージは、マルウェアに関連するインシデントの割合です。

通常、四半期ごとの脅威レポートではデータ侵害の開示に関連するアラートを除外していますが、ほとんどの組織でリモート作業への急速な移行の結果として、ユーザーアカウントのターゲティングが増加していることがわかりました。

 Malware Family % of Incidents
 ursnif 25.0%
 Emotet 15.0%
 Cryxos 7.9%
 TrickBot 6.4%
 Rontobro 2.1%

多くの組織で急速にテレワークに移行していることでユーザーアカウントを標的としたものが増加したことが判明しています。

図3. 業界別の分析

攻撃者にとっての魅力度とデータへのアクセス性が原因で、金融業サービス業、製造業、小売業が継続して上位の攻撃者の標的となっていることが判明しています。第一四半期では、残念ながら、医療業界が明確な標的として増加しました。

MDRサービスのお客様においては、以下の17のセキュリティ侵害が発生しました。

  • 3件が重度の深刻度と影響度に分類されました
  • 7件が中度の深刻度と影響度に分類されました
  • 6件が低度の深刻度と影響度に分類されました
  • 1件がペンテスターによるものでした
  • 9件が外部公開されている脆弱性に起因していました
  • 2件がクラウド型のビジネス用の電子メールの侵害であり情報漏洩を誘発しました
  • 2件がドメインコントローラーの悪用を誘発しました
  • 1件がランサムウェアを誘発.しました
  • 4件が感染対象外の影響のなかったマルウェアでした
  • 2件以外第一四半期の全ての調査結果が、無人化や自動化された攻撃ではなく、キーボード入力による攻撃でした

これだけ多くのインシデントが外部公開された脆弱性によって引き起こされているのは比較的稀なことです。

これは異常な状況です。これだけ多くのインシデントが外部公開された脆弱性によって引き起こされているのは比較的稀なことです。Rapid7としては、第1四半期のいくつかの脆弱性の重大性と影響力が原因となっているものと考えています。いずれにせよ、とりわけ基幹系システムやインフラについて、重要なパッチは必ず評価を行い、迅速にパッチを当てておくようにしておくことの重要性を浮き彫りにしています。

ユーザーへの脅威と認証情報への影響

MDRサービスのお客様のインシデントの96%が認証情報の摂取に関連しています。認証情報の摂取により影響を受けている上位の業界は、金融業(Finance)が19%、サービス業(Professional)が17%、医療業界(Healthcare)が9%です。攻撃面の管理で忘れられがちなのが、攻撃の兆候を知るために、組織が所有するか、もしくは組織を記述しているデータについて、犯罪者のためのデジタル市場を監視することです。Rapid7のMDRサービスなら、窃取されたユーザー認証情報を監視することができます。第一四半期では、MyHeritage.com(MyHeritage は家系図作成・検索サイト。2018年6月に9200万件のアカウント情報の漏洩を公表)の危殆化に関連するアカウント(合計286アカウント)が、80組織に通知されるケースがありました。

現在では、ビジネスに関連しないセキュリティ侵害によるデータ漏洩におけるビジネス用の認証情報の漏洩は、多要素認証(MFA)により軽減が可能です。しかしながら、参加する機会があった多くのセキュリティトレーニングが、ビジネス用途の認証情報の適切な使用方法を対象としており、パスワードの再利用を禁止しています。しかし、かなりの割合のビジネスユーザーが実際には再利用不可のルールに違反している事例があることを知っています。このデータは、これらの逸話を証明しています。Rapid7では、攻撃者にとって(アクセスできる)データの価値がどの程度なのかユーザーが理解できるよう支援すべきとだと提唱して来ました。ユーザー教育が必要です。次の図は、53%のケースで、Rapid7のMDRチームが多くの脅威に対する効果的な防止策としてユーザー教育を推奨していることを示しています。

図4. 2020年第1四半期の推奨事項、優先順位および対応レベル

スピアフィッシングに注意を払い、セキュリティ侵害によるデータ漏洩のデータを除外したところ、フィッシング攻撃が49件成功していることが明らかになりました。そのうち41%には、有効な認証情報の窃取を目的として、クラウドと企業の認証ページになりすましのリンクがありました。攻撃対象となる業界の上位は、金融業(Finance)が22%、小売業(Retail)が14%、製造業が10%です。影響度については、53%が認証情報の侵害、30%がマルウェア、16%がシステムレベルの侵害で、その内2件はエクスプロイトキットに関連しています。

