閉める
虫眼鏡
お問い合わせ
虫眼鏡
シェブロン
サポート 言語
閉める
""
AI Securityプレイブック
このプレイブックでは、組織が AI を採用する際に直面する 6 つの主要なセキュリティ課題と、それらに対処するための実証済みの現実世界の戦略について説明します。
シェブロン 電子書籍を入手する
Netskopeを体験しませんか?
Netskopeプラットフォームを実際に体験する
Netskope Oneのシングルクラウドプラットフォームを直接体験するチャンスです。自分のペースで進められるハンズオンラボにサインアップしたり、毎月のライブ製品デモに参加したり、Netskope Private Accessの無料試乗に参加したり、インストラクター主導のライブワークショップに参加したりできます。
シェブロン Netskopeを体験しませんか?
SSEのリーダー。 現在、シングルベンダーSASEのリーダーです。
Netskope は、 SSE プラットフォームと SASE プラットフォームの両方で、ビジョンで最も優れたリーダーとして認められています
2X ガートナーマジック クアドラント SASE プラットフォームのリーダー
旅のために構築された 1 つの統合プラットフォーム
シェブロン レポートを読む
""
Netskope One AI Security
組織はビジネスを前進させるために安全な AI を必要としますが、制御とガードレールによって速度やユーザー エクスペリエンスが犠牲になってはなりません。Netskope は、AI のメリットを活かすお手伝いをします。
シェブロン Netskope One AI Securityについて学ぶ
""
Netskope One AI Security
組織はビジネスを前進させるために安全な AI を必要としますが、制御とガードレールによって速度やユーザー エクスペリエンスが犠牲になってはなりません。Netskope は、AI のメリットを活かすお手伝いをします。
シェブロン Netskope One AI Securityについて学ぶ
ダミーのための最新のデータ損失防止(DLP)eBook
最新の情報漏えい対策(DLP)for Dummies
クラウド配信型 DLP に移行するためのヒントとコツをご紹介します。
シェブロン 電子書籍を入手する
SASEダミーのための最新のSD-WAN ブック
SASEダミーのための最新のSD-WAN
遊ぶのをやめる ネットワークアーキテクチャに追いつく
シェブロン 電子書籍を入手する
リスクがどこにあるかを理解する
Advanced Analytics は、セキュリティ運用チームがデータ主導のインサイトを適用してより優れたポリシーを実装する方法を変革します。 Advanced Analyticsを使用すると、傾向を特定し、懸念事項に的を絞って、データを使用してアクションを実行できます。
シェブロン パンフレットを入手する
2025-10-UZTNA-ebook
ユニバーサルZTNAがVPNとNACの混乱から抜け出す賢い方法である6つの理由
VPN と NAC の複雑さを解消します。Universal ZTNA が 1 つの一貫したフレームワークですべてのユーザーとデバイスを保護する方法を学びます。
シェブロン 電子書籍を入手する
""
BDOはネットワークとセキュリティを統合し、クラウドファーストでAIフレンドリーなインフラストラクチャを保護します
シェブロン 導入事例を読む
Netskope GovCloud
NetskopeがFedRAMPの高認証を達成
政府機関の変革を加速するには、Netskope GovCloud を選択してください。
シェブロン Netskope GovCloud について学ぶ
The Lens
""
Read about the latest news and opinions from the team at Netskope. The Lens combines our blogs, our podcasts and case studies, with new content added every week.
シェブロン Subscribe to The Lens
Netskopeテクニカルサポート
Netskopeテクニカルサポート
クラウドセキュリティ、ネットワーキング、仮想化、コンテンツ配信、ソフトウェア開発など、多様なバックグラウンドを持つ全世界にいる有資格のサポートエンジニアが、タイムリーで質の高い技術支援を行っています。
シェブロン 技術サポート
""
AI in the Fast Lane Roadshow
Netskopeの「AI in the Fast Lane」ロードショーでは、セキュリティ専門家が一堂に会し、組織がどのようにして 今日のAIを活用しているか、そして包括的なセキュリティ戦略によって、よりスマートで安全、かつ将来性のあるモデルをどのように構築できるかについて議論します。
シェブロン お近くのイベントを探す
Netskopeの動画
Netskopeトレーニング
Netskopeのトレーニングは、クラウドセキュリティのエキスパートになるためのステップアップに活用できます。Netskopeは、お客様のデジタルトランスフォーメーションの取り組みにおける安全確保、そしてクラウド、Web、プライベートアプリケーションを最大限に活用するためのお手伝いをいたします。
シェブロン Netskopeトレーニングを探索する
""
NetskopeビジネスバリューサービスでSASEのROIを最大化
ROI の証明を開始します。 Netskope BVSは、SASE変革による財務面および戦略面への影響を定量化する無料のコンサルティングサービスです。
シェブロン 相談を依頼する
一緒に素晴らしいことをしましょう
""
Netskopeのパートナー中心の市場開拓戦略により、パートナーは企業のセキュリティを変革しながら、成長と収益性を最大化できます。
シェブロン Netskopeのパートナー
クラウド・脅威レポート

