[レポート][FutureVuls/株式会社ディアイティ]脅威となるサイバー攻撃・ランサムウェアに備える脆弱性対策とは~インシデント発生現場の裏側から学ぶ~ – CODE BLUE 2024 #codeblue_jp
危機管理室の吉本です。
CODE BLUE 2024の以下のセッションについてレポートをまとめます。
[FutureVuls/株式会社ディアイティ]脅威となるサイバー攻撃・ランサムウェアに備える脆弱性対策とは~インシデント発生現場の裏側から学ぶ~
▼第一部 【今やるべきBCP対策・事前対策の理想と現実】 多くのサイバー攻撃の対応をしてきた長年の経験から具体的な説明をします。 EDRやNDRの導入やバックアップ対応が本当の対策なのか?どこまで有効なのか?投資費用対効果があるのか?推奨しますという対策をやっているにも関わらず、そもそも日本国内でセキュリティ事故が止まらないし、すぐに復旧できていない・・・。本当に効果のある対策とは一体何なのか? これらについて、一歩踏み込んでその実態と具体策をお話します。
▼第二部 【ランサムウェアへの効果的な対策と脆弱性への対応】 ランサム攻撃の手法と傾向をもとに最も効果的と思われる脆弱性対策について、具体的対応方法について説明します。年間数万件発見される脆弱性に対し、自社に関係ある脆弱性はどれか、その中で直ちに対応が必要な脆弱性はどれか、その脆弱性にどう対応すべきか具体的な対応事例も交えてお話します。
Presented by : Kota Kanbe 神戸 康多 FutureVuls/dit Co., Ltd. Nobuhito Aoshima 青嶋 信仁 FutureVuls/dit Co., Ltd.
レポート
- BCP対策と脆弱性対策の2部構成で発表する
- 第一部 【今やるべきBCP対策・事前対策の理想と現実】
- 最初の攻撃手法が不明なランサムウェアが増加
- 現場ではどんなことが起きているか
- ランサムウェアが証拠隠滅のために侵入の痕跡を暗号化して消去している
- 企業が基本的なセキュリティ対策をしていないこともある
- EDR/NDRの効果事例
- NDR:ADへの通信アクセスを検知し詳しい人が黒と判断してネットワーク遮断
- EDR:EDR導入クライアントは守られたが、未導入のサーバーが攻撃された
- EDR/NDRの検知力
- RED TeamとBLUE Teamに分かれて検証
- それぞれ特徴があるが、検知しないものもある
- NDRは通信経路や利用範囲の限定により学習効果を発揮しやすく、遮断判断がつきやすい
- EDRは脆弱性対策とID管理尾運用が協力だと侵入者の試行錯誤が多くなり検知しやすい
- 両方とも基本的な対策が重要
- ステークホルダー対応の裏側
- 被害組織の意識では、サイバー攻撃を受けた組織とステークホルダーが協力する
- しかし実態は、サイバー攻撃を受けた組織もステークホルダーから脅威とみなされる
- なぜ侵入されたかが重要
- 侵入の原因が第三者の反応としてはわかりやすく最重要
- また、経営者が謝罪会見に対応できるのかが重要
- BCPとしての脆弱性対策の重要性
- 攻撃されると、マネジメント能力が脆弱とみなされる
- 環境変化がなくても新たな脆弱性が見つかる
- 第二部【ランサムウェアへの効果的な対策と脆弱性への対応】
- ランサムウェアは年々増加傾向している
- 侵入経路は、脆弱性の悪用が一番多い
- ランサムウェア攻撃の各段階と脆弱性の悪用
- 脆弱性の悪用
- インターネット露出サービス
- C&C
- 横移動、権限掌握でも脆弱性悪用
- ランサムウェアグループの悪用する脆弱性
- 既知の古い脆弱性が使われることも多い
- ハニーポットで検知した全66件中48.5%が2022以前のCVEを悪用
- CISA#Stopransomwareの詳細ページには脆弱性管理とパッチ適用をせよと全ページにかかれている
- 脆弱性が公開されてから2年以内に悪用することが多い
- 脆弱性管理の進化
- 今まではすべて手動で負荷が大きかった
- 現在はほとんどが自動化された
- FutureVulsの脆弱性管理の全体像
- 全社の資産と脆弱性を一元管理
- SSVC機能がリスク判断し、4段階の対応レベルに分類
- 脆弱性×脅威×影響で対応優先度を自動的に4段階に決定する
- ランサムウェア対応機能
- ランサムウェア悪用フィルタ
- ランサムキャンペーンで悪用されている脆弱性を全社横断でチェックできる
- 横移動や権限昇格のランサムウェアの影響も可視化できる
- 外部スキャンポート
- 外部からのスキャン結果をインポートすると、インターネットに露出かつランサムウェアのリスクがあるものを確認できる
- ソフトウェア横断検索機能
- 大きな話題となっている脆弱性のニュースの対象ソフトを、全社横断で検索できる
- ランサムウェア悪用フィルタ
- まとめ
- ランサムウェアの基本は脆弱性管理
- リスクベースでの脆弱性管理が主流
感想
- 脆弱性管理は運用が大変なのでなかなか実行が難しかったですが、ツールの利用でだいぶ負荷が軽減できそうです
- サイバー攻撃された組織も脅威とみなされるというのは印象的でした