Microsoft は、2022 MITRE Engenuity ATT&CK® 評価で、攻撃チェーン全体にわたって人間が操作するランサムウェアから保護します

news

4 年連続で、独立した MITRE Engenuity Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) Evaluations は、Microsoft の強力な検出および保護機能が、マルチプラットフォーム拡張検出および応答 (XDR) 防御のおかげで実証されました。

進化し続ける脅威のランドスケープは、新しい技術、刷新された戦術、およびより高度な攻撃機能を敵に提供し続けています。このような脅威には、エンドポイントとドメイン全体の攻撃の全体像を提供し、すべての段階で攻撃を防止およびブロックし、ネットワーク内の複雑な脅威と攻撃者を修復するための自動化されたツールを備えたセキュリティ オペレーション (SecOps) を提供する包括的なセキュリティ ソリューションが必要です。

今年の ATT&CK 評価は、高度な脅威アクターであるWizard SpiderSandwormに集中していました。これらの攻撃者は、インフラストラクチャと機関を不安定にするように設計された、 人間が操作する高度なランサムウェア キャンペーンを展開することで知られています。テストには、Windows や Linux などのプラットフォーム全体での検出ベンチマークと保護シミュレーションが含まれ、攻撃チェーン全体で 100 以上のステップと 66 の独自の ATT&CK 手法が使用されました。

Microsoft 365 Defenderがすべての主要な攻撃段階で悪意のあるアクティビティを正常に検出して防止したことを報告できることを誇りに思います。 エンドポイントとアイデンティティ全体にわたる包括的な技術レベルのカバレッジ。毎日何兆ものセキュリティ シグナルから合成された豊富な脅威インテリジェンスは、ゼロ トラストアプローチと脅威ハンティングで実装される制御の両方を通知するための鍵であることが証明されました。

MITRE Engenuity の ATT&CK Evaluations の結果は、このシミュレーションでの Microsoft の成功は主に次の要因によるものであることを強調しています。

  • 業界をリードする XDR。 Microsoft 365 Defender は、何千ものアラートを 2 つのインシデントに簡素化し、ID とエンドポイントにまたがる明確なタイムラインを作成して、迅速な解決を可能にしました。
  • 優れた EPP と EDR。 Microsoft Defender for Endpointは、攻撃を防止し、身代金の前後の段階で疑わしいアクティビティを迅速に特定して封じ込め、攻撃を阻止しました。
  • 包括的なマルチプラットフォーム保護。 Microsoft 365 Defender は、マルチプラットフォーム環境の保護において成熟度を示しました。 Windows に加えて、Microsoft Defender for Endpoint の動作モデルと機械学習モデルは、Linux で 2 年連続ですべての主要なステップをブロックして検出しました。
ランサムウェアから保護するための Microsoft 365 Defender の主要機能を示す装飾画像。
図 1. MITRE Engenuity の ATT&CK 評価結果は、Microsoft 365 Defender が業界をリードする XDR、EPP、EDR、およびマルチプラットフォーム保護によってランサムウェアから保護することを示しました。

Microsoft は、業界をリードする XDR で人間が操作するランサムウェアから防御します

今日の脅威の状況における最も顕著な危険の 1 つは、人間が操作するランサムウェア キャンペーンです。これは、高度な国家アクターのプレイブックを活用しており、脅威アクターは、ターゲット ネットワーク用にカスタム構築された手法を使用して 1 つ以上の組織を積極的に標的にしています。これらのキャンペーンには、価値の高いデータの暗号化と盗み出しも含まれることが多いため、セキュリティ ソリューションが脅威に迅速かつ積極的に対処することが重要になります。成功した場合、人間が操作するランサムウェア攻撃は、組織、その顧客、およびその他のコミュニティに壊滅的で目に見える混乱を引き起こす可能性があります.これらの攻撃から保護するには、広範な被害を防ぐために脅威を分離して封じ込める機能など、執拗な攻撃者に抵抗できる総合的なセキュリティ戦略が必要です。

評価で実証されたように、Microsoft 365 Defender は、次のような高度な攻撃から保護しました。

  • 生産性を損なうことなく攻撃者のさらなる活動を阻止するための、攻撃の初期段階での防止
  • デバイスと ID からの多様な信号のキャプチャ、デバイスと ID および ID とデバイスの信号相関
  • Windows、Linux、Mac、iOS、Android などのデバイス資産全体をカバー
  • 永続的な脅威の自動修復とネットワーク内の攻撃者の完全な立ち退きの両方に対する優れた身代金およびランサム保護