トップ敵の戦術とテクニック

Netskopeクラウドおよび脅威レポートのこの版は、2023年の最初の9か月間にNetskopeの顧客に対して最も一般的に使用された戦術と手法に焦点を当てています。 世界的に、Netskopeの顧客は最も一般的に犯罪者の標的にされており、Wizard Spiderは他のどのグループよりも多くの組織を標的にしています。 このレポートを締めくくるのは、複数の業界や地理的地域で最も活発な敵を探ることです。

タグ
クラウドと脅威のレポート 次世代SWG 脅威からの保護
言語を変更する
Deutsch, English, Español, Français, Português, 日本語

コンテンツ一覧

Report Highlights エグゼクティブサマリー トップテクニック
初期アクセス:スピアフィッシング 実行: ユーザー実行 コマンド&コントロールとエクスクルート
敵対者の分析
上位の敵対者グループ 地域と業界の違い 推奨事項
このレポートについて Netskope Threat Labs
17分 読む

Report Highlights リンク リンク

  • スピアフィッシングのリンクと添付ファイルは、Netskope Threat Labs が今年追跡した最初のアクセス手法のトップであり、攻撃者は電子メール、音声、テキスト、ソーシャル メディア、検索エンジンを介して被害者を騙してリンクと添付ファイルを開かせています。
  • ユーザー実行は最も優れた実行手法であり、攻撃者は、一般的なクラウドアプリを使用してトロイの木馬をホストする際に、被害者を騙してダウンロードさせることに最も成功率が高くなっています。
  • コマンド&コントロールとデータ流出の場合、攻撃者はHTTPとHTTPSを使用してレーダーをかいくぐり、無害なトラフィックに紛れ込むことを強く好んでいます。
  • Netskope Security Cloud プラットフォームにおける攻撃者の活動の大部分は犯罪者によるもので、その活動の大部分は TrickBot マルウェアの作成に関与するロシアのグループである Wizard Spider によるものです。
  • Netskope Security Cloud プラットフォーム上で、地政学的敵対グループに起因するアクティビティの割合が最も高いのは、金融サービスおよびヘルスケア業界の垂直分野です。

 

エグゼクティブサマリー リンク リンク

サイバーセキュリティは、ユーザー、データ、システムを保護しようとする防御者と、彼らに危害を加え、悪用しようとする敵対者という2つの敵対者との間の戦いです。 防御側の最も価値のあるツールは、敵に関する知識です。 防御者として、私たちは敵の動機と目的、そしてそれらの目標を達成するために彼らが使用する戦術と技術を理解しようと努めます。 次に、これらの戦術や手法に対して回復力を持つようにシステムを設計し、敵対者の活動を検出するための制御を実装します。

今回の Netskope Cloud and Threat レポート 2023 年の最初の 9 か月間に、最も一般的に使用された戦術とテクニックに焦点を当て Netskope 顧客に対して。 より効率的なコミュニケーションと理解を促進するために、このレポートを MITRE ATT&CK フレームワークの観点から提示します。このフレームワークは、敵対者の戦術と手法の包括的な分類、および敵のグループ化と命名を提供します。

