ネットスコープ、2024年Gartner®社のシングルベンダーSASEのマジック・クアドラントでリーダーの1社の位置付けと評価 レポートを読む

閉める
閉める
  • Netskopeが選ばれる理由 シェブロン

    ネットワークとセキュリティの連携方法を変える。

  • 導入企業 シェブロン

    Netskopeは、フォーチュン100社の30社以上を含む、世界中で3,400社以上の顧客にサービスを提供しています。

  • パートナー シェブロン

    私たちはセキュリティリーダーと提携して、クラウドへの旅を保護します。

SSEのリーダー!シングルベンダーSASEのリーダー!

ネットスコープが2024年Gartner®社のシングルベンダーSASEのマジック・クアドラントでリーダーの1社の位置付けと評価された理由をご覧ください。

レポートを読む
顧客ビジョナリースポットライト

革新的な顧客が Netskope One プラットフォームを通じて、今日の変化するネットワークとセキュリティの状況をどのようにうまく乗り越えているかをご覧ください。

電子書籍を入手する
顧客ビジョナリースポットライト
Netskopeのパートナー中心の市場開拓戦略により、パートナーは企業のセキュリティを変革しながら、成長と収益性を最大化できます。

Netskope パートナーについて学ぶ
色々な若い専門家が集う笑顔のグループ
明日に向けたネットワーク

サポートするアプリケーションとユーザー向けに設計された、より高速で、より安全で、回復力のあるネットワークへの道を計画します。

ホワイトペーパーはこちら
明日に向けたネットワーク
Netskope One プラットフォームの紹介

Netskope One は、SASE とゼロトラスト変革を可能にする統合型セキュリティおよびネットワーキング サービスを提供するクラウドネイティブ プラットフォームです。

Netskope One について学ぶ
青い照明の抽象画
セキュアアクセスサービスエッジ(SASE)アーキテクチャの採用

Netskope NewEdgeは、世界最大かつ最高のパフォーマンスのセキュリティプライベートクラウドであり、比類のないサービスカバレッジ、パフォーマンス、および回復力を顧客に提供します。

NewEdgeの詳細
NewEdge
Netskope Cloud Exchange

Netskope Cloud Exchange (CE) は、セキュリティポスチャに対する投資を活用するための強力な統合ツールを提供します。

Cloud Exchangeについて学ぶ
Aerial view of a city
  • セキュリティサービスエッジ製品 シェブロン

    高度なクラウド対応の脅威から保護し、あらゆるベクトルにわたってデータを保護

  • Borderless SD-WAN シェブロン

    すべてのリモートユーザー、デバイス、サイト、クラウドへ安全で高性能なアクセスを提供

  • Secure Access Service Edge シェブロン

    Netskope One SASE は、クラウドネイティブで完全に統合された単一ベンダーの SASE ソリューションを提供します。

未来のプラットフォームはNetskopeです

インテリジェントセキュリティサービスエッジ(SSE)、クラウドアクセスセキュリティブローカー(CASB)、クラウドファイアウォール、セキュアウェブゲートウェイ(SWG)、およびZTNAのプライベートアクセスは、単一のソリューションにネイティブに組み込まれており、セキュアアクセスサービスエッジ(SASE)アーキテクチャへの道のりですべてのビジネスを支援します。

製品概要はこちら
Netskopeの動画
Next Gen SASE Branch はハイブリッドである:接続、保護、自動化

Netskope Next Gen SASE Branchは、コンテキストアウェアSASEファブリック、ゼロトラストハイブリッドセキュリティ、 SkopeAI-Powered Cloud Orchestrator を統合クラウド製品に統合し、ボーダレスエンタープライズ向けに完全に最新化されたブランチエクスペリエンスを実現します。

Next Gen SASE Branchの詳細はこちら
オープンスペースオフィスの様子
SASEアーキテクチャの設計 For Dummies

SASE設計について網羅した電子書籍を無償でダウンロード

電子書籍を入手する
最小の遅延と高い信頼性を備えた、市場をリードするクラウドセキュリティサービスに移行します。

NewEdgeの詳細
山腹のスイッチバックを通るライトアップされた高速道路
アプリケーションのアクセス制御、リアルタイムのユーザーコーチング、クラス最高のデータ保護により、生成型AIアプリケーションを安全に使用できるようにします。

