Articles /

2020年のゼロデイガイド:最近の攻撃と高度な予防技術

    イライ・バヴァティイライ・バヴァティ
    2年前

白い六角形の列には、さまざまなサイバーセキュリティ画像があり、一つの六角形には"zero day"という言葉が表示されています。"

ゼロデイの脆弱性により、脅威アクターはセキュリティの盲点を利用できます。 通常、ゼロデイ攻撃には、ゼロデイの脆弱性の特定、関連するエクスプロイトの作成、脆弱なシステムの特定、および攻撃の計画が含まれます。 次のステップは浸透と起動です。

この記事では、Microsoft、Internet Explorer、およびソフォスを対象とした最近のゼロデイ攻撃について調べます。 最後に、NGAV、EDR、IPsec、およびネットワークアクセス制御の4つのゼロデイ保護および防止ソリューションについて説明します。

ゼロデイ脆弱性とは何ですか?

ゼロデイ脆弱性は、まだ公開されていない、または攻撃の結果としてのみ発見される重大な脅威です。 定義上、ベンダーとユーザーはこの脆弱性についてまだ認識していません。 ゼロデイという用語は、脅威が発見された時間(ゼロ日)に由来します。 この日から、セキュリティチームと攻撃者の間で、まず脅威にパッチを適用または悪用するためのレースが発生します。

ゼロデイ攻撃の解剖学

ゼロデイ攻撃は、犯罪者がゼロデイの脆弱性を悪用した場合に発生します。 ゼロデイ攻撃のタイムラインには、多くの場合、次の手順が含まれています。

  1. 脆弱性の特定:犯罪者は、まだ報告されていない脆弱性について、オープンソースコードと独自のアプリケーションをテストします。 攻撃者はまた、まだ公開されていない脆弱性に関する情報を購入するために闇市場に向かう可能性があります。
  2. エクスプロイトの作成:攻撃者は、検出された脆弱性を悪用できるようにするキット、スクリプト、またはプロセスを作成します。
  3. 脆弱なシステムの特定:エクスプロイトが利用可能になると、攻撃者は影響を受けるシステムを探し始めます。 これには、自動スキャナ、ボット、または手動プロービングの使用が含まれます。
  4. 攻撃の計画:犯罪者が達成したい攻撃の種類によって、このステップが決まります。 攻撃が標的にされた場合、攻撃者は通常、捕捉される可能性を減らし、成功の可能性を高めるために偵察を行います。 一般的な攻撃では、犯罪者はフィッシングキャンペーンやボットを使用して、できるだけ早く多くのターゲットをヒットしようとする可能性が高くな
  5. 侵入と起動:脆弱性が最初にシステムに侵入する必要がある場合、攻撃者はエクスプロイトを展開する前にそうするように働きます。 ただし、脆弱性が悪用されて侵入する可能性がある場合は、その悪用が直接適用されます。

最近の攻撃例

ゼロデイ攻撃を効果的に防止することは、どのセキュリティチームにとっても重要な課題です。 これらの攻撃は、警告なしに来て、多くのセキュリティシステムをバイパスすることができます。 特に、署名ベースのメソッドに依存するもの。 セキュリティを改善し、リスクを軽減するために、最近発生した攻撃の種類について学習することから始めることができます。

Microsoft

2020年3月、Microsoftは2つの別々の脆弱性を悪用したゼロデイ攻撃についてユーザーに警告した。 これらの脆弱性は、サポートされているすべてのWindowsバージョンに影響を与え、数週間後まで更新プログラムは期待されませんでした。 現在、この脆弱性のCVE識別子はありません。

この攻撃は、Adobe Type Manager(ATM)ライブラリのリモートコード実行(RCE)の脆弱性を対象としています。 このライブラリは、PostScript Type1フォントを管理するためにWindowsに組み込まれています。 ATMの欠陥により、攻撃者は悪意のある文書を使用してスクリプトをリモートで実行することができました。 文書はスパムを介して到着したか、疑うことを知らないユーザーによってダウンロー Windowsファイルエクスプローラーを開いたり、プレビューしたりすると、スクリプトが実行され、ユーザーデ

Internet Explorer

Microsoftの従来のブラウザであるInternet Explorer(IE)は、ゼロデイ攻撃のもう1つの最近の原因です。 この脆弱性(CVE-2020-0674)は、IE scripting engineがメモリ内のオブジェクトを管理する方法に欠陥があるために発生します。 それはIE v9-11に影響を与えました。

攻撃者は、この脆弱性を悪用するために細工されたwebサイトを訪問するようにユーザーをだましてこの脆弱性を利用することができます。 これは、フィッシングメールやリンクやサーバー要求のリダイレクトを介して達成できます。