世界的に、Netskopeの顧客は犯罪者の標的となっており、 Wizard Spider は他のどのグループよりも多くの組織を標的にしていました。情報窃取者とランサムウェアは、金銭的な動機を持つ敵対者によって使用される一般的なツールであり続けています。あまりよくないのは地政学的な動機を持つ敵対者であり、その最も人気のあるツールは、バックドアを作成するリモートアクセス型トロイの木馬でした 組織 彼らが標的にしています。

地理と業界は、どの敵が組織を標的にする可能性があるかを判断する上で重要な要素です。 地政学的な敵対者は、知的財産を狙って特定の地域や業界を標的にする傾向がありますが、金銭目的の敵対者は、最小限のカスタマイズで戦術や手法を再利用できる類似の組織を標的とするように最適化されたプレイブックを作成する傾向があります。 このレポートの最後に、複数の業界分野と地理的地域で最も活発な敵対者が誰であるかを調査します。

 

トップテクニック リンク リンク

このセクションでは、敵対者がターゲットのシステムにアクセスし、悪意のあるコードを実行し、侵害されたシステムと通信するために使用する最も一般的な戦術と手法について説明します。 ここでは、Netskope Security Cloud プラットフォームが可視性を提供する 4 つの戦術と、それらの戦術の中で最も一般的に観察される 6 つの手法について説明します。

  • 初期アクセス 攻撃者がターゲットのシステムに侵入する手法。
  • 実行 攻撃者が悪意のあるコードを実行するための手法。
  • コマンド&コントロール 攻撃者が侵害されたシステムと通信するために使う。
  • 流出 攻撃者が被害者から情報を盗むための手法。

 

初期アクセス:スピアフィッシング

システムへのリモートアクセスがロックダウンされ、既知のセキュリティ脆弱性に対してシステムにパッチが適用されている場合、攻撃者がそのシステムにアクセスする最も簡単な方法は、多くの場合、ユーザーを介してアクセスすることです。そのため、ソーシャルエンジニアリング手法は、敵対者の戦略の主力であり続けています。たとえば、2023 年 9 月の MGM ハッキング時の最初のアクセスは、被害者のヘルプデスクに電話してビッシング (ボイス フィッシング) によって達成されました。さまざまな フィッシング 手法の中で、 スピアフィッシング リンクスピアフィッシング アタッチメントは 、2023 年に Netskope Security Cloud Platform で最も人気のある 2 つです。

被害者がクリックしたフィッシングリンクを分析することで、敵対者が被害者を最も狙っている場所についての洞察を得ることができます。 大差で、ユーザーが最も頻繁にクリックしたフィッシングリンクはクラウドアプリを標的としており、その3分の1はMicrosoft製品を標的としていました。 Microsoft OneDriveは、SharePoint、Outlook、Teamsなどの他のMicrosoft製品と 並んで、企業で最も人気のある単一のクラウドアプリであるため、これは驚くべきことではありません。

クリックされたリンク数の多い上位のフィッシングターゲット

クリックされたリンク数の多い上位のクラウドフィッシングターゲット

攻撃者はどのようにして被害者を騙してフィッシングリンクをクリックさせているのでしょうか? 電子メールは依然として非常に一般的なチャネルですが、さまざまな理由から成功率はかなり低くなっています。 まず、組織は、フィッシング電子メールが被害者に到達するのをブロックするために、高度なフィッシング対策フィルターを採用する傾向があります。 第 2 に、組織は通常、フィッシング電子メールを認識できるようにユーザーを訓練します。 これに対して、攻撃者は他のさまざまな戦術を使用して被害者に到達しています。

検索エンジン最適化 (SEO) - 攻撃者は、Bing や Google などの一般的な検索エンジンにリストされるように、SEO テクニックを採用した Web ページを作成します。 通常、ページはデータの空白(結果があまり出ない特定のキーワードのセット)を中心に作成され、特定の人口統計を対象としています。

