このブログ投稿は、Microsoft Intelligent Security Association (MISA) ゲスト ブログ シリーズの一部です。 MISA の詳細については、こちらをご覧ください。
サイバー犯罪者は、さまざまなツールや戦術を使用したフィッシングやファーミング攻撃を通じて、最初の侵害を増やしていますが、それらのツールは数多くありますが単純であり、多くの場合検出されません。攻撃者がアクティビティを難読化し、検出されないままにするために引き続き利用する手法の 1 つは、滞留時間です。
滞留時間は、最初の侵入から攻撃キャンペーンが特定されるまでの時間です。業界のレポートでは滞在時間の平均が異なりますが、平均が 50 ~ 60 日の範囲を下回るレポートはまだ見たことがありません。 高度なエンドポイント保護と滞留時間の詳細をご覧ください。
高度なエンドポイント保護 (AEP) を強化する
Digital Defense のホワイト ペーパーは、こちらからダウンロードできます。
攻撃者の忍耐力が低下するにつれて、滞在時間はわずかに短縮されていますが、今日存在する多数のセキュリティ ツールを回避するのに十分なほど重要です。これらのツールの課題は、長期にわたる攻撃者の活動をまとめることができないことです。十分な数の侵害の痕跡 (IoC) が検出されるまでには、侵害を防ぐには手遅れであることがよくあります。ほとんどの監視ソリューションは、侵害の潜在的な兆候を特定するために攻撃者のアクティビティを探します。ただし、滞留時間に対抗する最善の方法は、定期的にアクティブになる前に、十分に隠されている休眠中または発生中のマルウェアを特定して根絶することです。
階層化されたソリューション
Microsoft Defender for Endpoint と統合されたFrontline Active Threat Sweep ™ (Frontline ATS™) は、EDR ソリューションを積極的に回避するように設計されたマルウェアを識別します。 Frontline ATS™ は、Digital Defense Frontline.Cloudプラットフォームの一部であり、オンデマンドのエージェントレス脅威検出機能を提供します。これは、他のエージェントベースのセキュリティ ツールを展開する前に、マルウェア感染の兆候がないか資産をプロアクティブに分析します。 Frontline ATS を統合すると、エージェントを追加せずに非表示の IoC を特定することで、Defender for Endpoint の機能が強化されます。
長期間検出されずにいる能力は、攻撃者が違反を成功させるために使用する最も一般的で困難な戦術の 1 つです。さらに、監視ツールまたはインシデント レスポンス (IR) サービスを使用するセキュリティ チームが脅威を検出して感染をクリーンアップできたとしても、それが繰り返し再発するのが一般的です。これは、脅威のすべてのアクティブな兆候が調査され、対処されたとしても、マルウェアの最初の、そして多くの場合非アクティブなインストールが非アクティブであるために検出されない場合、後で再アクティブ化して感染を再誘発する可能性があるためです。セキュリティ チームは、Frontline ATS と Defender for Endpoint を使用して、攻撃キャンペーンを再開する可能性のあるソース、アーティファクト、またはマルウェアの非アクティブな残存物を見つけることができます。 Defender for Endpoint and Frontline ATS は、包括的で目立たない高度なエンドポイントの検出、保護、および応答を提供し、侵害を防止するセキュリティ運用チームの有効性を大幅に向上させます。
Digital Defense Frontline ATS と Microsoft Defender for Endpoint の統合については、 Microsoft Azure Marketplaceのリストにアクセスするか、 Digital Defenseにアクセスして詳細を確認してください。
Microsoft Intelligent Security Association (MISA) の詳細については、Web サイトにアクセスしてください。MISA プログラム、製品の統合について学び、MISA メンバーを見つけることができます。 ビデオ プレイリストにアクセスして、マイクロソフト製品とのメンバー統合の強みについて学びましょう。
Microsoft Security Solutions の詳細については、 Microsoft Security Web サイトを参照してください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments