2021年10月脅威レポートで、McAfee Enterprise ATRチームは、第2四半期にランサムウェアが最も標的にした業界は政府機関であり、通信、エネルギー、メディア・コミュニケーションが続いたことを発表しました。まずはそれらのランサムウェア攻撃の概要をお伝えします。
2021年6月、G7エコノミーは、ランサムウェアを利用する犯罪者グループを抱えている可能性のある国々に、ランサムウェアの追跡と業務の中断について説明責任を果たすよう要請しました。最近MVISION Insightsに追加された重大度の高いキャンペーンと脅威プロファイルを確認しましょう。
目次
脅威プロファイル Conti ランサムウェア&BazarLoaderからContiRansomwareへの32時間
Contiは、2021年9月に報告された新しいキャンペーンを含め、2021年にトップのランサムウェアグループの1つでした。このレポートで前述したように、政府機関はランサムウェア攻撃の影響を最も受けた部門でした。McAfee Enterpriseは、当社のブログ上で、ランサムウェアから防御するための戦略に関する記事を公開しています。
政府機関に影響を与えるその他の最近の脅威
CVE-2021-40444 Microsoft MSHTMLリモートコード実行の脆弱性
これは、Microsoft、McAfee Enterprise、およびその他のソースによって2021年9月に報告された深刻なMicrosoft Officeの脆弱性です。MVISION Insightsヒートマップは、2021年10月前半のこの脅威に関連する侵入の痕跡(IOC)の蔓延を示しています。
Microsoftは回避策に関するガイダンスを提供していますが、多くの政府機関の組織がこれらのパッチを迅速に展開することは困難な場合があります。俊敏性を高めるために、McAfee Enterpriseは、ENS、EDR、およびNSPを活用した独自のガイダンスをリリースしました。
Microsoft Officeの脆弱性は、通常、攻撃ライフサイクルの初期段階で悪用されます。Conti ランサムウェアで前述したBazarLoaderは、WordおよびExcelドキュメントでも使用されています。MITER Enterprise ATT&CKフレームワークでは、この手法はT1203として知られており、MVISION Insightsの177のキャンペーンと脅威プロファイルで確認することも可能です。
SAS21でChaChaを実行していることが特定された脅威プロファイルAPT41およびAPT41マルウェア
APT41は、中国にリンクされ、2021年9月に報告された新しいキャンペーンを含む、複数のキャンペーンに関連する国家が後援する脅威グループです。ランサムウェアは現在、報道を賑わす主要なサイバー脅威となりましたが、特に中国のような国によって悪用される可能性のある機密情報を持つ政府機関は、このような国家が後援する脅威グループへの対策を強化しています。
このレポートの後半では、MVISION Insightsのデータを活用してこれらの攻撃の痕跡を見つけ、保護レベルを強化する方法について説明します。
政府機関に影響を与えるクラウドの脅威
2021年10月脅威レポートで、McAfee Enterprise ATRはクラウド脅威の蔓延も評価し、米国政府部門を影響を受けた上位10の業種の1つとして特定しました。
多くの政府や自治体は、コラボレーションとコスト削減し、より効率よく政府機関としてのサービスを人々に提供するために、クラウドテクノロジーの導入を迅速に進めています。
そのスピードに対し、クラウドセキュリティへの対処は不十分となる場合があり、これらの脅威が影響を及ぼす主な原因となっています。そんな中、攻撃者から狙われることを前提に、重要な機密データをリアルタイムで紛失や盗難から保護するために、次のようないくつかのクラウドネイティブコントロールでの対策が可能です。
- クラウドサービスを保護するためのクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)
- すべてのクラウドサービスへのアクセスを保護するための Secure Access Service Edge(SASE)
脅威インテリジェンスの運用化
ここでは、ネットワークをより適切に保護するためにこの脅威インテリジェンスデータを運用する方法についていくつかのガイダンスを提供したいと思います。MVISION Insightsは、影響を与える脅威に対するリスク評価、保護ガイダンスを提供し、他のツールと統合して脅威データを共有することにより、McAfee Enterprise Threat Intelligenceデータの運用を支援します。