生成AIの使用を保護する方法を学ぶ
ChatGPTと生成AIを安全に有効にする
SSEおよびSASE展開のためのゼロトラストソリューション

ゼロトラストについて学ぶ
大海原を走るボート
NetskopeがFedRAMPの高認証を達成

政府機関の変革を加速するには、Netskope GovCloud を選択してください。

Netskope GovCloud について学ぶ
Netskope GovCloud
  • リソース シェブロン

    クラウドへ安全に移行する上でNetskopeがどのように役立つかについての詳細は、以下をご覧ください。

  • ブログ シェブロン

    Netskopeがセキュアアクセスサービスエッジ(SASE)を通じてセキュリティとネットワーキングの変革を実現する方法をご覧ください

  • イベント&ワークショップ シェブロン

    最新のセキュリティトレンドを先取りし、仲間とつながりましょう。

  • 定義されたセキュリティ シェブロン

    サイバーセキュリティ百科事典、知っておくべきすべてのこと

「セキュリティビジョナリー」ポッドキャスト

セキュリティの未来: 量子、AI、マクロ政治の変化
Emily WearmouthとMax Havyが、NetskopeのCEOであるSanjay BeriとCTOのKrishna Narayanaswamyと、セキュリティの未来について話します。

ポッドキャストを再生する Browse all podcasts
セキュリティの未来: 量子、AI、マクロ政治の変化
最新のブログ

Netskopeがセキュアアクセスサービスエッジ(SASE)機能を通じてゼロトラストとSASEの旅をどのように実現できるかをお読みください。

ブログを読む
日の出と曇り空
SASE Week 2024 オンデマンド

SASEとゼロトラストの最新の進歩をナビゲートする方法を学び、これらのフレームワークがサイバーセキュリティとインフラストラクチャの課題に対処するためにどのように適応しているかを探ります

セッションの詳細
SASE Week 2024
SASEとは

クラウド優位の今日のビジネスモデルにおいて、ネットワークとセキュリティツールの今後の融合について学びます。

SASEについて学ぶ
  • 会社概要 シェブロン

    クラウド、データ、ネットワークセキュリティの課題に対して一歩先を行くサポートを提供

  • 採用情報 シェブロン

    Join Netskope's 3,000+ amazing team members building the industry’s leading cloud-native security platform.

  • カスタマーソリューション シェブロン

    お客様の成功のために、Netskopeはあらゆるステップを支援いたします。

  • トレーニングと認定 シェブロン

    Netskopeのトレーニングで、クラウドセキュリティのスキルを学ぶ

データセキュリティによる持続可能性のサポート

Netskope は、持続可能性における民間企業の役割についての認識を高めることを目的としたイニシアチブである「ビジョン2045」に参加できることを誇りに思っています。

詳しくはこちら
データセキュリティによる持続可能性のサポート
クラウドセキュリティの未来を形作る

At Netskope, founders and leaders work shoulder-to-shoulder with their colleagues, even the most renowned experts check their egos at the door, and the best ideas win.

チームに参加する
Netskopeで働く
Netskopeの有能で経験豊富なプロフェッショナルサービスチームは、実装を成功させるための規範的なアプローチを提供します。

プロフェッショナルサービスについて学ぶ
Netskopeプロフェッショナルサービス
Netskopeトレーニングで、デジタルトランスフォーメーションの旅を保護し、クラウド、ウェブ、プライベートアプリケーションを最大限に活用してください。

トレーニングと認定資格について学ぶ
働く若い専門家のグループ

Introduction リンク リンク

攻撃者は、Cobalt Strike、Brute Ratel、Mythic、Metasploit、Sliver、Merlinなどの広く普及しているC2フレームワークツールを使用して、IPSシグネチャやIP/ドメイン/URLブロックリストに基づく一般的な静的防御を簡単に回避する、新しく洗練されたコマンド&コントロール(C2)機能をマルウェアに追加しています。 これらのツールは、コマンド&コントロール、権限昇格、ホスト上でのアクションなどのエクスプロイト後の機能を提供し、もともとはペネトレーションテストやレッドチームの運用用に設計されました。

しかし、MythicやMerlinなどの多くの製品がオープンソースである一方で、Cobalt StrikeやBrute Ratelなどの他の商用製品は、ハッキングされたコピーや漏洩したソースコードを通じて攻撃者によって盗まれているため、攻撃者は悪意のある目的でこれらの同じツールキットを乗っ取り、埋め込んでいます。 これにより、これらの同じツールが、悪意のあるポストエクスプロイトのための敵対的なC2フレームワークに事実上変わったのです。

このツールは、C2通信の多くのパラメータを簡単に形成および変更できるため、マルウェアは現在の防御をさらに簡単に、より長期間回避できるため、被害者のネットワーク内でより大きな被害を引き起こします。これには、より多くのデータを盗む、より価値のあるデータを発見する、ビジネスアプリ/サービスを利用できない、将来の損害に備えてネットワークへの隠れたアクセスを維持するなどがあります。