ソフォス

2020年4月、ソフォスのXGファイアウォールに対するゼロデイ攻撃が報告されました。 これらの攻撃は、ファイアウォールの組み込みPostgreSQLデータベースサーバーを対象としたSQLインジェクションの脆弱性(CVE-2020-12271)を悪用しようとしました。

この脆弱性が悪用された場合、攻撃者はデータベースにコードを挿入する可能性があります。 このコードは、ファイアウォールの設定の変更、システムへのアクセスの許可、またはマルウェアのインストールの有効化に使用できます。

保護と予防

ゼロデイ攻撃から適切に防御するには、既存のツールと戦略の上に高度な保護を層化する必要があります。 以下は、未知の脅威を検出して防止するために設計されたいくつかの解決策と実践です。

次世代ウイルス対策

次世代ウイルス対策(NGAV)は、従来のウイルス対策を拡張しています。 これは、機械学習、行動検出、および悪用の軽減のための機能を含めることによってこれを行います。 これらの機能により、既知の署名やファイルハッシュ(従来のAVが依存している)がない場合でも、NGAVはマルウェアを検出できます。

さらに、これらのソリューションはクラウドベースであることが多く、ツールを分離して大規模に展開することができます。 これにより、すべてのデバイスが保護され、デバイスが影響を受けても保護が有効なままになります。

Endpoint detection and response

Endpoint detection and response(EDR)ソリューションは、エンドポイントの可視性、監視、および自動保護を提供します。 これらのソリューションは、すべてのエンドポイントトラフィックを監視し、人工知能を使用して、外部Ipからの頻繁な要求や接続など、疑わしいエンド これらの機能を使用すると、攻撃方法に関係なく脅威をブロックできます。

さらに、EDR機能を使用して、ユーザーまたはファイルを追跡および監視できます。 追跡された側面が通常のガイドライン内で動作する限り、アクションは実行されません。 ただし、動作が逸脱するとすぐに、セキュリティチームに警告することができます。

これらの機能は特定の脅威に関する知識を必要としません。 代わりに、機能は脅威インテリジェンスを活用して一般化された比較を行います。 これにより、EDRはゼロデイ攻撃に対して有効になります。

IPセキュリティ

IPセキュリティ(IPsec)は、Internet engineering task forces(IETFs)によって使用される標準プロトコルのセットです。 これにより、チームはデータ認証手段を適用し、接続ポイント間の整合性と機密性を検証することができます。 また、暗号化とセキュリティで保護されたキー管理と交換も可能にします。

IPsecを使用して、すべてのネットワークトラフィックを認証および暗号化できます。 これにより、接続を保護し、ネットワーク以外のトラフィックや不審なトラフィックを迅速に識別して応答できます。 これらの能力を使用すると、ゼロデイ脆弱性を悪用する難しさを高め、攻撃が成功する可能性を減らすことができます。

ネットワークアクセス制御の実装

ネットワークアクセス制御を使用すると、ネットワークを非常にきめ細かい方法でセグメント化できます。 これにより、どのユーザーとデバイスが資産にアクセスできるか、およびその手段を正確に定義できます。 これには、適切なセキュリティパッチまたはツールを使用して、それらのデバイスおよびユーザーのみへのアクセスを制限することが含まれます。

ネットワークアクセス制御は、生産性を妨げたり、外部アクセスを完全に制限したりすることなく、システムを確実に保護するのに役立ちます。 たとえば、サービスとしてのソフトウェア(SaaS)をホストするときに必要なアクセスのタイプなどです。

これらのコントロールは、ネットワーク内の横方向の動きを防ぐことができるため、ゼロデイの脅威から保護するのに有益です。 これは、ゼロデイの脅威が引き起こす可能性のある損傷を効果的に分離します。

安全な滞在

最近のゼロデイ攻撃は、より多くの脅威アクターがエンドポイントユーザーに簡単なマークを見つけることを示しています。 マイクロソフトへのゼロデイ攻撃は、マルウェアを開くには、ユーザーをだますためにATMの脆弱性を悪用しました。 脅威アクターがInternet Exploreゼロデイの脆弱性を悪用した場合、ユーザーをだまして悪意のあるサイトを訪問させました。 ソフォスへのゼロデイ攻撃は、潜在的に脅威アクターへのユーザーアクセスを許可する可能性があります。

しかし、ゼロデイ攻撃は予測が困難ですが、これらの攻撃を防止しブロックすることは可能です。 EDRセキュリティを使用すると、組織はエンドポイントへの可視性を拡張でき、次世代のウイルス対策は既知の署名に依存することなくマルウェア IPsecプロトコルを使用すると、組織はネットワークトラフィックを認証および暗号化でき、ネットワークアクセス制御は悪意のあるアクターへのアクセ 脅威の俳優が優位を持っていることを許可してはいけない。 これらのツールとアプローチのいくつかを利用して階層化することで、従業員、データ、および組織をより適切に保護できます。

Leave a Reply