前述のConti ランサムウェアの脅威プロファイルの例を見てみましょう。以下に、MVISION Insightsがどのようにそれらの情報を提示するかを示します。
1.この脅威プロファイルにリンクされているCVEのリスト、この脅威から正しく保護されるMcAfee Enterprise ENS AMcoreコンテンツの最小バージョン、環境内の検出、およびどのデバイスでの検出についての簡単な説明。
2.関連するキャンペーン、これらのキャンペーンに関連する未解決の検出が行われたデバイス、または保護が不十分なデバイスのリスト。
3.脅威の普遍的で不可知論的なオーバーレイを提供するMITRE手法とツールのリスト、および各MITRE手法のこの脅威プロファイルに固有のオブザーバブルの詳細。
4.フィルター、IOC属性、およびIOCエクスポート機能を備えたIOCのリスト。これらを使用して、SIEMなどの他のソリューションと共有でき、他の部門のエンティティとも共有が可能。また、MVISION EDRとの直接統合も提供します。あるいはAPIを利用してIOCの交換を自動化することも可能です。
MVISION EDRでこれらのIOCを備えたデバイスを見つけた場合は、デバイスの検疫、プロセスの強制終了、ファイルの削除、カスタムスクリプトの実行などのリモートアクションをすぐに実行できます。
MVISION EDRを使用して、すべてのMVISION EDRアラートで特定のMITRE技術を検索するなど、より高度な脅威ハンティングを行うこともできます…
…またはアラートを自動的にグループ化するMVISION EDRモニタリングビュー。
5. MVISION Insightsは、Yara、Sigma、およびMcAfee EnterpriseENSエキスパートルールを使用してMcAfeeEnterprise ThreatIntelligenceエキスパートが作成したハンティングルールも提供します。
6.McAfee Enterpriseのエンドポイントおよびクラウドソリューションがすべての機能でユーザーを保護していることを確認するために従う必要のある構成変更に関するガイダンスを含む、エンドポイントおよびクラウドのセキュリティポスチャスコアのプロアクティブな評価。
7.そして、これらすべて、1,200を超える脅威キャンペーンと脅威プロファイル
MVISION APIを使用すると、この広範な脅威インテリジェンスデータを、脅威インテリジェンスプラットフォーム(TIP)やセキュリティオーケストレーション自動化および応答(SOAR)などのSOCツールと統合および交換できます。
これらの統合は、インターネットに直接接続されたネットワークと閉じたネットワークの両方で使用できます。高度な脅威インテリジェンスチーム向けに、高度なプログラムグループ(APG)は、次のような「サービスとしての脅威インテリジェンス」(INTAAS)を提供します。
- MVISIONInsightsの背後にある集約されていない生データへのアクセス
- McAfee Private Global Threat Intelligence(GTI)へのアクセス
- 脅威の評価
- 敵の監視と帰属
- IOCエンリッチメント
- リバースエンジニアリング
まとめ
結論として、政府機関でMVISION Insightsを使用して実現できるユースケースの概要は次のとおりです。
- 時間や専門知識にかかわらず、脅威インテリジェンスプログラムの運用を開始
- 既存の脅威インテリジェンスプログラムを改善
- McAfee Enterprise ENSとNPSを利用し侵害の状況を確認
- ランサムウェアなど、あなたを襲う可能性が最も高い脅威を予測
- 最も関連性の高い指標を使用し脅威ハンティングに優先順位を明示
- MVISION EDR / XDRと連携し調査を拡充
- 他のSOCソリューションとの統合
- 制限されたネットワークにオンプレミスの脅威インテリジェンスを提供
- McAfee EnterpriseENSとMVISIONCloudを使用して保護ステータスをプロアクティブに評価
- 脅威インテリジェンスでゼロトラストを改善
脅威インテリジェンス機能の詳細を確認し、アーキテクチャまたはインシデント対応ワークショップに参加する場合は、最寄りのMcAfeeEnterprise担当者にお問い合わせください。
※本ページの内容は2021年11月18日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: Ransomware Threats Affecting the Public Sector
著者: Taylor Mullins and Mo Cashman