C2フレームワークを使用して最新のマルウェアを検出する現在のアプローチでは、インプラント実行可能ファイルの検出、C2トラフィックの検出のためのIPSシグネチャ、広く利用可能なC2フレームワークツールの動的で順応性のあるプロファイルに対処するには不十分なIP/URLフィルタなどの静的シグネチャとインジケータが利用されています。

既知の攻撃にそれほど厳密に結びついていない新しいアプローチが必要ですが、トレーニング済みのマシンラーニングモデルに供給される包括的なシグナルセットの異常検出と、デバイスおよびユーザーリスクのきめ細かな追跡に基づいています。 このアプローチは、既存のアプローチを補完するものですが、誤検知を低く抑えながら検出率を劇的に向上させ、同じC2フレームワークツールによって容易に実現できる進化するC2トラフィックパターンに対する将来性を確保することができます。

このホワイトペーパーでは、現在のアプローチのギャップと、ユーザーおよび組織レベルのモデルに基づく追加のネットワーク信号ときめ細かなリスクメトリックを備えた集中的なマシンラーニングアプローチを使用することによる有効性の向上について説明します。 また、C2ビーコン検出ソリューションの有効性をテストする際の主要な課題についても説明します。

 

敵対的 C2 フレームワーク リンク リンク

Cobalt Strike、Metasploit、Mythic、Brute Ratel は、もともとマルウェア検出のレッドチームテスト用に設計された商用およびオープンソースの敵対者シミュレーションツールの一部です。 これらのツールキットは、攻撃チェーンのエクスプロイト後のコマンド&コントロール部分に焦点を当てたレッドチームの運用中に実際の脅威アクティビティをシミュレートするための豊富な機能セット(Gill)を提供するため、脅威エミュレーションツールまたはC2フレームワークと呼ばれることもあります。

これらの用語の一部は、論文全体で同じ意味で使用する場合がありますが、一般的にはC2フレームワークを使用して、これらのツールが悪意のあるアクターによって本番環境に影響を与えるために使用されていること、および解決すべき問題は、友好的な内部レッドチームによるシミュレーションやエミュレーション以上のものであることを強調します。

これらのC2フレームワークツールは、SolarWindsのロシアのAPT29(「SolarWindsサプライチェーン攻撃はSUNBURSTバックドアを使用」)や中国のTA415(LarsonとBlackford)などの国家的アクターを含む多数の攻撃者によって埋め込まれ、ハッキングされ、または盗まれて使用されています(「Cobalt Strike:国際法執行作戦は「スイスアーミーナイフ」侵入テストツールの違法使用に取り組む」)、さまざまなRATのステルス通信機能を強化および進化させるために、中国のTA415(LarsonとBlackford)などの国家主体が含まれます。 ボットネット、およびC2対応マルウェア。

Cobalt Strike は最も人気のある C2 フレームワーク ツールであり、このホワイトペーパー全体で具体例として使用しますが、観察結果はすべての同様のツールに適用されます。 次の Cobalt Strike の高レベルのアーキテクチャ図は、その基本コンポーネント (Rahman) とランタイム攻撃フローを示しています。

Cobalt Strike のハイレベルなアーキテクチャ

図1:Cobalt Strikeのハイレベルなアーキテクチャ

 

#

アタックステップ

Description

1

初期アクセス/感染ビーコンペイロードのダウンローダーとローダーを含む初期感染ベクトル。

2

コール・ホーム(C2)

Beaconは、通常、HTTP/HTTPS/DNSを使用してチームサーバーにホームします。 プロキシ、ドメインフロンティングなどのリダイレクターを介したドメイン/ IP難読化を利用できます(例: CDN)またはドメインマスカレード。 ビーコンは、内部ネットワークのセグメンテーションをバイパスするために通信をチェーン化することもできます。

3

攻撃者のコマンドと制御攻撃者はビーコンを制御し、さまざまなコマンドを発行します。 Aggressor Scriptsを利用して、ワークフローを自動化/最適化できます。

4

コマンドの実行Beaconは、別のプロセスでExecute Assembly(.NET実行可能ファイル)を使用するか、Beaconセッション/プロセス内のBeaconオブジェクトファイルを使用して、エクスプロイト後の機能を拡張することができます。 メモリインジェクションは、悪意のあるファイルに関連するファイルやディスクアクティビティに焦点を当てたエンドポイント防御からの検出を回避するために使用されます。

5

ホストでのアクション新しい機能のために、BOFまたはアセンブリの実行などの拡張機能に対して、多数の組み込みアクションが提供されています。

表1:Cobalt Strike C2フレームワークを使用した攻撃チェーン

 

