カジノサイト
ハッカーによる「侵入テスト」: 何を信じるべきか
Babak ランサムウェアギャングの攻撃者が 2021 年にアンダーグラウンド フォーラムで活動の開始を発表したとき、彼らは自分たちのサービスを「企業ネットワーク内のセキュリティ問題を示す」ための特別なソフトウェアとして宣伝しました。
として(RAAS) 風景は爆発した過去 3 年間で、Babak ギャングと同様の立場をとるグループがますます増え、自分たちを「侵入テスター」に仕立て上げ、身代金要求を支払えば包括的なセキュリティ報告書を被害者に約束しました。しかし、身代金の支払いを怠った場合、脆弱性が一般に公開されることになり、事実上、企業は広範囲に攻撃にさらされることになります。
これらの攻撃者はセキュリティ上の欠陥を暴露するという利他的な目的を主張していますが、これらのグループの最終的な動機は身代金の要求から支払いを確保することです。実際には、これは利他的なものではなく、被害者に支払いを促す薄いベールに包まれた方法です。
クロールのインシデント対応とダークウェブ監視調査を通じて、私たちは公開および非公開の両方で、そのようなセキュリティ報告を多数観察しました。レポートは、「パスワードを推測しました」などの 1 行メールで応答する攻撃者から、Marketo マーケットの運営者の場合のように複数の基準でネットワークを分析するより詳細な分析まで多岐にわたります (図 1 を参照)。
別のケースでは、攻撃者がセキュリティ レポートを約束したにもかかわらず提出されず、会社の財務が悪化し、ネットワークの脆弱性がオンラインで公開されようとしているのではないかと疑問に思っています。したがって、脆弱性レポートを入手するために脅威アクターと関わることは避けることをお勧めします。
代わりに、企業は組織内またはサードパーティを通じて、サイバーセキュリティのこの分野の専門家と協力する必要があります。 2 つの重要なことを行う必要があります。1 つは、現在の脅威アクターの状況に対応し、管理され、潜在的な損害を軽減する方法です。次に、法的範囲内で完全かつ透明性のある評価を実施できる正規のプロバイダーによる侵入テストをお勧めします。
そうは言っても、脅威アクターがどのような一般的な脆弱性に注目しているかを理解するのは興味深いことです。複数のレポートで特定した主なテーマには、パスワードの衛生管理、フィッシングメールの受けやすさ、従来のアプリケーションの脆弱性などが含まれます。
パスワードの衛生管理
クロールが観察したサンプル セキュリティ レポートで最も言及されている攻撃ベクトルの 1 つは、パスワードの脆弱性、特に本質的に弱いパスワードや簡単に解読されるパスワードです。
たとえば、あるレポートでは、ドメイン管理者アカウントが「password1234」という複雑さレベルのパスワードで保護されていると記載されています。さらに悪いことに、攻撃者は、次のようなことがよくあると指摘しています。パスワードが再利用されました複数の異なるアカウントにわたって。他の例では、ブラウザに保存されたパスワードにより、脅威アクターが仮想アプリケーションと物理アプリケーション間を横方向に移動することが容易になりました。
フィッシングメールの影響を受けやすい
よく知られているように、従業員がフィッシング攻撃を受けやすいかどうかは、ネットワーク内に足がかりを得ることができる脅威の数に大きな影響を与えます。クロールはセキュリティ レポートを観察しており、これを取り上げています。
一部の攻撃者は、ファイルが PC に害を及ぼさないと確信するまでは、不明な送信元からの添付ファイルが含まれる電子メールを開かないように従業員と話し合うよう奨励しています。他の例では、不審な電子メールを開いた従業員は「金銭で罰せられる」べきであると提案されており、おそらく組織がエンドユーザーに罰金を課すことを示唆しています。攻撃者らはまた、メールの添付ファイルにウイルスがないかチェックする高品質のスパム対策保護が、フィッシングメールによる被害を軽減するのに大いに役立つだろうとも示唆しました。
レガシー アプリケーションの脆弱性
多くの報告書では、攻撃者が「公開脆弱性」を利用してネットワークにアクセスしたと指摘しています。たとえば、Log4j エクスプロイトまたは仮想プライベート ネットワーク (VPN) の脆弱性。セキュリティ基準の観点からアップデートを必要とするオペレーティング システム (OS) についても言及されています。
他に言及されたセキュリティ上の欠陥には、多要素認証の欠如、または IMAP を介した多要素認証をバイパスする機能、依然としてアクティブまたはインターネットに公開されているレガシー ソース コードまたはアプリケーション、不十分なネットワーク セグメンテーションが含まれます。興味深いことに、複数のレポートで、エンドポイント検出および応答 (EDR) または侵入検知システム (IDS) を備えたネットワークが侵入が最も困難であると述べられています。
これらの方法を使用するサイバー犯罪者による侵害を回避するために、組織が使用できる軽減戦略は数多くあります。
たとえば、文字、数字、特殊文字の組み合わせを含む、ユニークで複雑なパスワードのルールを含むパスワード ポリシーを維持および適用します。パスワードの再利用の危険性についてユーザーを教育することも賢明です。ログイン アカウントの多要素認証 (MFA) を有効にすると、脅威アクターをネットワークから遠ざけるもう 1 つの保護障壁としても機能します。
フィッシングの試みに関しては、組織がネットワークを保護するために多層的なアプローチを取ることが重要です。一方、脅威アクターの報告では、ユーザー教育フィッシングと闘うために、その教育を、受信トレイから不審なメールを削除する電子メール スパム フィルターや、ネットワーク全体に広がる前に悪意のあるアクティビティを特定して隔離するのに役立つマネージド ディテクション アンド レスポンス (MDR) システムなどの他のセキュリティ管理と組み合わせることをお勧めします。
最後に、組織は、脅威アクターが古いソフトウェアを侵害する可能性があり、侵害する可能性があることに留意する必要があります。彼らにはが必要です堅牢なパッチ管理プログラム新しい脆弱性を特定して優先順位を付け、必要に応じてシステムを更新するため。
脅威アクターがビジネスを侵害し恐喝する新たな方法を継続的に発見しているため、組織は自らを守るために2倍の努力をすることが不可欠です。これには、脅威アクターが悪用しようとする可能性のある脆弱性や弱点を特定できる正規の組織による定期的な侵入テストが重要です。何よりも組織は、彼らは信頼すべきではない犯罪者であることを覚えておく必要があります。彼らがあなたのネットワークへの侵入方法を発見したからといって、彼らのサイバーセキュリティに関するアドバイスを信頼すべきというわけではありません。
ローリー・イアコノは、クロールのサイバーリスク担当アソシエートマネージングディレクターです。彼女は、インシデント対応とダークウェブ監視における調査と技術サポートでクライアントを支援します。クロールに入社する前は、イアコノは National Cyber-Forensics Training Alliance でブランドと消費者保護プログラムを管理していました。
© ローリー・イアコノ、クロール