Solar JSOC分析:ロシア企業の攻撃方法

Solar JSOC Center for Monitoring and Responding to Cyber​​ Threatsは、顧客の情報セキュリティインシデントに関する匿名化された統計に基づいて作成された2017年前半のサイバー脅威の研究を公開しました。 結果の分析は、誰が、どのように、いつ、どのベクトルとチャネルを使用してロシア最大の企業を攻撃するかという質問に答えます。 このレポートは、現在の脅威の状況と主な傾向についてITおよび情報セキュリティサービスに通知することを目的としています。



2017年前半のISイベントの平均フローは1日あたり61億5600万件で、そのうち約950件がインシデントの疑いのあるイベント(半年間で172 477件)でした。 これは2016年上半期よりも約28%増加しています。 重大なインシデントの割合は17.2%でした。 したがって、2016年に9番目のインシデントがすべて重大だった場合、 6番目ごとのインシデントが重大になります。 このようなダイナミクスは、組織に対する大規模で標的を絞った攻撃の強度の一般的な増加に関連していると想定されています。







彼らはいつ攻撃しますか?



インシデントの総数を考慮すると、夜間に発生したケースの12.5%のみです。







ただし、重大なインシデントがインシデントの総量から特定された場合、このインジケーターは29.4%、つまりすべてのケースのほぼ3分の1に上昇します。







重大なインシデントが外部の攻撃者のアクションによって引き起こされた場合、 半分のケース(44.6%)で夜間に発生しました。







外部から攻撃する方法は?



サイバー犯罪者の主なツールは、Webアプリケーションに対する攻撃(34.2%)、外部クライアントサービスの資格情報の侵害(23.6%)、マルウェア(19.2%)のままでした。







それとは別に、このレポートは、キルチェーン-インフラストラクチャへの侵入と会社の主要なリソースの侵害を目的とした連続したサイバー犯罪者のチェーンの一部であるインシデントの増加に注目しています。



2017年上半期、Solar JSOCアナリストは、ほとんどの場合(ケースの87%で)次の攻撃モデルに遭遇しました。会社のネットワークへの最初の侵入フェーズ(統計については7ページを参照)の後、最も脆弱なインフラストラクチャサーバーを特定しよう中間ツールとしてのネットワークスキャン)。 このような脆弱なノードとして、更新されていないバージョンのオペレーティングシステムを搭載したサーバーが動作する可能性があります。 攻撃者はできるだけ早くサーバーの制御を奪い、特権ネットワークアカウント(テクノロジーアカウント、IT管理者の記録)にアクセスし、そこから多数のインフラストラクチャオブジェクトに密かにアクセスできるようにします。



ケースの13%で、会社に入るための最初のステップは、Webアプリケーション(オンラインバンクなど)への攻撃で、25%で-システムの制御プロトコル(2014年9月以来知られているShellshock脆弱性の悪用を含む)、 62%で -電子メールの添付ファイルまたはフィッシングリンクを通じて組織にマルウェアを導入します。







ただし、これらまたは攻撃の開発のこれらの段階は、実装がさらに簡単になることがよくあります。たとえば、特権アカウントからのパスワードは、ファイルサーバー上またはオープン形式のシステム管理スクリプトの構成内にあります。 技術的なアカウントからのパスワードがドメインコントローラーレベルでUZ自体へのコメント(マーク)に登録され、組織全体が読み取り可能な場合がよくあります。これにより、攻撃者がパスワードにアクセスするタスクが簡単になります。



興味深い観察:





内部からの攻撃方法は?



内部攻撃者のアクションに関連するインシデントは、大幅な変更を受けていません。 43.4%の場合、これは情報漏洩であり、23.5%は内部アカウントの侵害であり、10%未満はハッキングツール、リモート管理ツールなどの使用によるものです。







興味深い観察:





最も「人気のある」リークチャネルの分析によると、ほとんどの場合、会社の従業員はこの目的のために電子メール(31.7%)、Webリソース(27.2%)、およびリムーバブルメディア(18.6%)を使用しています。







自分を守る方法は?



技術的手段



調査されたイベントの約67%は、ITインフラストラクチャと基本的なセキュリティの基本サービスを使用して記録されました:ファイアウォールとネットワーク機器、VPNゲートウェイ、ドメインコントローラー、メールサーバー、基本的なセキュリティツール(ウイルス対策、プロキシ、侵入検知システム) 。 これは、基本的なセキュリティ機能でさえも完全な操作と高品質の構成により、組織の情報セキュリティのレベルを大幅に高めることができることを示唆しています。



同時に、ビジネスシステムイベントの保護または分析の高度な知的手段の助けを借りて検出された残りのインシデント(33.1%)が、企業の情報と経済的セキュリティにとって重要な情報をはるかに多く運ぶことに注意する価値があります。 これにより、企業のセキュリティの状況をより深く、より完全に把握し、重要な標的型攻撃をタイムリーに防ぐことができます。



脅威インテリジェンス



Solar JSOCで使用される脅威インテリジェンスソースは、次のカテゴリに分類できます。









ご覧のとおり、TIに関する無料の情報ソースを適切に使用することで、企業のセキュリティと大量攻撃に対する抵抗力を高めることができます。 ただし、インシデントの少なくとも半分は、有料の商用サブスクリプションの助けを借りてのみ検出されます。



All Articles