ハッカーは最新のサイバーセキュリティツールを回避する方法を模索している

(ブルームバーグ) -- ハッキングがより破壊的かつ蔓延する中、CrowdStrike Holdings Inc.やMicrosoft Corp.などの企業が提供する強力なタイプのツールがサイバーセキュリティ業界にとって恩恵となっている。

ブルームバーグで最も読まれた記事

中国、武器化されたドルを撃退するために世界人民元を奪う

ゼレンスキー氏、ウクライナがプーチン大統領とクレムリンを攻撃するためにドローンを送ったことを否定

TD、ファーストホライゾン、規制当局の行き詰まりで130億ドル規模の合併を終了

パックウェストは売却の可能性も含めて戦略的オプションを検討中

銀行ドラマが激化。 Apple、取引終盤で上昇：マーケットラップ

エンドポイント検出および応答ソフトウェアと呼ばれるこのソフトウェアは、ラップトップ、サーバー、およびその他のデバイス (コンピューターネットワーク上の「エンドポイント」) 上の悪意のあるアクティビティの初期の兆候を発見し、侵入者がデータを盗んだりマシンをロックしたりする前にブロックするように設計されています。

しかし専門家らは、ハッカーが一部のテクノロジーの回避策を開発し、重要なシステムを保護するための標準となっている製品をすり抜けることを可能にしていると述べている。

たとえば、Alphabet Inc.のGoogle Cloud部門の一部であるMandiantは、過去2年間でEDRまたはその他のエンドポイントセキュリティソフトウェアが改ざんまたは無効化された84件の侵害を調査したと、同社の主任脅威アナリストであるタイラー・マクレラン氏は述べた。会社。

マカフィーとマイクロソフトで上級職を歴任し、現在はサイバーセキュリティ部門の責任者を務めるマーク・カーフィー氏によると、今回の調査結果は、ハッカーが最新のサイバーセキュリティ保護を克服するためにテクニックを適応させるという、何十年にもわたって繰り広げられてきたいたちごっこの最新の進化を表しているという。イギリスの起業家。

同氏は、「セキュリティ保護ツールのハッキングは新しいことではない」と述べ、「成功すれば、そのツールを使用しているすべてのシステム、定義上、保護する価値のあるシステムにアクセスできるようになる」と付け加えた。

複数のサイバーセキュリティ企業の調査員らは、EDRが無効化されたりバイパスされたりする攻撃の数は少ないものの増加しており、ハッカーはEDRが提供する強力な保護を回避する方法を見つける上でより機知に富んでいると述べた。

Microsoftは12月、ハッカーが同社をだまして自社の信頼性を示すシールをマルウェアに適用させ、その後、被害者のネットワーク上で同社のEDRやその他のセキュリティツールを無効にするために利用されたことをブログ投稿で明らかにした。 Microsoftは、この策略に関与したサードパーティの開発者アカウントを停止し、「こうした不正行為に対処し、将来の顧客への影響を防ぐための長期的な解決策に取り組んでいる」と述べた。

Arctic Wolf Networks は 2 月、昨年末に調査した、Lorenz ランサムウェアグループのハッカーが最初は被害者の EDR によって妨害された事件について詳しく説明しました。同社によると、ハッカーたちは再結集して無料のデジタルフォレンジックツールを導入し、これによりコンピュータのメモリに直接アクセスし、EDRを迂回してランサムウェアの展開に成功したという。 Arctic Wolf は被害者や影響を受けた EDR を特定しませんでした。

そして 4 月、Sophos Group は、英国に本拠を置く同社が発見した新しいマルウェアを明らかにしました。このマルウェアは、Lockbit および Medusa Locker ランサムウェアを展開する前に、Microsoft、Sophos 自体、およびその他数社の EDR ツールを無効にするために使用されていました。「EDR バイパスとセキュリティソフトウェアの無効化は、明らかに増加傾向にある戦術です」と脅威調査担当シニアマネージャーのクリストファーバッド氏は述べています。「この種の攻撃はその性質上、サイバー攻撃を検出して防止するツールそのものを標的にするため、検出するのが特に困難です。」

