最高情報セキュリティ責任者の David Barton 氏は、通信、医療、ソフトウェア開発、金融、政府など、さまざまな業界でセキュリティ リーダーとして 20 年以上の経験があり、その経験を Stellar Cyber にもたらします。Stellar Cyber に入社する前は、5Iron の最高執行責任者でした。5Iron 以前は、Forcepoint の最高情報セキュリティ責任者として 80 年間勤務し、Forcepoint の情報と物理的資産を世界規模で保護する責任を負っていました。Barton 氏は、Hireright で XNUMX 年間、顧客データと知的財産を保護する国際セキュリティ チームの構築と指揮を執りました。それ以前は、ジョージア州アトランタに拠点を置く AT&T/Cingular で情報セキュリティ担当ディレクターとして約 XNUMX 年間勤務し、XNUMX 万人を超えるワイヤレス加入者の保護に取り組みました。Sprint/Nextel では、セキュリティ運用およびエンジニアリングのグループ マネージャーとして、アプリケーション開発、データベース アーキテクチャ、エンタープライズ ポリシーと監査コンプライアンスに関するすべてのセキュリティ活動を管理し、世界クラスのホワイトハット セキュリティ チームを構築しました。バートン氏は、ミズーリ大学カンザスシティ校でエグゼクティブ MBA を取得し、シンプソン大学で経営情報システムの学士号を取得し、CISSP 認定資格を取得しています。Bleeping Computer によると、Maze ランサムウェアが大規模な IT サービス企業を襲ったとのことです。 https://www.bleepingcomputer.com/news/security/it-services-giant-cognizant-suffers-maze-ransomware-cyber-attack/?fbclid=IwAR3-qjIf_1ca2PA6L83YKxDAIqxF20DgxkSKQgy5SrqC_-kwJ2bZvnjf-2k.
過去には、このマルウェアは、ドライブバイダウンロードによるエクスプロイトキット、脆弱なパスワードを使用したリモートデスクトップ接続 (RDP)、電子メールのなりすまし、電子メールスパムなど、さまざまな手法で侵入してきました。フィッシングメールが配信されるケースの大半では、ユーザーがリンクをクリックし、マクロの実行を許可して、最終的に悪意のあるファイルがインストールされます。インストールされると、Maze ランサムウェアは感染したマシン上の重要なデータを暗号化し始めます。暗号化プロセスの実行中、ランサムウェアはデータをインターネット上のサーバーに流出させます。これらのプロセスの両方が完了すると、ユーザーには身代金要求と暗号化されたデータを復元する方法が表示されます。
2011 年、ロッキード マーティンはサイバー セキュリティ キルチェーンのアイデアを考案しました。サイバー セキュリティ キルチェーンは、脅威をカテゴリ別に整理し、そのカテゴリで展開してリスクを軽減できるセキュリティ制御も組み込んでいます。このキルチェーンを Maze ランサムウェアに適用すると、次のようになります。
- 配信カテゴリのフィッシング メールは、市販の電子メール保護ツールによって検出されるはずでした。
- 配信カテゴリのマルウェア ファイル (kepstl32.dll、memes.tmp、maze.dll) は、マルウェア ツールやその他の AV ツールによって検出されるはずです。この場合、エンド ユーザーがマクロの実行を許可する必要があったことに注意してください。このような種類の攻撃から身を守るには、ユーザーの認識が依然として重要です。
- マクロが有効になると、マルウェアはファイル サーバーにアクセスし、追加のマルウェアをダウンロードします。これは、コマンド アンド コントロール カテゴリと配信カテゴリで検出されるはずです。これらのカテゴリは通常、脅威インテリジェンス ツール、マルウェア ツール、およびホストベースのツールによって防御されます。
- 新しいファイルが作成され、ファイル暗号化プロセスが開始されます。このファイル作成とその後の暗号化は、アクションと流出のカテゴリで捕捉され、脅威インテリジェンス、プロセス異常検出、ファイアウォール、マルウェア ツールなどのツールによって保護される必要があります。
サイバー キルチェーンで考慮されていなかったのは、機械学習と AI の進歩です。これらのツールをキルチェーンの各カテゴリのデータに適用すると、各カテゴリの異常な動作を捕捉する能力が向上するだけでなく、検出結果を相関させることで各カテゴリの軽減策も改善されます。
ステラサイバーは、 Open XDR こうした種類の行動を検知し、警告を発し、対応するためのプラットフォームです。当社の広範なデータ収集技術と高度なデータ処理技術、そして機械学習を組み合わせることで、サイバーキルチェーン全体にわたって、こうした種類の攻撃を複数の領域で検知することが可能です。キルチェーンのある段階で攻撃を見逃した場合でも、別の段階で捕捉します。検知後は、異常な行動に対して自動的に対策を講じることができます。当社の技術をMazeランサムウェアに適用することで、以下の方法で検知・軽減できる可能性があります。
- 当社のフィッシング検出機能は、悪意のある URL を評価し、そのリスクを軽減します。
- 異常なログインが発生すると、RDP 接続が評価され、警告が出され、自動的に軽減されます。
- 上記のマルウェア ファイルは、弊社のマルウェア ツールによって評価され、軽減されます。
- これらのファイルがマルウェア テストに合格していれば、サーバー センサーは動作の変更 (つまり、インターネット ファイル サーバーへの新しい接続で生成された新しいプロセス) を検出していたはずです。
- ドロッパー ファイルがマルウェアとサーバー センサーの評価に合格した場合、インターネット ファイル サーバーへの呼び出しはネットワーク レベルで軽減される可能性があります。Stellar Cyber プラットフォームは、ネットワーク ファイアウォールに信号を送り、ターゲット サーバーへのブロックを実装します。
- 新しいファイルのダウンロードは、サーバー センサーまたはマルウェア評価で検出され、軽減された可能性があります。
- 暗号化プロセスはサーバー センサーによって検出され、プロセスの継続を防止/停止するための緩和技術が適用されます。
- 最後に、ネットワーク層、ホスト センサー、脅威インテリジェンスによって、データの流出プロセスが検出されます。
ランサムウェアは巨大な産業です。バックアップとパッチ適用は不可欠ですが、多層防御も同様に重要です。キルチェーンのさまざまな段階で環境を保護していない場合は、そうすることを検討してください。相互運用できないツールが多すぎてこれらの概念の実装に苦労している場合は、お電話ください。お手伝いいたします。
