2022年版Falcon OverWatch 脅威ハンティングレポート
攻撃は激化、複雑さがエスカレート
攻撃は激化、複雑さがエスカレート
2022年も、人によるプロアクティブな脅威ハンティングは高度な攻撃を検知し、阻止し、進化を続ける攻撃者を寄せ付けないための単なるオプションではなく、必須の対策であることが証明され続けています。
この特別レポートで、CrowdStrike® Falcon OverWatch™脅威ハンティングチームは、2021年7月1日~2022年6月30日までに観察された攻撃の手口やツールについての知見を提供します。本レポートには、今日の最も巧妙でステルスなサイバー脅威に先回りするために組織や脅威ハンターが実際に活かせるヒントも含まれます。
データが何よりの証拠
77,000
OverWatchにより阻止された潜在的攻撃
7分
OverWatchが潜在的攻撃を検知するまでに要した平均時間
1+ 百万
件以上の悪意あるイベントを防止
50%
対話型攻撃の増加
71%
OverWatchが検知した脅威のうちマルウェアフリーの攻撃
1時間24分
サイバー犯罪(e-Crime)の平均ブレイクアウトタイム
重要な内容
CVE、ゼロデイに留まらない
新たに開示された脆弱性とゼロデイの急増により、組織はこれまでにないリスクにさらされています。脅威アクターはかつてないほどの速さでこれらの脆弱性を兵器化しています。そのため、狙われた組織には対応にわずかな時間しか残されていません。 脅威ハンティングへのプロアクティブなアプローチが、増大するリスクに先んじる上で重要である理由と、組織がそれを達成する方法を学びます。
同一のランサムウェアで、それぞれ独自の手口
実入りの多いランサムウェア・アズ・ア・サービス(RaaS)モデルはサイバー犯罪(e-Crime)攻撃活動の大きな推進力となっています。膨大な数のアフィリエイトが、RaaSサービスの可用性を利用して、さまざまなパターンの攻撃の手口を採用しています。 本レポートで、OverWatchチームは、RaaSアフィリエイトの侵入で観察されたさまざまなアプローチの一部を示す4つのケーススタディを共有しています。
攻撃の手口の詳細:新興、トレンド、主力ツール
マルウェアフリーの攻撃が蔓延しているにもかかわらず、OverWatchは、攻撃にさまざまなツールを使用する攻撃者を引き続き観測しています。 本レポートでは、新たに登場し、トレンドになっている主力の攻撃ツールと攻撃の手口を堀り下げて分析し、最前線に躍り出た機能と戦術、およびこれまでに見られなかった新しい方法に焦点を当てています。
アイデンティティは攻勢に晒されている
過去12カ月間、OverWatchは、有効なクレデンシャルと侵害されたクレデンシャルの悪用を観察しました。 アイデンティティベースの技法はMITRE ATT&CK® フレームワークの上位6つの戦術の上位に挙げられました。初期アクセス、永続化、特権昇格、防御の回避、クレデンシャルアクセス、発見。 アイデンティティの保護に組織は何ができるのか学びましょう。
フィッシング:マクロでは廃れ、ISOで拡大
Microsoftが今年初めに、マルウェア配信戦術に使用されていることが実証されたVBAマクロを、Office製品ライン全体でデフォルトで無効にすることを発表し、攻撃者はすぐにフィッシング戦術を変更し始めました。OverWatchは、攻撃者がフィッシングキャンペーンから完全に離れるのではなく、別のツールを採用し、マルウェアを含むマクロを ISO、ZIP、RAR などの同様に侵害されたコンテナファイルに置き換えたことを観察しました。 ISOフィッシングの試みを特定するために、この攻撃戦術とハンティング戦略を調査した詳細なケーススタディは、レポートでご覧ください。
攻撃をクラウドに移行
クラウドアプリケーションとインフラストラクチャへの攻撃が増加しています。本レポートでは、OverWatchが2つのクラウドベースの攻撃について詳述し、攻撃者がクラウド環境でどのように動作し、侵入のさまざまな段階で主要なコンポーネントを武器化する方法を示します。防御側がクラウド環境を評価する際のアクションアイテム、ガイダンス、考慮事項も提供します。 Falcon OverWatch Cloud Threat Hunting™ は、同一の体系的で包括的なハンティング手法を用いながら、コントロールプレーンまで詳細に可視化するための新しいツールとテレメトリを追加します。
脅威ハンティングレポートの過去のエディション
