セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。新しい Voice of the Community ブログ シリーズの最初の投稿では、Microsoft 製品マーケティング マネージャーのNatalia Godylaが、Rendition Infosec の創設者であるJake Williamsと対談します。このブログのパート 1 では、Jake が 2020 年の脅威の状況に関する彼の洞察 (誰を監視し、なぜ監視するべきか) と、組織内の赤と青のチーム化についてどのように考えるかを共有しています。
ナタリア: 2020 年の脅威の状況を振り返って、何が際立っていましたか?
ジェイク: 際立っている最大のことは、継続的なランサムウェアの進歩です。 IANS では、2019 年初頭にランサムウェア 2.0 という用語を実際に造語しました。私たちは、ドライブバイ ランサムウェア攻撃と、私がより APT スタイルのランサムウェア攻撃と呼んでいるものを区別しようとしていました。暗号化。 ディザスタ リカバリ(DR) 計画は前者には有効ですが、後者は実際には機能しません。後者のケースでは、積極的にディザスタ リカバリ インフラストラクチャをターゲットにしているためです。今年私が見たのは、攻撃の大幅な進歩でした。
2 つ目は、コモディティ マルウェアを使用しているさまざまなグループの数が確実に増加していることです。彼らはそのコモディティ マルウェアを使用して軌道に戻り、ネットワークへの初期アクセスを行います。 TrickBot のように、それはさらに多く見られます。私が話したサイバーセキュリティの専門家は、「 TrickBot のテイクダウン」と言っていますが、過去に一掃された他のマルウェアやボットネットとは異なり、これはテイクダウンではなく中断でした。 DNSChanger が良い例です。 DNSChanger は断ち切られましたが、TrickBot は断ち切られませんでした。これは肉の傷です。
このコモディティ マルウェアが侵入経路として使用されるケースが増えています。これは、私を含む多くの人々が何年も話し合ってきたことです。これは常にリスクです。 「心配しないでください。Microsoft Defender ウイルス対策が検出して隔離したので、これで問題ありません」とだけ言うことはできません。おそらく9月中旬以降、今年の残りの期間を合わせたよりもさらにバイラルになりました.こちらもかなり加速しています。
ナタリア:セキュリティ チームが積極的に監視すべき重要な脅威グループは何ですか?
Jake : 先々週、私はダーク Web フォーラムに参加していました。私とインテル コミュニティの他の多くの人々が、Ryuk と関係があると適度な自信を持って評価しているアカウントは、Ryuk のランサムウェア操作の支援を宣伝していました。彼らは経験豊富なランサムウェア オペレーターを探しており、平均 40 万ドルの支払いを受け取っている履歴を確認するなど、さまざまな基準を設定しています。彼らは過去に助けを求めたことはありません。彼らには、処理しきれないほどの仕事があります。これで範囲のアイデアが得られます。これはコモディティ マルウェアに由来すると思います。これまで、確立された大規模なランサムウェア グループが活動の支援を宣伝しているのを見たことがありません。それらのアクセスが永遠に続くと考えていれば、今すぐ他の人を募集することを心配する必要はありません.
ダークウェブ監視の場所は間違いなくありますが、ほとんどの組織は、その投資に対して十分な見返りを得られる成熟度レベルに達していません.サイバー犯罪グループが募集を行っていると言ったとしても、それをどのように受け止めて、検出と防止に役立つ実用的なものに変えることができるでしょうか?ドメイン コントローラーにパッチを適用していない場合、私が提供するガイダンスがどの程度役立つかはわかりません。
サイバー犯罪の観点からは、サイバー犯罪者の攻撃にとって重要なラテラル ムーブメントが大幅に増えていることがわかります。フィッシング メールを送信してバム攻撃を仕掛けるポイント攻撃はそれほど多くありません。コプアウトのように聞こえますが、一石二鳥なので、横方向の動きに注意してください。国民国家グループは横方向の動きをしなければなりません。サイバー犯罪グループも同様に、最大の支払いを得ることができます。あの大きなリンゴをかじってしまったら、どうやって元に戻せるでしょうか?場合によっては、ネットワークで最大 6 週間費やしてから、データ抽出を行ったり、少し長いゲームをプレイしたりするグループが増えていると思います。
ナタリア:サイバーセキュリティでは、防御と攻撃の両方の手法を組み合わせて、サイバー犯罪に対抗しています。組織内の赤チームと青チームについて、組織はどのように考えるべきですか?組織は両方を必要としていますか? その理由は?
