これは、 NOBELIUM 国家のサイバー攻撃に関する 4 部構成のブログ シリーズの 3 番目です。 2020 年 12 月、Microsoft は、史上最も巧妙な国家サイバー攻撃として知られるようになったものについて、詳細を世界と共有し始めました。 Microsoft の4 部構成のビデオ シリーズ「Decoding NOBELIUM」では、NOBELIUM インシデントと、Microsoft と業界全体の世界クラスの脅威ハンターがどのように結集して、歴史上最も洗練された国家国家攻撃に立ち向かったかを振り返ります。この 3 回目の投稿では、ドキュメンタリー シリーズの3 回目のエピソードで取り上げた NOBELIUM 攻撃に対する Microsoft の対応について説明します。
Microsoft 365 Security Chief of Staff の Elizabeth Stephens 氏によると、大規模なサイバー攻撃から防御するには、大規模な危機に備えて必要とされるのと同じレベルの準備が必要です。使命があります。行動計画があります。そして、準備ができている専門家チームがあります。スティーブンスは、2020 年 12 月の国家国家に対する NOBELIUM 攻撃に対応するために動員された、専任の対応チームの一員でした。
「私の海兵隊がどのように集まったかを非常に思い出させるような方法で、すべてのチームが集まりました」とスティーブンスは言いました。 「私たちの対応方法は、ファーストレスポンダーと非常によく似ています。私たちは、専門分野や専門知識の分野に関係なく協力し、ミッションを完了するためにお互いのギャップを非常に迅速に埋めることができることに誇りを持っています. [それは]無私無欲と、もし私たちが防御していなかったら、他に誰が行くつもりだったのかという感覚です。
シリーズの最初の投稿「NOBELIUM のような国民国家の攻撃者がサイバーセキュリティをどのように変えているか」で説明したように、これらの洗練されたアクターは、サイバースパイ活動や情報収集の取り組みを通じて、特定の国の利益を促進するために働いています。ロシアとつながりのあるハッカー グループ NOBELIUM によるサプライ チェーン侵害を含む多方面からの攻撃は、史上最も洗練された国家レベルのサイバー攻撃として広く認識されています。この規模の攻撃が発見された場合、対応は同様に重要です。シリーズの 2 番目の投稿「歴史上最も巧妙な国家攻撃である NOBELIUM の追跡」では、攻撃を理解するための最初の業界全体の調査とデータの収集について説明しました。
「Decoding NOBELIUM」シリーズの第 3 エピソードでは、Microsoft が攻撃者を妨害して組織を保護するためにどのように取り組んだかについての新しい詳細を明らかにします。影響を受けた顧客への通知とサポート、新しい防御策の迅速な展開、すべての顧客を保護するための検出手段の提供です。脅威に対して。
NOBELIUM攻撃の顧客への通知
顧客は、環境内での攻撃の範囲を調査して理解できるように、迅速に通知を受ける必要がありました。脅威ハンターが NOBELIUM アクティビティの脅威マーカーの分離を開始すると、影響を受ける顧客を効果的に特定して連絡できるようになりました。セキュリティ コミュニティは、伝統的に、防御者から電話を受けることは決してないと顧客に伝え、電話は疑わしいものとして見るように伝えてきました。この場合、攻撃者は被害者の環境にアクセスできるため、安全な代替手段はありませんでした。巧妙な侵入の難しいニュースで電話をかけることは十分に難しいでしょうが、場合によっては、電話で実際にマイクロソフトであることを確認するための創造的な方法を見つける必要がありました.通知の一環として、チームは攻撃に関する情報とガイダンスを共有し、お客様が範囲をさらに調査して修復を開始できるようにしました。 NOBELIUM の活動のニュースは当然のことながら顧客を驚かせました。
「その[状況]の重大さが落ち着いたときの人々の顔の表情を見ることは、私と私のチームにとって確かに冷静でしたが、それはまた、私たちがそれの底に到達するまで続けるための大きなインセンティブでもありました。」 Microsoft Identity Security Response Team Lead の Franklin は次のように述べています。
顧客をサポートするための製品検出の構築