Rapid7は、Cyber Threat Allianceにおけるパートナーと共に、COVID-19に対する恐怖の悪用と社会とビジネスがどのように反応したかについて両者を加味したデータセットでいくつかの攻撃キャンペーンを追跡しました。

従来のビジネスアプリケーションからSaaS活用へ移行が起きている中で、スピアフィッシングの動機も変化して来ています。また、Rapid7は、Cyber Threat Allianceにおけるパートナーと共に、COVID-19に対する恐怖の悪用と社会とビジネスがどのように反応したかについて、両者を加味したデータセットでいくつかの攻撃キャンペーンを追跡しました。2月には、COVID-19の治療方法や、世界保健機関からの公式通知のなりすまし、政府からの経済救済と景気刺激策の通知のなりすまし、職場調査や事業継続性の通知のなりすましなど、いくつかの詐欺手法を使用したHEUR.ADVMLC.Cマルウェア拡散のキャンペーンがありました。3月には、イタリアとイタリア政府の対応を標的としたCOVID-19を題材に使ったTrickbotマルウェアキャンペーンが明らかになりました。

過去の重要なイベントでも観察されたように、攻撃者は、ユーザーを誘惑してフィッシング攻撃の犠牲者にするべく姿勢を低くして節操なく忍び寄ります。さらに、単純におとりを表示させたり消したりすることができるので、積極的に防御することは不可能です。スピアフィッシングに対抗するための技術的な手段を諦めるべきではありませんが、ビジネスコミュニケーションに関するユーザー教育と期待値の設定こそが最も効果的なツールです

攻撃者がCOVID-19関連のフィッシング攻撃をいかに迅速かつ猛烈に活用しようとしたか、さらに詳しく説明するために、次のグラフでは、2020年の最初の4か月間のCOVID-19をテーマにしたドメイン登録数を示しています。これは、世界的なパンデミックが欧州にまず広がり次に米国に広がった後にグローバルに波及したのと時期が重なっています。

図5. COVID-19関連のドメイン登録数の推移

 

戦術面では、脅威インテリジェンスアライアンスが、COVID-19関連の脅威に対して脅威インジケーターフィードを無料で提供しているので、すべての組織が脅威検知テクノロジーを実装しておくことお勧めします。

エンドポイントに対する脅威

エンドポイントに関しては、MDRサービスの98件の脅威調査レポートでマルウェアの存在が特定されました。その45%が、既知のセキュリティ侵害インジケーター(IoCs)によるものでした。14%が初回アクセスのフィッシングで、13%が複数のマルウェアファミリーをロード可能なマルチステージドロッパーでした。そして、2件はエクスプロイトキットでした。

この意味をきちんと理解するために、MDR SOCでは、通常、ネットワークとエンドポイントの脅威防止テクノロジーが見逃した(または脅威防止テクノロジーが可視性を持っていなかった)脅威を検知しています。防御層があったとしても、既知の脅威の45%が通過しています。さらに悪いことに、55%ものマルウェア脅威が、セキュリティ侵害インジケーターでは検知できませんでした。この未知の脅威メトリックスの存在は、脅威を検知するためには、複数の方法論が必要だということを如実に物語っています。

未知のマルウェアデータセットの中で、上位3つのMITER ATT&CK™テクニックが、Masquerading(24%)PowerShell/Scripting (22%)、User Execution (14%)であることが判明しました。このデータを調査するために、脅威の特定に効果がある検知において以下の3つの主要なカテゴリーが存在することが明らかになりました。

  • PowerShell:exeコマンドラインオプションを、隠しウィンドウ実行、文字列の連結、文字の難読化などの既知の攻撃者の手法と照合します。
  • Scripting (PowerShell以外l):既知のスクリプトインタープリターの子プロセス、アーカイブ内からファイルを実行するスクリプトインタープリター、HKCUレジストリキーから読み取るスクリプトインタープリターを評価します。
  • Attacker commands:コマンドラインを介したIPアドレス、コマンドラインを介したRegSvr32の使用、コマンドラインを介したexeの使用、コマンドラインを介したファイルへのDNS / IP構成ルックアップ出力、コマンドラインを介したスケジュールタスク、コマンドラインを介したcmstp.exeがあるかどうか調査します。

図6. 業界別のMITRE ATT&CK™戦術によるアラート数

 

一歩下がって、MITRE ATT&CKの分類に焦点を当てると、「初期アクセス」と「実行」で検知がわずかにシフトレフトしていることがわかります。金融業、サービス業、不動産業では、攻撃ライフサイクルの最初の2つのフェーズで、侵害の90%以上が検知されています。