Cobalt Strike や同様のツールキットは、HTTP/S トラフィックの設定を簡単かつ広範囲に行うことができ、無害に見えることが多く、通常の HTTP/ウェブ トラフィックのように見える C2 トラフィックを生成し、ウェブ ブラウザや一般的なアプリケーション トラフィックに似ています。 ツールには、既知のマルウェアと既知の有効なアプリケーションの両方をエミュレートするデフォルト設定が用意されています。

DNSはC2プロトコルとしてもサポートされていますが、HTTP/Sは組織に出入りするネットワークトラフィックの大部分を反映しており、HTTP/Sを使用するさまざまなアプリケーションによりより複雑であり、正当な良性のC2ビーコンを含むネットワークノイズの中で隠れようとしている悪意のあるアクターの大部分を引き付けるため、HTTP/S C2に焦点を当てて説明します。

ツールキットは(順応性のあるプロファイルを介して)高度に構成可能であり、タイミング、周波数、ボリューム、アプリケーションプロトコル、宛先IP/ドメイン、ユーザーエージェント、HTTPヘッダー、HTTP動詞、URI、パラメータ、SSL/TLS証明書、ランダムジッターによるビーコン遅延、ペイロード/コンテンツを簡単に変更できます。 また、C2フレームワークツールでは、多数のエクスプロイト後のアクションが暗号化され、ダウンロードされ、メモリ内で実行されるため、エンドポイント上での侵害後のアクティビティを検出するのが非常に困難になります。

ここでは、C2フレームワークツールの特定のC2通信機能(C2ビーコンなど)と、通信の変更の容易さ(Cobalt StrikeのC2 Malleable Profilesなど)、およびステルスマルウェアを検出しようとする組織に課せられる課題に焦点を当てます。

Cobalt StrikeのMalleable Profiles(Gill)の機能については、複数の優れたリソースがありますが、ここではよく使われる機能のいくつかを指摘します。 以下は、Cobalt Strike (Mudge) で Gmail ブラウザアプリケーションを模倣するための Malleable プロファイルのスニペットです。

図2:C2 Malleable Profile(gmail)

図2:C2 Malleable Profile(gmail)

 

プロファイルの主要な機能と領域には、次のようなものがあります。

セクション |設定

デスクリプション |資格

https証明書# 既存の証明書を使用するか、これに示すように自己署名証明書を生成します
# 例。
グローバルオプション# 以下のグローバルオプションは、C2ビーコンのスリープ時間を60秒に設定します。
#ランダムジッターは+/- 15%で、コールホームのタイミングを変化させて回避する能力を示しています
#簡単な検出。
set sleeptime "60000";
set jitter "15";


# その他のグローバルオプションは、ホスト上のエクスプロイト後のアクションパラメータを指定します。 #
インメモリインジェクションを使用してコマンドを実行するために生成されたプロセス名 #
IPC通信に使用されるパイプ名。これらはC2には関係ありません。
set pipename "interprocess_##";
set spawnto "userinit.exe";
http-取得# beacon->server 通信に使用する uri パスは、リストで変更できます
set uri "/_/scs/mail-static/_/js/";

# クライアント(beacon->server)通信(Cookie、ヘッダー、エンコーディングを含む)
# すべては HTTP プロトコル レベルで簡単に指定および変更できます
client {
metadata {}
header {}
}


# 同様に、サーバー>ビーコン通信もHTTPで変更できます #
プロトコルレベル
server {
header {}
}


#Cobalt Strikeは、間の2方向の通信フローの形成を可能にします #
Beacon クライアントと C2 Team Server ("A Beacon HTTP Transaction Walk-through"):
# 0. http-stager {} optional stager to download full Beacon
# 1. http-get {client} client -- call home → server
# 2. http-get {server} server -- cmds → client
# 3. http-post {client} client -- cmd output → server
# 4. http-get {server} server -- confirm → client

表2:C2 Malleable Profile デスクリプション(gmail)

 

上記のように、これらのプロファイルを簡単に変更するだけで、C2通信の動作を一般的なアプリケーション、そのビーコン、およびウェブトラフィックを模倣するように簡単に変更できます。 Cobalt Strikeだけでも240以上の公開可鍛性プロファイルがあり、すぐに使用できるか、簡単に変更できます。

 

電流検出アプローチ リンク リンク

悪意のあるC2トラフィックを検出するための現在のアプローチは、ハードコードされたバイトシグニチャを照合するか、ペイロードまたはヘッダー(IPSシグニチャ)を照合するために正規表現を使用する傾向があるか、IP/ドメイン/URLリストの照合に基づいています。 これらのアプローチは静的であり、攻撃者が組み込んでいるC2フレームワークツールキットの動的で構成可能な性質によって簡単に回避されます。

IPS シグネチャ