脅威の調査

調査の舞台裏: OODA: X-Ops Takes on Burgeoning SQL Server Attacks」の舞台裏

** 本記事は、Behind the Research: The Making of “OODA: X-Ops Takes on Burgeoning SQL Server Attacks” の翻訳です。最新の情報は英語記事をご覧ください。**

本日、Microsoft SQL Server に対する一連の攻撃に関するソフォスの新しい調査結果を発表しました。また、機械学習と人工知能によってセキュリティオペレーションがどのように強化・改善されるかについて、ソフォスのビジョンを解説した新しい資料も公開しました。”AI 駆動型SOCの構築:ソフォスの5年後の展望 “です。最後に、本日、ソフォスで確立された3つのサイバーセキュリティ専門家チームを連携させた新たな組織、Sophos X-Opsの立ち上げを発表しました。SophosLabs、SecOps(Managed Threat Response、Rapid Response、Sophos Security)、Sophos AIというソフォスの3つの確立されたサイバーセキュリティ専門家チームを連携させ、お客様により強力で革新的な保護、検出、対応能力を提供します。

セキュリティリサーチ (調査) とセキュリティレスポンス (対応) の分断は、業界全体でよく知られた問題であり、攻撃者にアドバンテージをを与えてしまいます。ソフォスでは、複数の分野の能力と専門知識を結集した合同タスクフォースモデルによって、それぞれの固有の脅威に対応することが正しい解決策であると考えています。この投稿では、Sophos X-Ops がどのように機能するかを実際に見ていただけるよう、具体的な調査結果を用いて、その意味を具体的に説明したいと思います。

今回発表した調査は、既知の脆弱性のパッチが適用されていない Microsoft SQL Server に対する一連の攻撃未遂について述べています。これらの攻撃の背後にいる脅威グループは、2022年前半に、主にアメリカとアジアの企業や組織に影響を与えた複数のインシデントに関与している可能性が高いと考えられます。これらの攻撃の最終的な目標は、脆弱性のあるシステムで足場を固め、より多くのシステムを侵害し、ランサムウェアを展開することでした。

Sophos X-Ops チームは、継続的な好循環の中で絶え間なく協力し合っています。たとえば、このケースでは、Sophos AI のインテリジェンスとツールの支援を受けた SophosLabs が、Intercept X 製品に検知機能を組み込んでいます。Intercept X は、攻撃者が展開しようとしていたランサムウェアを検知・防御することができました。具体的には、ソフォスの CryptoGuard 技術がこのランサムウェアを検出し、展開をブロックしました。また、エンドポイントセキュリティを無効にしようとするランサムウェアの試みを Intercept X が防いだことも特筆すべき点です。Intercept X は、攻撃者がネットワークとその上のシステムに対してさらなる攻撃を仕掛けるための安全な場所を提供させませんでした。

SecOps (SOC) の一部である Managed Threat Response (MTR) チームは、お客様のシステムを保護するために 24時間 365日のライブ監視と応答を継続的に提供していますが、このランサムウェアファミリーの検出が相次いでいることに気づきました。このチームは、これらの試みの背後にある背景と侵害の指標を把握するために調査を開始しました。

この調査では、MTR チームと SophosLabs チームが協力して、マルウェアの機能と実環境での展開方法を把握しました。

一方、同じ SecOps の一員である Rapid Response チームは、別の企業で同じランサムウェアが展開されようとしていたため、その対策に着手していました。Rapid Response チームは、Intercept X を使用してランサムウェアの展開を防ぎ、これらの攻撃がどのように展開されたかについて、より具体的で現実的な詳細を収集することができたのです。Rapid Response チームは、その作業の一環として、SophosLabs および MTR と協議し、それぞれの専門分野の情報を共有して、マルウェアと実際の現実の攻撃チェーンに関する全体像を把握することができました。攻撃鎮圧後、Rapid Response は攻撃にあったお客様との連携を終了し、ソフォスの慣例に従い、事後監視の期間を MTR に引き継ぎました。

SophosLabs は、この詳細なデータを使用して、より優れた保護機能を製品に組み込むとともに、Sophos AI が保護機能を強化するための機械学習の学習に使用するデータを提供しました。

最後に、これらのチーム全員が協力して調査結果をまとめ、本日発表しました。これにより、企業のITセキュリティ管理者は私たちが学んだことを学び、組織をよりよく守ることができるようになります。

Sophos X-Ops では、サイバーセキュリティ業界において情報共有が重要な要素であると考え、Sophos X-Ops ブログと Twitter ハンドルを新たに更新するとともに、Cyber Threat Alliance (CTA) や Microsoft Active Protections Program などのプログラムにも参加しています。例えば、CTA を通じて、ソフォスの Intercept X 製品に含まれる検知情報を他のすべての CTA メンバーと共有し、彼らの顧客も保護されるようにします。

収集、分析、共有されたすべての情報は、より多くの攻撃を阻止することにつながり、その結果、攻撃の仕組みに関するより多くの情報がもたらされます。このサイクルは、Sophos X-Ops が常に連携することで継続します。攻撃者自身も、防衛側の裏をかくために、常に攻撃手法を更新するために攻撃者同士、連携しているからです。

ソフォスのお客様やすべての人に、より良い保護と情報を提供できるのは、知識、専門性、インテリジェンスを補完するこれらの異なるチームを編成し、脅威の全体像を把握し、可能な限り幅広く提供するためです。ソフォスが成長し、より多くの機能と専門知識を結集して、より充実した調査と対応を行うようになれば、Sophos X-Ops の組織や役割、機能も当然大きくなっていくでしょう。ご期待ください。

Sophos X-Ops の詳細については、よく寄せる質問をご覧ください。

コメントを残す

Your email address will not be published.