TokyoBlackHatNews

gbhackers.com 4分で読了

Microsoftが実際の攻撃における高価値資産保護を含むDefenderの詳細を発表

Microsoftはドメインコントローラやウェブサーバーなどの高価値資産(HVA)を対象とした高度なサイバー攻撃を自動的に検出してブロックするようにDefenderプラットフォームを大幅にアップグレードしました。

新しいMicrosoft Security Exposure Management ツールを活用することで、このシステムはコンテキスト認識インテリジェンスを使用して、重要なネットワークインフラストラクチャ上の通常の管理タスクと悪意のある活動を簡単に区別できるようになりました。

サイバー攻撃がますます標的化されるようになるにつれ、ハッカーはエンタープライズビジネスをスムーズに運営し続けるコアシステムに一貫して焦点を当てています。

Microsoftのセキュリティ研究者は、人為的に操作されたの78パーセント以上の攻撃キャンペーンがドメインコントローラーなどの重要な資産を成功裏に侵害し、ネットワークアクセス権を取得していることを発見しました。

従来のセキュリティツールは、標準的な管理ユーティリティを使用した悪意のある活動が適切なコンテキストなしで表示されると合法的なIT操作と同じに見えるため、これらの危険な侵入を見落とすことがよくあります。

コンテキスト認識資産分類

この継続的な可視性の問題を解決するために、Microsoft DefenderはMicrosoft Security Exposure Managementによって支援される重要な資産フレームワークを組み込むようになりました。

この高度なテクノロジーは、企業のデバイスとクラウドリソースの包括的なインベントリを自動的に構築し、特定の日常的な役割に基づいて事前定義された重要度レベルでシステムにタグを付けます。

Image

どのマシンが高価値資産であるかを正確に理解することにより、防御者は潜在的なネットワーク侵害が最も大きな損害を引き起こす特定の環境に、より厳密なセキュリティルールを適用できます。

アップグレードされた保護システムは、クラウドからのリアルタイムインテリジェンスに依存して、各重要な資産の通常の運用ベースラインを継続的に監視および学習します。

Defenderが確立されたパターンから逸脱したTier-0システムで予期しない動作を観察すると、孤立した弱いシグナルを高信頼度のセキュリティアラートに昇格させます。

このインテリジェント・アプローチにより、エンドポイント保護プラットフォームは高い影響を与える攻撃者の戦術を優先順位付けし、ブラスト半径がネットワーク全体に拡大する前に脅威をプロアクティブにブロックできます。

ドメインコントローラーは、Active Directoryデータベースを盗んで高い権限を持つドメイン管理者の認証情報をすばやく取得しようとしている攻撃者にとっての主要な目標として機能します。

Microsoftは、攻撃者がスケジュール済みタスクを使用してNTDSデータベースを抽出した最近の実世界のシナリオについて詳しく説明しました。これは通常、標準的なシステムバックアップ手順に溶け込むステルス的な動きです。

Defenderがサーバーの重要な役割と攻撃経路の広い文脈を認識したため、データベース抽出を即座にブロックし、侵害された管理者アカウントを自動的に無効にしました。

ステルスIISウェブシェルの停止

ExchangeやSharePointサーバーなどのインターネット向けシステムは、高度な脅威行為者からの継続的なスキャンと危険な悪用試みに直面しています。

Defenderが高価値資産としてInternet Information Servicesを実行していることを識別する場合、一般的に悪用されるウェブアプリケーションディレクトリに対してターゲット化された技術的検査を自動的に適用します。

Image

最近の法医学的調査では、このコンテキスト認識スキャンは、標準的なセキュリティペリメータフィルターを静かにバイパスしていた高度にカスタマイズされた、以前見られなかったウェブシェルを成功裏に検出し、即座に修復しました。

ハッカーがネットワーク内に足がかりを確立すると、ディレクトリ レプリケーション方式またはEntra Connect同期ツールを通じてリモートでセンシティブな認証情報ストアにアクセスしようとすることがよくあります。

Microsoftは、Defenderがセンシティブなレジストリハイブまたは重要なアイデンティティ成果物に関する疑わしいファイル作成と予期しないデータ転送を現在は密接に監視していることを説明しました。

IDインフラストラクチャサーバー上でこれらのプロセスチェーンを慎重に分析することにより、プラットフォームは組織の最も重要な運用パスワードを流出させるのを効果的に阻止します。

サイバーセキュリティチームは、高価値ネットワーク資産向けに特別に設計された重要なポスチャ推奨を実装することに、最初の防御努力を集中させる必要があります。

これらの重要なシステムのセキュリティギャップに対処することは、単に標準的な従業員ワークステーションにパッチを当てるのと比較して、全体的な組織リスクの大幅に高い削減をもたらします。

さらに、これらのコアサーバーから発生するアラートの毎日の調査と修復を加速することは、積極的な脅威をすばやく軽減し、現代的なデータ漏洩の潜在的な影響を厳しく制限するために絶対に必要です。

翻訳元: https://gbhackers.com/microsoft-details-how-defender-protects-high-value-assets/

ソース: gbhackers.com
#IIS #Microsoft Defender #ウェブシェル #エンドポイント保護 #サイバー攻撃対策 #ドメインコントローラー #ネットワークセキュリティ #脅威検知 #認証情報盗難 #高価値資産保護

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