Jake : 最近、サイバーセキュリティに携わる大多数の人々は、レッドチームになりたがっています。わかった。セクシーです。要するに、赤いチームを実際に内部ネットワークに侵入しようとしている人々と考えている場合、その数は 1 から 20、1 から 25、または青いチームと比較してそのようなものだと思います。必要な赤いチームのフォーカスははるかに少なくて済みます。赤チームが青チームと同程度の規模の組織が価値を提供しないと言っているのではありません。確かにそうですが、同じリソースを別の場所に接続して、より多くの価値を得ることができるかどうかが問題です。一般的に、攻撃よりも防御が必要だと思います。
バランスの取れた赤チームと青チームを持つ組織が多すぎるように、多くの赤チームが、青チームがリソースの観点から単純に修正できない問題を特定しているのを目にします。私はまた、非常に大規模なレッド チームを持っているが、まだハント チームに移行していない組織と協力しています。そのような状況では、ハントを赤の下に置くか青の下に置くかわかりません。私はそこで曖昧ですが、肝心なのは、私はレッドチームを必要としていますが、多くの人がそれらを使用するよりもはるかに少ない価格でそれらを必要としています.私は元政府のハッカーとして言います。私は今でもときどきレッドチームを組んでいますが、ほとんどの組織が最も大きな投資収益率を得られる場所ではありません。レッドチームが重要ではないと言っているわけではありませんが、一般的に、レッドチームよりもブルーチームの人数を大幅に増やす必要があります。
堅実な青チームがなく、今日の防御に穴がある場合は、赤チームを持つべきではありません。人々が「社内のレッドチームが必要だ」と言うとき、私の質問は、「外部のレッドチームが来て、レッドチームの評価を行ったことはありますか?もしそうなら、あなたはそれらの調査結果に対処しましたか?」それらの1つではなく、それらすべてです。答えが「いいえ」の場合は、一歩下がって、何をする必要があるかを理解する必要があります。現在機能しているブルー チームがあり、レッド チームからの推奨事項をロールフォワードする準備ができていることを確認しましょう。プラグマティズムとは別に、合法性の問題もあります。何かを知っていてそれについて何もしないことは、それについてまったく知らないことよりも法的に妥協する立場に置かれます.
それが、社内の赤いチームを持つ多くの人々が最終的に直面していることです。彼らは基本的に特定されたリスクを漏斗に押し込むこの赤いチームを持っています.そのじょうごにどれだけ詰め込んでいますか?防御と攻撃はどれくらい必要ですか?
ナタリア:組織は、社内のレッドチームをいつ雇うべきかをどのように判断しますか?ブレイクポイントは?
Jake : その多くは反応次第です。それらの調査結果にどれくらい迅速に対応していますか?毎年恒例のレッド チームからの調査結果をすべて 2 か月で修正するような状況にある場合、私は「はい、間違いなく、レッド チームを雇いましょう」と言うでしょう。そうすれば、絶え間ない調査結果がさらに増えるからです。一方、これらの調査結果を確認するのに 9 か月かかる場合は、1 か月以内に別の外部の赤いチームが発生する可能性があります。私たちの価値はどこにありますか?中間のどこかに行く場合、その多くは、私たちがどれだけのリスクを受け入れるかによって異なります.
どこにギャップがあり、どこにギャップがないかを文書化する場合、最終的には、組織への投資に対して最高の利益を得ることができるのはどこか?青チームのギャップがまだたくさんある場合、赤チームに投資することは青チームにより多くのギャップを投げかけ、大きな士気の問題を引き起こします.
インタビューの第 2 部をお読みください。Jake Williams が、組織内で赤チームと青チームを構築して進化させる方法に関するベスト プラクティスを共有しています。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityまたはLinkedInでフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments