IOC（侵害指標）のセキュリティの限界、ハッカー集団「APT29」からの教訓

英国の国家サイバーセキュリティセンター（NCSC）とカナダ通信保安局（CSE）は、新型コロナウイルスのワクチン研究の開発に関わる組織を標的とした攻撃者「APT29」  に関する詳細を発表しました。従来の境界線ベースのセキュリティツールでは、既知の指標を特定することに頼っていますが、今回の攻撃では、認証された権限情報を収集し不正使用を多用することで、粘り強く攻撃が進められました。このような場合、対応ツールとして既知のIOC（侵害指標）を使うことはできますが、IOCは攻撃者によって簡単に変更されてしまうため、ネットワーク防御者が進行中の攻撃を阻止するための先行指標というよりは、攻撃者の形跡を調査するのに適していると言えるかもしれません。IOCが利用可能で有用なものになったときには、手遅れであることが多いのです。

幸いなことに、Vectra Cognitoのネットワークの検知および対応　(Network Detection and Response, NDR) プラットフォームを導入している企業は、ネットワーク防御において既知の悪意ある IOC の検出だけに依存することなく、ネットワーク内とMicrosoft Office 365のような重要なSaaS サービスの両方をカバーしているということから、今回のような攻撃にも対応できます。Cognitoは人工知能と機械学習を駆使し、攻撃者が使用するツールや作成するIOCではなく、攻撃を進めるのに必要な振る舞いを検出しています。特権アクセス分析（PAA） は、企業全体で特権がどのように使用されているかを観察して学習することで、盗まれた認証情報や不正使用された認証情報を利用した攻撃後の活動を検出します。その特権が不正使用された場合には、Cognito Account Lockdownを適用することで、リアルタイムに統率のとれた攻撃を淘汰することを可能にしています。さらに、広範で情報量の詰まったZeekのようなメタデータにアクセスすることで、セキュリティアナリストは、これらの脅威行為者の過去の証拠を迅速に発見したり、運用活動の結果として開発された新しいIOCを使って脅威を探したりすることが可能になります。

残念なことに、組織は、何か問題が起きた後になって通知、公開されるIOCに翻弄されてしまうことが多々あります。しかし、Vectra Cognitoを使用することで、ネットワーク防御は環境の可視性と制御を取り戻し、高度な敵に対しても立場を逆転させ、被害が出る前に阻止することができます。‍

‍