読メモ:Build a stronger security strategy with proactive and reactive incident response: Cyberattack Series
サイバー犯罪による収益は、2024年の9兆2200億ドルから2028年までに13兆8200億ドルに増加すると見込まれている。
Microsoft Incident Response の侵害評価
Microsoft Incident Response のプロアクティブな侵害評価は、検出と防止に重点を置き、潜在的な侵害インジケーター (IOC) の特定、潜在的な脆弱性への注意喚起、セキュリティ強化対策の実装によるお客様のリスク軽減の支援を行う。リアクティブな侵害評価では、インシデント分析、脅威ハンティング、戦術的封じ込め、Tier 0 リカバリなど、侵害中および侵害直後のインシデント管理を中心としている。
2024 年半ば、非営利団体のプロアクティブな侵害評価を実施し、脅威アクターStorm-2077 による侵害の兆候を確認した。脅威アクターは、組織の環境に数か月以上存在していた可能性があり、検出直後から、グローバル管理者アカウントを作成し、環境を完全に制御するために、正当な組織のグローバル管理者アカウントを無効にし始めた。Microsoft Incident Response はプロアクティブな侵害調査をリアクティブモードに変更し、脅威アクターは封じ込められ、アクセスは迅速に修復された。
事例のポイント
上述の事例について詳細なレポートが添付されていたので、ここからはその内容を見てみます。とはいえ、詳細はレポートを見ていただければわかるので、個人的に何点かピックアップして記載します。
緩和措置を開始すると、攻撃者の側でも対抗措置を取り始める => 緩和措置をとる前のプランが大事
攻撃者の存在に気付いた際に実施することとして、全体管理者が適切かの確認、トークンの再発行、パスワード変更と MFA 要求 => つまりこれらが日ごろから適切に行われていることが一定の防御になりうる
最初の入口は、パッチが適用されていない 3rd party のソフトウェア (しかもセキュリティ製品!) => パッチは適用しましょう。
この事例では、パスザハッシュ攻撃でクッキーが盗難されていた => パスキーが正義(個人の見解です)
DCSync でデータを盗られていた => Microsoft Defender for Identity を使っていれば、検知できたかもしれない(Remove non-admin accounts with DCSync permissions - Microsoft Defender for Identity | Microsoft Learn)
参考までに、本事例の TTP はこちら。
参照元:プロアクティブおよびリアクティブなインシデント対応により、より強力なセキュリティ戦略を構築:サイバーアタックシリーズ |Microsoft セキュリティ ブログ