最後に、COVID-19関連のフィッシング攻撃を日和見的に使用する攻撃者以外は脅威の状況に大きな変化はありませんでした。Google AppsやMicrosoft 365などの主要なメールハンドラーが非常に優れたものになっているため、これらは徐々に減少し始めています。正当なCOVID-19の通知とスパムまたは悪意のあるメッセージを見分ける方法を周知徹底すべきでしょう。

重要なポイント

  1. ユーザーアカウントを標的とした攻撃が増加し、結果として第三者からの通知に起因したビジネス用の認証情報の漏洩が確認されています。これに対して、組織は、内部ネットワーク、クラウドベースのサービス、機密性の高いビジネスアプリケーション、機密性の高いデータストアへのアクセスのために、多要素認証への投資を優先することをお勧めします。さらに、エンドユーザーの教育も変える必要があると考えています。年次のコンプライアンストレーニングは、この目的を達成していません。積極的に実施したスピアフィッシングテストは、うまく機能していません。恐ろしく巧妙に捏造されたズーム爆弾のフィッシング対策のために、強烈なメッセージを送っているにかかわらず効果が発揮できていません。組織のコアバリュー、組織の理念、モットー、信条に加えて、組織の文化として、自組織や、顧客、パートナーによるデータ漏洩によるダメージからの保護をもっと徹底するべきです。ビジネスとビジネスに関係のないハードウェア、資格情報、データを別々の目的で保持することも保護の一環です。
  2. Rapid7のMDRチームとIRチームは、重要なアセットの外部公開されている脆弱性が原因で発生した9つのセキュリティ侵害について調査しました。これは、以前の四半期よりもはるかに増加しています。これは主に2020年の第一四半期の脆弱性の深刻度と影響度に起因しています。これは、つまり変更管理の例外処理と、一般向けの重大な脆弱性へのパッチを適用に関する厳密なSLAの定義が、脆弱性管理プログラムにとって重要であることを示しています。
  3. Rapid7とCyber Threat Allianceのパートナーでは、COVID-19に対する恐怖を悪用し、政府や企業のさまざまな通知になりすますことを目的とした多数のスピアフィッシングキャンペーンを見てきました。 COVID-19や現在の状況の特有なものである訳ではありませんが、攻撃者はしばしば重要なイベントを狙ってフィッシング攻撃の題材を設定して来ます。これは、セキュリティチームが脅威の状況を予防的に監視し、攻撃者がどのようにして被害者を狙っているかを組織に定期的に通知する必要性を浮き彫りにしています。さらに、組織は、重要な事業継続性と企業全体のコミュニケーションを成立させるために、いくつかの定義されたプロセスと手段を確立させることで、社員が即座に、洗練されたフィルターを回避する不審メールと正当なビジネスコミュニケーションとの区別をできるようにする必要があります。
  4. 従来のウイルス対策ソフトウェアは、Rapid7MDRサービスによって報告されたマルウェアの脅威のわずか45%のみを検知することが可能でした。エンドポイントに対する幅広い脅威を検知するには、次世代AV(アンチウィルス)、ユーザー行動分析(UBA)攻撃者行動分析(ABA)、プロセス行動分析など、いくつかの追加レイヤーが必要となります。

推奨事項

MDRレポートにおける修復と軽減に関する統計については大きな変化がありませんでした。しかし効果的かつ迅速な脅威対応の重要性を裏付けるために、2020年脅威レポートで根拠を得たいと考えました。お客様のセキュリティチームにおいて、図7にあるような修復作業を迅速に実行するための準備ができていないとなると、組織に対するセキュリティ侵害の影響は確実に増大します。

図7:2020年第1四半期のMITER ATT&CKと推奨事項

テレワークの従業員のビジネスへの影響に焦点を当てるというテーマに沿って、この四半期では、従来のエンタープライズ環境の外側にあるエンドポイントの攻撃面の管理と検知と対応に関する推奨事項を説明します。

最初に、Rapid7ブログの専門家の意見の一部について確認しておきます。リモートワークの従業員数を増加させる際に、企業が検討すべき内容について説明します。ブロガーであるDarragh Delaney氏は、慌ててネットワークの設定を変更する際の課題と落とし穴に加えて、可視性を維持する方法について自身のブログで説明しています。外部公開されたシステムの監視と分析、ネットワーク設定の変更の制御と検証、SIEM/ログ、およびネットワークトラフィック分析は、セキュリティチームが脅威に対する防御を展開するために必要となる主要な機能とテレメトリーです。

