最近の調査では、2026年もフィッシング攻撃が増え続けていることが示されています。主な理由は、攻撃者がphishkitを利用して、より速く、より説得力のあるキャンペーンを構築するようになったためです。
これらのキットは実際の挙動をチェーンの奥深くに隠すため、調査が遅れ、SOCチームに余計な負荷がかかります。
これに対応するため、多くのチームがANY.RUNのようなインタラクティブ・サンドボックスを導入し、実際に大きな改善を実感しています。
この変化により、チームは最も複雑なフィッシングチェーンでさえ数秒で解き明かせるようになり、アナリストは反復的な確認作業で通常失っていた時間を取り戻せます。
ここでは、あなたのSOC内でも同じ飛躍を実現する方法を紹介します。
phishkitはフィッシングを加速させ、攻撃は最後の段階に至るまでクリーンに見えるほどです。
無数の小さなバリエーションを生成し、リダイレクトの背後に挙動を隠し、クリックした相手に応じてフローさえ変化させます。
SOCチームにとって、これはつまりこういうことです。 似たようなアラートが洪水のように押し寄せ、何が本当に起きているのかを素早く把握する手段がない。
2026年までに、これは調査時間を最も消耗させる要因の一つになっています。
最も動きの速いチームは、インタラクティブ・サンドボックスを使ってフィッシングチェーン全体を自動で実行します。
不審なリンクが何をするのか推測する代わりに、サンドボックスがそれを開き、すべてのリダイレクトを追跡し、隠されたステップを発火させ、実際の挙動を数秒で明らかにします。
これにより、SOCチームが欠いていたものが手に入ります。
シンプルな変化ですが、すべてが変わります。アナリストは、攻撃を再現するのに半日を費やすことなく、ついに全体像を把握できるようになります。
ここでは、ANY.RUNの分析セッションからの簡単な例を紹介します。サンドボックスがTycoon + Saltyのハイブリッドphishkitチェーンをわずか35秒で露呈させたケースです。
このケースでは、1つ目のキットが最初の誘導とプロキシを担当し、2つ目が後半で資格情報の窃取とセッションハイジャックを担いました。
これほど迅速にチェーン全体を確認できることで、SOCチームは即座に状況を明確化でき、手作業での再構築にかかる何時間もの時間を削減できます。
インタラクティブ分析は利点の一部にすぎません。このワークフローがSOCチームにとって非常に効果的である理由は、サンドボックス実行のたびに付随する証拠にあります。
ANY.RUNは、チームが通常入手に苦労する重要な要素を提供します。
曖昧なシグナル(「おそらく悪性」)ではなく、アナリストは実行フロー全体に裏付けられた判定を得られます。これによりトリアージが短縮され、不要なエスカレーションが減り、対応が加速します。
これによりSOCチームは独自の優位性を得ます。類似の攻撃が他所でどのように振る舞ったかを即座に確認でき、単独では見つけられないパターンを把握できます。
これが、ANY.RUNを使うチームが生産性の目立った向上を報告する理由です。サンドボックスが、行動に移すために必要な文脈を提供します。
実際には、その逆が真実です。調査データは、あらゆるレベルで作業負荷が明確に低下していることを示しています。
これは、アナリストが隠されたフィッシングの挙動を追いかけて何時間も費やすのではなく、即座に明確さを得られるようになったときに起こることです。
翻訳元: https://cyberpress.org/hackers-are-scaling-heres-how-socs-can-beat-them-without-extra-hiring/