テクノロジー企業は、ビジネスの構築と運営、消費者取引の処理、相互のコミュニケーション、私生活と職業生活の整理に使用するツールを作成しました。 私たちが知っているように、テクノロジーは現代の世界を形作ってきました。そして、テクノロジーへの依存度は高まり続けています。
テクノロジー産業の重要性は、さまざまな理由でテクノロジー企業を標的とするサイバー犯罪者や国家グループにとって失われていません。 企業の機密データにアクセスして、身代金を要求したり、ダークウェブで販売したりできます。 サプライチェーンを危険にさらす。 などなど。
テクノロジー企業はサイバー犯罪に精通しており、長い間攻撃者の標的となってきましたが、この 2021 年間でこれらの攻撃は急速に増加しました。 テクノロジーは、2022 年 XNUMX 月から XNUMX 年 XNUMX 月までの間、サイバー侵入で最も標的にされた業種でした。 CrowdStrike 脅威データ. これにより、テクノロジーが最も人気のあるセクターになりました。 脅威アクター CrowdStrike の脅威ハンターが 77,000 件以上の潜在的な侵入を記録した XNUMX 年間、つまり XNUMX 分ごとに約 XNUMX 件の潜在的な侵入が記録されました。
これに聞き覚えがあるとしたら、それはおそらく、この脅威の活動をニュースで見たことがあるからです — データ侵害 テクノロジー業界への影響が 2022 年の見出しを独占しました。あらゆる規模のテクノロジー企業は、データを盗もうとすることが多いため、敵対行為の可能性について懸念する必要があります。 テクノロジー企業が最も懸念すべき脅威、それらの敵の戦術とは何か、そしてそれらを阻止する方法を詳しく見てみましょう。
今日の攻撃者がテクノロジー企業を標的にする方法
大企業、中小企業 (SMB)、および新興企業は、直面する脅威とそれらを防御する方法を認識する必要があります。
攻撃者は、検出を回避するために、ますますマルウェアから遠ざかっています。CrowdStrike の脅威データは、71 年 2021 月から 2022 年 XNUMX 月までのすべての検出の XNUMX% を、マルウェアを使用しないアクティビティが占めていることを示しています。 有効な資格情報の悪用 IT 環境でアクセスを取得し、永続性を維持する (つまり、再起動や資格情報の変更などの中断にもかかわらず、システムへの長期的なアクセスを確立する)。 ただし、別の要因があります。新しい脆弱性が公開される速度と、攻撃者がエクスプロイトを運用できる速度です。
ゼロデイおよび新たに公開された脆弱性の数は、年々増加し続けています。 CrowdStrike の脅威データは、20,000 年に報告された 2021 件を超える新しい脆弱性を示しており、これは前年を上回っており、10,000 年 2022 月の初めまでに XNUMX 件を超える脆弱性が報告されました。これは、この傾向が減速していないことを明確に示しています。
侵入中に使用される戦術、技術、手順 (TTP) を詳しく調べると、攻撃者の活動に共通するパターンが明らかになります。 脆弱性の悪用に成功すると、通常、Web シェル (敵対者が Web サーバーを侵害して追加の攻撃を開始できるようにする悪意のあるスクリプト) が展開されます。
侵害を阻止するためにテクノロジー企業ができること
テクノロジー業界は、絶えず進化する脅威の状況に対して強力な防御を維持するという課題に直面しています。 今日の攻撃者は、TTP をより巧妙なものに変更して、検出を回避し、より多くの被害を引き起こしています。 ビジネスが依存するワークロード、ID、およびデータを保護することは、防御者の責任です。
サイバー犯罪者がどのように攻撃を行うかについて万能のモデルはなく、テクノロジー企業があらゆる侵入から身を守るための特効薬もありません。 しかし、侵入活動を詳しく見てみると、IT およびセキュリティ チームが注目すべき重要な領域が明らかになります。 主な推奨事項は次のとおりです。
- 基本に戻る: テクノロジー企業がセキュリティ衛生の基本を整備することは最も重要です。 これには、強力なパッチ管理プログラムを導入すること、および認証情報が侵害された場合の影響を軽減するための堅牢なユーザー アカウント制御と特権アクセス管理を確保することが含まれます。
- リモート アクセス サービスを定期的に監査します。 攻撃者は、既存のリモート アクセス ツールを自由に利用したり、自動検出を回避することを期待して正規のリモート アクセス ソフトウェアをインストールしようとしたりします。 定期的な監査では、ツールが承認されているかどうか、およびアクティビティが営業時間内などの予想される時間枠内にあるかどうかを確認する必要があります。 短時間に同じユーザー アカウントから複数のホストへの接続が行われた場合、敵対者が資格情報を侵害した兆候である可能性があります。
- プロアクティブに脅威を探します。 敵対者がテクノロジー企業の防御を突破すると、密かにデータを収集したり、機密情報を探したり、資格情報を盗んだりするため、敵を検出するのは困難になる可能性があります。 ここで、脅威ハンティングの出番です。環境内の敵を積極的に探すことで、テクノロジー企業は攻撃を早期に検出し、セキュリティ体制を強化できます。
- ID 保護を優先します。 攻撃者はますます認証情報を標的にして、テクノロジー企業に侵入しています。 従業員、サードパーティ ベンダー、または顧客であるかどうかに関係なく、すべてのユーザーが無意識のうちに侵害され、敵対者に攻撃経路を提供する可能性があります。 テクノロジー企業は、サプライ チェーン攻撃、ランサムウェア攻撃、データ侵害などのサイバー攻撃を防ぐために、すべての ID を認証し、各要求を承認する必要があります。
- 脅威の防止を忘れないでください。 テクノロジー企業にとって、脅威防止ツールは、サイバー脅威が環境に侵入する前、または損害を与える前にブロックできます。 検出と防止は密接に関係しています。 サイバー脅威を防ぐには、リアルタイムで検出する必要があります。 IT 環境が大規模になるほど、脅威の検出と防止に役立つツールの必要性が高まります。
サイバー犯罪と国家活動の進化は、減速の兆しを見せていません。 テクノロジー企業は、ワークロード、ID、およびデータを保護し、組織の運営を維持するために、防御を強化し、敵の手法を理解する必要があります。