IDC によると、EDR およびその他の新しいエンドポイントセキュリティテクノロジーの市場は、昨年、CrowdStrike と Microsoft が主導し、世界で 27% 成長し、86 億ドルに達しました。

クラウドストライクのインテリジェンス担当シニアバイスプレジデントであるアダム・マイヤーズ氏は、EDRソフトウェアに対する攻撃の増加はハッカーが「進化している」ことを示していると述べた。クラウドストライクが追跡した攻撃の多くは、自社製品や競合他社が提供するものに対するもので、クライアントシステムの構成ミスやソフトウェアやファームウェアの奥深くにある脆弱性が関与しており、ハッカーが標的のネットワークに侵入するために一層の努力を必要としている兆候であると同氏は述べた。

「これはスタックの最下位への競争だ」とマイヤーズ氏は語った。「私たちは、より低く、よりハードウェアに近づこうとしています。ハードウェアに近づくほど、攻撃を止めるのは難しくなります。」

Microsoftの担当者はこの件についてコメントを控えた。

10 年前、ウイルス対策ソフトウェアメーカーは、PC やその他のエンドポイント向けのセキュリティ製品の主要なサプライヤーでした。サイバーセキュリティの専門家によると、攻撃がますます高度になり、アナリストが新種のマルウェアのデジタル「署名」を手動で作成してブロックする技術の弱点が露呈したため、その人気は低下したという。

ランサムウェアやその他の破壊的な攻撃の増加により、感染を早期に検出してブロックすることを目的とした EDR や同様のテクノロジーの需要が高まっています。このツールは、悪意のある活動のより多くの兆候を探し、侵害の調査と修復という時間のかかるタスクの多くを自動化します。

ブルームバーグニュースが明らかにしたこれまで報道されていなかった事件の 1 つは、デンマークのコペンハーゲンに拠点を置く CSIS セキュリティグループが 10 月に発生したもので、ヨーロッパの製造会社の侵害を調査していました。

ハッカーらは Microsoft の EDR のこれまで知られていなかった弱点を悪用し、セキュリティツールによって検出されるような方法でマルウェアをパッケージ化しました。これにより、攻撃がブロックされたことが被害者の IT チームに警告されたと、最高イノベーション責任者の Jan Kaastrup 氏は述べています。捜査を監督したCSISに。しかし、ハッカーらは阻止されず、3週間にわたってネットワーク内を歩き回ることができたという。被害者が企業ネットワークからデータが流出しているのを発見し、デンマークのセキュリティ会社に連絡するまで、侵害は発見されなかったという。カーストラップ氏は被害者の特定を拒否したが、ブルームバーグが事件報告書の匿名化されたコピーを確認することを許可した。同社はこの問題をマイクロソフトに報告したが、マイクロソフトはこの問題についてブルームバーグにコメントすることを拒否した。

最近の事件から得た教訓は単純だ、と同氏は言う。つまり、決意の強いハッカーに対してテクノロジーでできることには限界があるということだ。

「セキュリティソフトウェアは単独では機能しません。画面上の目とテクノロジーを組み合わせる必要があります。」と彼は言いました。 EDR は「ウイルス対策ソフトウェアよりもはるかに優れています。ですから、間違いなく必要です。ただ、一部の人が考えているような特効薬ではありません。」

ブルームバーグビジネスウィークで最も読まれた記事

Twitterの未払い請求はイーロン・マスクにとってさらに大きな問題になる恐れがある

食洗機エンジニアがイーロン・マスクの商業空間支配にいかに挑戦したか

大きすぎて潰せないが、大きすぎて他の銀行を救済できない

ベン・シャピロの背後にいる会社は右翼の魔法王国を築こうとしている

キャデラックのリリックEVは、GMが十分な量を生産できれば勝者になるかもしれない