脅威の問題とは関係なく、多くの組織やセキュリティチームは、世界規模のフィジカルディスタンスに対する取り組みで生じる経済停滞の影響について理解しています。Scott King氏は自身の投稿で、組織のセキュリティポスチャに対する対応と変化に対する回復力を強化するための短期、中期の取り組みに焦点を当てて、セキュリティ分野の上層部が取り組むべきいくつかの領域を挙げています。同氏はさらに、顧客、パートナー、および同僚を保護する上でユーザーを教育するのに役立つ、セキュリティ意識とエンタープライズセキュリティコミュニケーションに関するガイダンスを提供しています。

さらに、Tod Beardsley氏は、デフォルトパスワードの変更、効果的な暗号化、ネットワーク上のIoTデバイスの処理方法など、同僚が自宅のWi-Fi環境を保護するためのガイダンスを提供しています。自宅勤務命令が多くの地域で拡大しているため、セキュリティプログラムでは、新たな作業習慣に対応するために教育プログラムを進化させる必要があります。

今回の調査で浮かび上がって来た傾向を振り返ってみると、投資に値するいくつかのテーマが浮かび上がってきます。

脆弱性管理プログラムの効果の測定

  • パッチを当てることのみに集中するのではなく、インターネットに直接接続されているアセットの重大な脆弱性にパッチを適用するのにかかる時間を測定することをお勧めします。外部公開までの経過時間が24時間未満の場合は、そのことを経営陣に報告する測定目標として設定します。

資産とIDの管理、データの分類、認証、承認をレベルアップ

  • 多くの場合、重要なデータがどこにあるか(データの分類と資産管理)、誰がデータにアクセスできるか(承認)、どのようにアクセスするか(資産管理と認証)を理解するためのツールがすでに用意されています。この投資により、既存の投資を最大化し、将来の投資をより適切に調整して、重要なデータを最適に保護できます。

エンドポイントのセキュリティと設定と管理は、現在、あらゆるセキュリティプログラムの必須要件です

  • エンドポイントエージェントは、セキュリティプログラムではオプションではなくなりました。労働力、職場、およびエンタープライズテクノロジーエコシステムは完全に分散化されています。脅威に対して効果的であるためには、セキュリティプログラムがいつでも任意のエンドポイントに到達できる必要があります。エンドポイントエージェントには、主要なシステムイベントを記録するEDR機能、リアルタイムの調査データ取得、行動に基づく次世代のAVターミネーション脅威、アクティブな脅威の防止、オンデマンドの緩和および修復機能が必要です。

エンドユーザー教育は変化しなければならない

  • エンドユーザー教育は、セキュリティプログラムの投資の上位3分野、つまり理想的には上位1分野である必要があります。エンドユーザーのセキュリティ教育にかかる費用は、テクノロジのコスト、人員、および違反に関連するコストと比べるとわずかです。しかし、私たちが浮き彫りにして来たほとんどすべてのセキュリティプログラム(およびその従業員)は、教育を面倒な確認事項だとしか扱っていません。確認事項について教育するということは、実際に脅威が生じた場合の意思決定について確認事項を用意しておくことになります。
  •  

確認事項について教育するということは、実際に脅威が生じた場合の意思決定について確認事項を用意しておくということになります。

付録ATT&CK

他の組織が自社のインシデントの傾向と比較したり、他のベンダーのレポートと比較したりできるように、2020第一四半期にMDRサービスで扱ったインシデントのコーパスを作成しました。最初の図では、完全なMITER ATT&CKマップの中に、インシデントの検知に用いられた戦術の種類別の頻度を示しています。また、その次の図では、ATT&CKマップの中に、全体として用いられた戦術の種類別の頻度を示しています。

ATT&CKマッピングの詳細についてはresearch@rapid7.comまでお問い合わせください。

図8:2020年第1四半期のRapid7 MDRサービスにおけるインシデントATT&CKマップ

図9:2020年第1四半期のRapid7 MDRサービスにおけるインシデントATT&CKマップ

 

Rapid7について

Rapid7は、Rapid7 Insight Cloudによって、Visibility - 可視化、Analytics - 分析、Automation - 自動化をもたらし、企業のサイバーセキュリティのさらなる向上を実現します。ラピッドセブンのソリューションなら、複雑なタスクがシンプルになり、セキュリティ部門がより効率的にIT部門や開発部門と共に、脆弱性を減らし、悪意ある行動を監視し、攻撃を調査し遮断し、ルーチン業務を自動化することが可能になります。全世界で、7,900社のお客様がラピッドセブンのテクノロジー、サービス、リサーチを活用することで、セキュリティを向上させています。詳しい情報は、ホームページをご覧ください。