ラスベガス — サイバー攻撃が発生した際に、十分な準備や計画、訓練を行っていない、あるいは全く行っていない企業は、必要以上に長く、そして深刻に被害を受けることが多いと、マイクロソフトの脅威インテリジェンス、ハンティング、レスポンスのリーダーたちは木曜日、Black Hatで語った。
攻撃後の最良のシナリオでは、影響を受けた組織全体の専門家が自分の役割と責任を理解していると、マイクロソフトのセキュリティカスタマーサクセス担当コーポレートバイスプレジデント、アールティ・ボルカー氏は述べた。「彼らは動くべきパーツを知っています。自分たちのポリシーも把握しています。深夜に誰に電話をかけて起こすべきかも分かっています。なぜなら、インシデントは水曜日の午後に起こるものではないからです」と彼女は語った。
組織が計画を策定し、定期的にその手順を組織全体で発生しうる課題に対して評価・訓練している場合、マイクロソフトのインシデント対応および復旧作業は、数か月ではなく数日で完了することが多いとボルカー氏は述べた。
インシデント対応計画を策定し、訓練を行っている組織は4社に1社しかないと、マイクロソフトのセキュリティリサーチ担当シニアディレクター、アンドリュー・ラップ氏は述べた。
マイクロソフトのインシデント対応チームが、インシデント対応計画を訓練し、テーブルトップ演習を実施し、積極的な侵害評価を行っている顧客と連携する場合、そのオペレーションはまるでよく整備された機械のように機能すると彼は語った。「その悪い日には、顧客と中枢神経系を共有しているようなものです」と述べた。
攻撃者はこれまで以上に迅速に動いており、滞留時間も短縮されているため、インシデント対応者や組織が準備を整える必要性が一層高まっていると、マイクロソフトの脅威インテリジェンス戦略ディレクター、シェロッド・デグリッポ氏は述べた。
「攻撃者や脅威アクターはグラフで考えます。ネットワーク内をどのように移動できるか、その経路を見ています。一方で、私たち防御側はリストで考えがちです」と彼女は語った。
このギャップは、攻撃者の視点を取り入れることで防御側も克服できると、マイクロソフトのセキュリティ専門家たちは壇上で述べた。
「データが鍵です」とラップ氏は語った。「ネットワーク全体を可視化し、すべてのログを取得し、すべての保護機能を適切に構成し、製品に備わっているすべての機能や能力を活用することが、最低限必要なことです。」
このアドバイスは、攻撃者の目的が何であれ重要だ。マイクロソフトのシニア脅威インテリジェンスアナリスト、シメオン・カクポヴィ氏は、高度な脅威グループやその手法を研究することが多いが、すべての脅威アクターが狙うのは基本的なセキュリティ管理の不備だと述べた。
「彼らはソーシャルエンジニアリングも行います。サーバーにパッチを当てていなければ、それを突いてきます」とカクポヴィ氏は語った。「高度な攻撃を仕掛ける前に、まず基本的なことから攻めてきます。」
組織は攻撃者が狙う可能性のある弱点を考慮し、自分たちの業界に特化した脅威インテリジェンスから得られる知見を学び、適用すべきだと彼は付け加えた。「通常、特定の脅威アクターを他よりも警戒する必要があるので、まず何に注意すべきかを考えるうえで先手を打てます。」
デグリッポ氏は、ソフトウェアを最新の状態に保ち、適切に構成するなど、セキュリティの基本の重要性を強調した。「もし侵害が発生した場合、ログが残っていないことは、インテリジェンス担当者やインシデント対応者にとって悪夢のような状況を招きます」と彼女は述べた。
「すべての行動は痕跡を残します。ただし、ログが無効になっていなければ」とデグリッポ氏は付け加えた。「たとえ被害を受けていても、もしかしたらその痛みはもっと大きくなっていたかもしれません。」
翻訳元: https://cyberscoop.com/microsoft-threat-intel-response-tips/