** 本記事は、MITRE Engenuity ATT&CK® Evaluation results showcase Sophos real-world threat prevention and detection の翻訳です。最新の情報は英語記事をご覧ください。**
ATT&CK 評価の第 4 ラウンドでは、Wizard Spider と Sandworm という 2 つの高度な犯罪集団による攻撃を模して、エンタープライズ向けサイバーセキュリティツールが評価されました。
Wizard Spider は金銭を得ることを目的とした犯罪集団です。2018 年 8 月以降、大手企業から病院に至るまで、さまざまな組織に対してランサムウェア攻撃を行っています。
Sandworm はロシアの危険な犯罪集団です。2017 年に大混乱を引き起こした NotPetya ランサムウェアを仕掛けたことで知られています。
これら 2 つの犯罪集団は、いくつかの基準に沿って選ばれています。攻撃の高度さ、セキュリティ製品を提供する市場との関連性、そして MITRE Engenuity のスタッフが、信頼性の高い実環境でのテストのため、いかに正確に敵対組織を真似られるか、です。
脅威の可視化を実現
ソフォスは、Wizard Spider や Sandworm などの高度な攻撃を防御・検知する能力において、Intercept X は世界最高水準であることが実証されたことを、誇りを持ってお伝えします。具体的には、Intercept X は実際のものを模した 2 回の攻撃を両方ともブロックし、両方の攻撃プロセスの主要な段階をすべて検出しました。
「現実のサイバー脅威から組織を守るという課題は、精度と規模の両面において難しい試みです。防御側に最高レベルのコンテキストを提供することが、攻撃者の戦術、手法、手順 (TTP) を特定し、それらに対応できるよう高速化するための鍵になります。攻撃者は、新たな機会を捕捉し、検出を回避し、攻撃対象のセキュリティチームの一歩先を行こうと、ツールセットや活動を絶えず改良、進化させています。そのため、2 つの攻撃組織の実際の TTP に焦点を当てた MITRE Engenuity 評価で認められたことを嬉しく思います」と、ソフォスの最高技術責任者 (CTO) および最高製品責任者 (CPO) である Joe Levy は述べています。
ATT&CK Navigator が今回の評価に使用した手法の一覧は、こちらで公開しているレイヤーファイルで確認できます。また、ソフォス製品の検出結果はこちらで確認できます。
脅威を素早く防御
「私たちは、MITRE の評価によって、Intercept X の脅威検出力が証明されたことを非常に喜ばしく思っています。この検出力により、ソフォス製品のお客様は日々、攻撃プロセスの早い段階でより多くの攻撃を抑止し、ランサムウェアのように影響の大きい脅威を軽減することができます。」と Levy は付け加えています。ATT&CK 評価でシミュレートされたように、攻撃がより巧妙なものに発展する前に阻止することでランサムウェアのインシデントを 1 件防ぐことは、何百万ドルもの被害を防止することに繋がります。さらなる被害も防止できることは言うまでもありません。
米国のバイデン大統領は最近、Sandworm などのロシアの犯罪集団のサイバー攻撃が、欧米の組織やインフラに対するものにシフトしている可能性があるという声明を発表しました。このことから、それぞれの組織が最適な防御を行うことが重要だとわかります。重要なのは、攻撃対象になり得る領域を縮小し、攻撃者が組織に侵入する機会をなくすことです。ソフォス製品は、次のような方法で実現しています。
- PUA (潜在的な迷惑アプリケーション) をブロックする。
- コンテンツや URL のレーティングに基づき、悪質な Web サイトや不審な Web サイトをブロックする。
- 組織内での実行を許可するアプリケーションを管理する。
- ネットワークやクラウド資産にアクセスできるデバイスを管理する。
- ワンクリックでサーバーの構成をロックできるようにする。
次に重要なのは、攻撃の実行を防ぐことです。潜在的な脅威と攻撃者による攻撃の両方を防ぐために、以下のような多層防御テクノロジーを使用します。
- 既知の敵対的行動や異常な行動に基づいた動作検出および防止機能。
- 人工知能 (AI) モデルを用いた、初見のものも含めたファイルまたはフォルダへのリスクスコアの割り当て。
- ローカルシステムとリモートシステムの両方で動作する、動作ベースのランサムウェア対策。
- 攻撃者による攻撃を阻止するエクスプロイト防止機能。未知のマルウェアを活用した攻撃など、幅広い攻撃を含みます。
昨年起こった Kaseya による攻撃は、攻撃に対する防御と検出を組み合わせて行うことがいかに重要かを示しています。攻撃が検出された時にはもう手遅れで、ファイルはすでに暗号化されています。ソフォスの次世代エンドポイント保護製品が正しく配備されていたすべてのお客様は、Kaseya の攻撃によるファイルの暗号化を免れました。
検出と対応に要する時間の最小化
上記のように防御を最適化することで、現実の脅威に直面した際に検出と対応に要する時間を最小限に抑えられます。この仕組みにより、防御側はより少ない回数で正確に検出を行えます。
Sophos Intercept X with XDR は、評価項目の大半で最高のコンテキスト評価を獲得し、調査および対応プロセス全体が効率化されていることを実証しました。この結果は、ソフォス製品の直感的なコンソールと、定義・カテゴライズされた豊富な脅威ハンティングおよび調査クエリによるものです。このクエリは幅広い領域に及んでおり、MITRE ATT&CK でテストされた領域も含んでいます。参考のため、 Sophos Managed Threat Response (MTR) から提供されたデータを共有します。MTR は、24 時間 365 時間体制のマネージドディテクション&レスポンス (MDR) サービスであり、現在 8,500 社を超える Sophos Intercept X のお客様にサービスを提供しています。
ソフォスのサービスを利用しているお客様は、平均検出時間 (MTTD) を 1 分未満に抑えています。さらに、調査技術の強化により、平均調査時間 (MTTI) は 25 分となっています。
人力での調査では、MITRE によって指定された、優れた検出コンテキストを活用することで、より迅速かつ正確な対応を実現しています。その結果、平均解決時間 (MTTR) はわずか 12 分、脅威を検知してから解決するまでの合計時間はわずか 38 分弱となっています。
リアルな結果の提供
ソフォスの目標は、お客様がセキュリティインシデントの予防、検出、対応を迅速に行い、より堅牢なセキュリティを実現することです。
ソフォスは、Intercept X を MITRE Engenuity などの主要なテストプロバイダーで幅広くテストし、日々保護している組織からフィードバックを受けることに尽力しています。その結果は如実に現れています。ソフォスは常に業界をリードする保護機能を提供しており、Gartner Peer Insights™ のエンドポイントプロテクションプラットフォーム (EPP) において最も高い評価とレビューを受けたベンダーに選ばれ、SE Labs からは最高の Enterprise Endpoint Protection (エンタープライズ向けエンドポイント保護) に選出されています。
お客様のセキュリティに関する課題解決のためにソフォスが提供している支援サービスについてさらに詳しく知りたい方は、ソフォスの Web サイトをご確認いただき、チームのメンバーにご相談ください。
活発な脅威の封じ込め、無効化、調査について緊急の支援が必要な場合には、Sophos Rapid Response に 24 時間 365 日、サポートを依頼していただけます。