統合された ID 脅威保護が重要であることが判明

人間が操作するランサムウェアにより、攻撃者は常に技術を進歩させています。今年のテストには、ドメイン信頼検出アクティビティ、pass-the-hash、pass-the-ticket、Kerberoasting による資格情報の盗用が含まれていました。 Microsoft は 1 日に数十億の ID 認証をサポートしており、Microsoft 365 Defender はオンプレミスとクラウドの両方の ID と緊密に統合されているため、エンドポイント データのみで、またエンドポイント データと ID データを融合することによって、可能性をはるかに超えるレベルの検出と可視性を実現できます。 . Microsoft 365 Defender は現在、何億もの顧客 ID を保護しており、イベント タイムラインへの ID の脅威の統合は、評価中の検出に役立ちました。

アラートを優先順位付けされたインシデントに集約することで、調査エクスペリエンスが合理化されました

Microsoft 365 Defender は、1,000 を超えるアラートを重大なインシデントに関連付けることで調査エクスペリエンスを合理化し、さまざまなドメインにわたる攻撃者の活動間の複雑で一見無関係なリンクを特定しました。ランサムウェア攻撃では修復する時間が重要です。Microsoft 365 Defender のインシデント ページは、アクティブなアラート、主要なデバイス、および影響を受けるユーザーに関する重要なコンテキストを提供することで、SecOps エクスペリエンスを簡素化します。また、防御側は、特に既存の攻撃中にリソースに負担をかける可能性のある無関係なイベントをフィルタリングするのではなく、洞察に満ちた実用的なアラートを提供する自動修復と手動修復の両方を有効にすることができます。さらに、EDR を使用すると、アナリストは複数のベクトルを介して調査にアプローチできます。これにより、プロセス情報、ネットワーク アクティビティ、カーネルとメモリ マネージャーのディープ オプティクス、レジストリとファイル システムの変更、およびユーザー ログイン アクティビティを含む詳細な行動テレメトリが提供され、攻撃の開始と規模を判断できます。

上部のセクションに複数段階のインシデントに関する通知が表示されている Microsoft 365 Defender UI のスクリーンショット。概要ページには、アクティブなアラートの視覚化と、影響を受けるデバイスとユーザーのリストが表示されます。
図 2. MITRE Engenuity によってシミュレートされた攻撃を説明するすべてのデバイス、ユーザー、アラート、証拠を関連付ける Microsoft 365 Defender のインシデント ページ。

Microsoft 365 Defender は成熟したマルチプラットフォーム保護を提供します

この攻撃シナリオは、異種環境を標的にしてプラットフォーム エコシステム全体に拡散する攻撃者の能力を模倣していました。 Microsoft 365 Defender のセキュリティ機能は、優れた検出と保護を提供し、2 年連続で Linux を完全にカバーしていることを誇りに思います。

Microsoft 365 Defender は、Linux、Mac、Windows、iOS、Android などの一般的なデスクトップおよびモバイル オペレーティング システム全体で包括的な機能を提供します。これらの機能には、次世代のウイルス対策、EDR、Linux の多数のバージョンにわたる動作およびヒューリスティック カバレッジが含まれます。マイクロソフトは、過去 4 年間、Windows 以外のプラットフォームの保護に多額の投資を行ってきました。今日では、組織がネットワークを保護するために必要な広範な機能を提供しています。

Microsoft は、テストに対して顧客中心のアプローチを採用しています

進化する脅威の状況では、幅広い機能を備えたセキュリティ ソリューションが必要です。マイクロソフトは、業界をリードするクロスドメインの Microsoft Defender 製品を通じて、防御側がそのような脅威に対抗できるよう支援することに専念しています。この評価における Microsoft の哲学は、お客様に共感することです。そのため、お客様が期待するように製品を構成しました。たとえば、より多くの信号を検出するために製品の感度を高める可能性のあるリアルタイム検出の調整は実行しませんでした。これは、実際の顧客環境では許容できない数の誤検知がさらに発生するためです。

今年の評価に貢献し、参加する機会を与えてくれた MITRE Engenuity に感謝します。

もっと詳しく知る

人間が操作するランサムウェアと、それから組織を保護する方法の詳細については、次の記事を参照してください。

Microsoft の比類のない脅威オプティクスと実績のある機能を活用してください。 Microsoft 365 DefenderまたはMicrosoft Defender for Endpointの詳細を確認し、今すぐ試用版にサインアップしてください。

Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

参照: https://www.microsoft.com/en-us/security/blog/2022/03/31/microsoft-protects-against-human-operated-ransomware-across-the-full-attack-chain-in- the-2022-mitre-engeuity-attck-evaluations/

Comments

タイトルとURLをコピーしました