すべての IT セキュリティ プロフェッショナルは、サイバー攻撃を取り巻く重大な脆弱性に関するニュースを受け取ることがどのようなものかを知っています。決して都合の良い時期ではありません。神経をすり減らすような質問が始まります。私たちのシステムは安全ですか、それとも脆弱ですか?私たちは保護されていますか、それとも数週間または数か月の混乱、気晴らし、痛みに直面していますか?
2021 年 7 月 2 日の午後、Kaseya は、リモート監視および管理ツールである VSA 製品のゼロデイ脆弱性が、ランサムウェアの展開に悪用されていることを発表しました。幸いなことに、米国のレストラン コングロマリット 1 社と Mandiant Managed Defenseの顧客数社はすでに保護されていました。その朝、Mandiant は、脆弱な Kaseya VSA ソフトウェアを実行しているホストの顧客環境の調査を開始するために、当社の管理された検出および応答サービス チームを導くインテリジェンスを入手しました。影響を受けたマネージド ディフェンスのお客様はすぐに特定され、特定のオンプレミス システムを封じ込めるようにアドバイスされました。
脆弱だが安全
その金曜日の深夜までに、レストラン コングロマリットの最高情報セキュリティ責任者 (CISO) は、次の 3 連休の週末に注意を向けていました。
大規模な新しいランサムウェア攻撃が進行中であるというヒントが浮かび上がり始めました。
インテルのアラートを監視していたとき、CISO が最初に考えたのは、彼の会社は影響を受けないだろうということでした。ハッカーは、ネットワーク管理ソフトウェア アプリケーションの脆弱性を悪用していました。CISO と彼のセキュリティ チームは、会社のインフラストラクチャのどこにも展開されていないと考えていました。
その後、Managed Defense から通知が来ました。 「Mandiant から、私たちに対するランサムウェア攻撃を傍受したというアラートがあり、少数ではあるがかなりの数のサーバーを隔離するように指示されました」と CISO は言いました。 「Kaseya VSA は数年前に、管理されたサードパーティのホスティング施設に収容された一部のサーバーにインストールされていたことが判明しました。」
Mandiant の専門家による確固たる監視と迅速な行動のおかげで、会社は完全に安全でした。
マンディアントの最前線で
Mandiant では、年末年始の週末を通して調査が続けられました。 Managed Defense は、Microsoft Windows Defender を無効にするように設計された最初の PowerShell スクリプトを検出すると、脅威ハンティング キャンペーンを開始して、顧客ベース全体で攻撃者の活動の証拠を特定しました。 Managed Defense は影響を受ける顧客と協力して脅威を封じ込め、Mandiant Incident Responseチームと緊密に連携して攻撃者の活動に関する情報を迅速に共有しました。
Managed Defense が実施した各調査には、Advanced Practices (AP) チームの脅威アナリストが参加し、観察されたアクティビティを取り込み、モデル化し、過去の侵入と関連付けて、これらの最新の攻撃を特定しました。 AP のアナリストは、この特定の敵対者に対する理解を深めることで、関連データを提供し、堅牢な一連の侵害の痕跡 (IOC) を作成することができました。影響を受けるマネージド ディフェンスのお客様を支援するこれらの取り組みは、インシデント レスポンス、脅威インテリジェンス、セキュリティ検証、およびFireEye 製品のフル スイートを含むすべての Mandiant のお客様にも拡大されました。
カセヤの余波
Mandiant Managed Defense はレストラン会社のインフラストラクチャを保護する最前線にあったため、同社の脆弱なサーバーは暗号化される前に隔離されました。しかし、CISO と彼のチームはすぐに休むことはありませんでした。彼らは一晩中 Mandiant と協力して、インフラストラクチャのすべてのニッチとコーナーが影響を受けないようにしました。
「Kaseya のインストールを見落としていないことを確認するために、すべてを 2 回、3 回チェックしました」と CISO は述べています。 「翌朝 10 時に再会し、その時点でようやくリラックスできました。」
マネージド ディフェンスが導入されていなかったら? CISO は次のように述べています。 「その休日の週末である独立記念日は、私たちのビジネスの収益の上位 5 日のうちの 1 つです。 Mandiant がなければ、拠点が閉鎖され、その影響は計り知れなかったでしょう。」
Mandiant MDR: 「良い」とはどのようなものか
このレストラン会社は、広範な IT 統合プロジェクトの一環として、Mandiant Managed Defense を採用して、マネージド型の検出および対応サービスを提供することを決定しました。 「私たちは、すべての子会社ブランドに標準化されたセキュリティ戦略を実装しました。 Mandiant との連携は、その戦略の重要な要素でした」と CISO は説明しました。
Managed Defense と契約することで、社内の IT セキュリティ リソースの検索と管理に関連するリスクが排除されました。 「これまで、私は脅威の監視と対応を社内で行いたいと考えていた IT セキュリティ チームと協力してきました」と CISO は説明しました。 「社内アプローチを好む業界の同僚も見てきました。しかし、インシデント発生時に最も心配したいのは、適切なセキュリティ リソースが用意されているかどうかです。Mandiant Managed Defense を使用すれば、その必要はありません。専門家が 24 時間 365 日体制でインフラストラクチャを監視し、問題があればすぐに対応してくれます。」
CISO が Mandiant と契約した後のある時点で、同社は別の株式を取得しました。この子会社は、別の IT セキュリティ会社と既存の関係を持っていました。 CISO は次のように述べています。 「Mandiant が私たちのために何をしてくれるかを説明すると、他のベンダーは『いいえ、私たちはそんなことはしません』と言い続けました。」
「最終的に、それらを Mandiant に置き換えました。私のチームは今では「良い」とはどのようなものかを知っているので、難しい決断ではありませんでした。」
早期かつ定期的な保護
イベントが報道される前に顧客を保護することは、Managed Defense にとって日常的なことです。 Managed Defense コンサルタントと協力してインシデントを特定しトリアージする調査員の専門知識は、お客様の環境から脅威を根絶するために何度も実証されています。過去 1 年間だけでも、 SolarWinds 、 SonicWall 、 Microsoft Exchangeなどの重要なイベントで、攻撃者がお客様に滞在する時間を短縮しました。独自の最前線での可視性と脅威調査により、ほとんどのサービス プロバイダーより先に行動できます。大規模に迅速に対応し、最先端の脅威ハンティング キャンペーンと検出をお客様の環境全体に展開するこの能力により、Mandiant と協力しなければ重大な脅威が検出されないというこのような事例が可能になります。
次のウェビナーTales from the Trenches: How Managed Defense Customers Avoid the Biggest Threatに今すぐ登録して、今回のサイバー攻撃やその他の最近のサイバー攻撃について専門家チームから直接聞いてください。
Comments