これらの顧客の連絡先は、この攻撃に対する Microsoft の対応の一部にすぎません。 Microsoft の脅威ハンターは、ユーザー、電子メール、コラボレーション ツール、エンドポイント、クラウド アクティビティ、クラウド アプリケーション セキュリティなど、集約された膨大な量のテレメトリを調べ続け、より微妙な攻撃マーカーを特定しました。戦術、技術、手順 (TTP) と呼ばれるこれらのマーカーは、NOBELIUM の動きを追跡するために使用されました。
Microsoft 365 Defender のプリンシパル プログラム マネージャーである Michael Shalev は、次のように述べています。
チームは、公開した NOBELIUM 攻撃に関連する 70 を超える TTP を特定しました。一緒に、彼らはNOBELIUMグループがどのように運営されているかについて絵を描きました. Microsoft チームは、どの TTP が組織に固有のもので、どれが影響を受けた組織全体で見つかったかを判断しました。彼らはすぐにこれらの TTP を使用して自動検出をセキュリティ製品に組み込み、影響を受けた組織は「ネットワークと資産を正常な状態に戻す」ことができ、影響を受けていない組織は同様の脅威から身を守ることができると Shalev 氏は説明しました。
特定の攻撃に対応してセキュリティ製品に検出をリリースすることは新しいことではありません。 Microsoft は、攻撃に対応してセキュリティ製品に定期的に検出をリリースします。しかしNOBELIUM事件後のリリース量は空前絶後のものでした。 3 週間の間、Microsoft の研究者は 1 日に複数の検出をリリースしました。これは、ブログ投稿を通じて共有される対象を絞ったカスタム クエリ、またはリアルタイムのアクションを可能にするために製品に直接リリースされた更新の形で行われました。マイクロソフトのクラウドネイティブ セキュリティ情報およびイベント管理プラットフォームであるMicrosoft Sentinelのパートナー プロダクト マネージャーである Sarah Fender 氏は、次のように述べています。
たとえば、脅威ハンターは、NOBELIUM がセキュリティ ソフトウェアやアナリスト ツールを回避するために使用した特定の手法を発見しました。センサーやログをオフにする良性の理由がある可能性があるため、TTP の調査は、悪意のあるアクティビティを検出するために重要でした。これに対応して、 Microsoft Defender for Endpointチームは、これらの特定の NOBELIUM 関連のアクティビティを識別してアラートを送信するための、新しい改ざん防止ポリシー、ハンティング クエリ、および検出を開発しました。
Microsoft Digital Security Unit の Associate General Counsel である Cristin Goodwin 氏は、次のように述べています。
サイバーセキュリティ戦略と利用可能なリソース
「NOBELIUM の解読」シリーズの第 3 回では、NOBELIUM の発見後にセキュリティの専門家が顧客を守るための洞察を共有します。効果的なサイバーセキュリティ衛生に関するガイダンスについては、エピソードをご覧ください。 NOBELIUM 国家攻撃シリーズの最後の投稿にご注目ください。NOBELIUM 攻撃の詳細な内訳を提供し、サイバーセキュリティの将来に関する予測とヒントを共有します。このシリーズの以前の記事を読んでください。
マイクロソフトは、サイバー犯罪者であれ国家によるものであれ、組織がサイバー攻撃から保護され続けるよう支援することに取り組んでいます。 Microsoft は、すべての人にセキュリティを提供するという使命に沿って、最先端の脅威インテリジェンスと専任のサイバーセキュリティ防御者のグローバル チームを使用して、お客様と世界を保護します。国家攻撃に対抗するマイクロソフトの取り組みの最近の 2 つの例には、2021 年 9 月の発見、 FoggyWeb と呼ばれる NOBELIUM マルウェアの調査、およびEnvyScout、BoomBox、NativeZone、および VaporRage を侵害する NOBELIUM の初期段階のツールセットの 2021 年 5 月のプロファイリングが含まれます。 .
すぐにサポートが必要な場合は、 Microsoft セキュリティ レスポンス センターにアクセスして、問題を報告し、最新のセキュリティ レポートと Microsoft セキュリティ レスポンス センターのブログからガイダンスを入手してください。
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments