Sophos Firewall、Sophos XDR、Sophos NDR の新たな防御機能

Paul Murray

1 year ago

** 本記事は、New Active Adversary Defense capabilities with Sophos Firewall, Sophos XDR, and Sophos NDR の翻訳です。最新の情報は英語記事をご覧ください。**

現在、アクティブアドバーサリはあらゆる規模の組織にとって大きな脅威です。熟練のサイバー犯罪者は、優れた防御に対応するため、攻撃手法を開発・進化させ続け、大規模な攻撃を実行し、予防的なセキュリティソリューションのトリガーを回避するように設計された高度な技術を採用しています。

しかし、Sophos Firewall、Sophos XDR、Sophos NDR の各ソリューションに追加された新機能により、このようなアクティブアドバーサリに対する防御をさらに強化できることを保証します。

アクティブアドバーサリとその活動

アクティブアドバーサリは、高度なソフトウェアとネットワークスキルを備えた熟練のサイバー犯罪者であることが多く、組織のシステムに侵入し、検出を回避し、ハンズオンキーボード攻撃者や AI を活用した攻撃手法を使用して予防的なセキュリティ制御を回避し、攻撃を実行するために手法を継続的に適応させます。

組織は、アクティブアドバーサリが一般的に使用する以下のようなアプローチを検出し、対応するように設計された適応型セキュリティ防御を必要としています。

多段階の攻撃
開始地点と異なる場所で完了する攻撃
アクティブアドバーサリは、被害者の環境全体で複数のドメインを横断する攻撃を実行します。この種の攻撃の全容は、単一のポイント製品では検知できません。組織は、エコシステム全体にわたる可視性を必要としています。

環境寄生型 (Living Off the Land) 攻撃
正規のツールを悪用する攻撃
予防的なセキュリティツールでは、業務に大きな支障をきたすリスクなしに、正規の IT ツールの使用はブロックできません。攻撃者は、この事実を利用し、RDP や PowerShell のような正規の IT ツールを用いて身を潜めます。

未知の脆弱性
ソフトウェアの弱点や欠陥、エラーを利用した攻撃
攻撃者はゼロデイ脆弱性やパッチが適用されていない脆弱性を悪用して攻撃を実行します。ランサムウェア攻撃の 65% は、攻撃者が未知の脆弱性を悪用するか、有効な認証情報を使用してログインすることから始まります。

認証情報の悪用
Attacks that start with an adversary logging in instead of breaking in
アクティブアドバーサリは、侵害された正規のユーザー認証情報を使用してログインし、攻撃を実行します。予防的なセキュリティツールは、その「ユーザー」が疑わしい行動や悪意のある行動を示すまで、行動をブロックしたり検知したりできません。

セキュリティ担当者向けの新しいアクティブアドバーサリレポートで、昨年 1 年間の攻撃者の行動における主な変化を以下のようにご紹介しています。

攻撃がスピードアップしています。ランサムウェア攻撃の滞留時間は、2022 年には 9 日間でしたが、2023 年上半期には 5 日間に急激に減少しています。
攻撃者はしばしば正規の IT ツールを悪用します。アクティブアドバーサリによって使用されている LOLBins (バイナリの持ち込み) テクニックは、早い攻撃 (5 日より短い滞留時間) と遅い攻撃 (5 日より長い滞留時間) で大きな差はありません。
アクティブアドバーサリは、標的に到達するために必要な場合にのみ、必要な範囲に限って、技術を更新します。

アクティブアドバーサリレポートは、組織がアクティブアドバーサリの行動を理解し、セキュリティエコシステム全体を可視化して、より迅速に検知・対応する必要性を浮き彫りにしています。

新機能

ソフォスは、Sophos XDR、Sophos Firewall、Sophos NDR のソフォスプラットフォームに新機能を追加し、アクティブアドバーサリに対する防御力をさらに強化しています。

Active Threat Response を備えた Sophos Firewall
絶賛利用可能です!
Sophos Firewall v20 の新機能である Active Threat Response は、アクティブアドバーサリに対して即座に自動で応答します。Sophos XDR および MDR のアナリストは、Sophos Central から直接ファイアウォールに脅威情報を通知できるため、手動による介入や新たなファイアウォールルールの作成を必要とせず、ファイアウォールで即座に防御を調整できます。

XDR で利用可能になった Sophos NDR
2023 年 11 月 20 日から利用可能
Sophos NDR (Network Detection and Response) は、組織のネットワーク上をデバイス間で移動するアクティブアドバーサリを検出します。従来は Sophos MDR のアドオンとしてのみ提供されていた Sophos NDR が、自身の検出と対応活動を管理する組織のために Sophos XDR のアドオンとしても提供されるようになりました。

サードパーティとの互換性が向上し、UX が最適化された Sophos XDR
2023 年 11 月 20 日から利用可能
エンドポイント、ファイアウォール、クラウド、ID、ネットワーク、メール、生産性の各カテゴリにおいて、お客様が Sophos XDR と統合できるサードパーティのツールや製品の範囲を大幅に拡大しています。Sophos XDR は、セキュリティデータを統合し、最適化されたワークフローによって調査負荷を軽減する単一コンソールを提供します。

ポイント製品 vs. 統合された製品とサービス

攻撃者は継続的に攻撃手法を適応させており、その結果、これらの新しいアプローチから身を守るために新しいポイント製品が逐次導入されることになります。しかしながら、それぞれのツールは通常、うまく連携が取れません。一方ソフォスは、シームレスに連携するように設計されたサイバーセキュリティ製品とサービスの幅広いポートフォリオを 統合したプラットフォーム を提供しています。さらに、サードパーティのテクノロジーと互換性のあるソフォスの統合されたエコシステムは、自動化されたアクションと相関するデータを提供します。これにより、組織はすべての主要な攻撃対象領域において、アクティブアドバーサリの検出、調査、対応を迅速に行えます。

アクティブアドバーサリに対する防御を強化する

ソフォスのソリューションがどのようにアクティブアドバーサリに対する防御を強化できるかについての詳細は、ソフォスのアドバイザーまたはソフォスのパートナーにお問い合わせください。