ソーシャルメディアとメッセージングアプリ – 敵対者は、人気のあるソーシャルメディアアプリ(Facebookなど)やメッセージングアプリ(WhatsAppなど)を悪用して、さまざまな餌を使用して被害者に到達します。

音声およびテキストメッセージ– モバイル デバイスには、ラップトップなどの従来のデバイスに備わっているセキュリティ制御機能が欠けていることが多く、フィッシング攻撃の標的になりがちです。 被害者に電話をかけたり、テキストメッセージを送信したりすることは、フィッシングリンクを拡散するための方法としてますます一般的になっています。

個人の電子メール アカウント– 個人の電子メール アカウントはフィッシング対策が緩い傾向にあるため、より多くのフィッシング電子メールが被害者に到達する可能性があります。 個人の電子メール アカウントは、被害者が仕事で使用するのと同じシステムで使用されることが多いため、個人の電子メール アカウントを介して組織が管理する機密資産にアクセスするためのフィッシングは、攻撃者にとって非常に効果的な戦略となる可能性があります。

スピアフィッシング添付ファイルは、敵対者が添付ファイルを使用して正当性をアピールし(通常はこれらの添付ファイルは専門家の請求書のように見えます)、添付ファイルを検査しないセキュリティ制御を回避するために使用する特殊なタイプのフィッシングです。 Microsoft ExcelスプレッドシートやZIPファイルなど、攻撃者がフィッシング添付ファイルに使用するファイルの種類にはある程度の種類がありますが、これらのファイルタイプのほとんどはまれです。 フィッシング添付ファイルの90%は、被害者がフィッシングリンクをクリックするように誘導するように設計されたPDFです。

上位のフィッシング添付ファイルの種類

フィッシング リンクと同様に、攻撃者は個人の電子メールを含む複数のチャネルを通じてフィッシング添付ファイルを拡散します。 攻撃者が被害者の個人の Microsoft Live メールアカウントに餌を送りつけることで、より多くの成功を収めるようになったため、被害者がダウンロードしたフィッシング添付ファイルの数は 8 月にベースラインの 3 倍以上に急増しました。 過去 9 か月間で、管理対象組織の Web メール アプリからフィッシング添付ファイルをダウンロードしたユーザーと比較して、個人の Web メール アプリからフィッシング添付ファイルをダウンロードしたユーザーの数は 16 倍でした。

フィッシング添付ファイルのダウンロード量の推移

 

実行: ユーザー実行

ソーシャルエンジニアリングは初期アクセスに限定されません。また、攻撃者は、秘密のリモートアクセスを提供したり、機密情報を盗んだり、ランサムウェアを展開したりする悪意のあるペイロードを実行したりするために、ユーザーに依存しています。ターゲットユーザーに悪意のあるペイロードを実行するよう説得するには、多くの場合、ユーザーが 悪意のあるリンク をクリックするか、 悪意のあるファイルをダウンロードして実行する必要があります。攻撃者は被害者をだましてそうさせる新しい方法を常に試みており、Netskope Threat Labsは 月次レポートでそれらの変化を追跡しています。2023 年を支配している包括的なテーマは 2 つあります。まず、攻撃者は、悪意のあるファイルがクラウド アプリ経由で配信されるときに、被害者に悪意のあるファイルをダウンロードするよう説得することに最も成功しています。今年これまでのところ、ユーザーがダウンロードしようとしたマルウェアの平均55%がクラウドアプリを介して配信されました。

マルウェア配信、クラウド vs. ウェブ

第二に、マルウェアのダウンロード試行回数が最も多かったアプリは、企業で使用されている最も人気のあるクラウド アプリでもありました。 企業で最も人気のあるクラウド アプリである Microsoft OneDrive が、クラウド マルウェアのダウンロード全体の 4 分の 1 以上を占め、トップの座を獲得しました。 今年これまでに、攻撃者は合計 477 個の異なるクラウド アプリからユーザーを誘導してマルウェアをダウンロードさせ、実行させることに成功しました。

マルウェアダウンロードのトップアプリ

 

コマンド&コントロールとエクスクルート

攻撃者は、被害者の環境で悪意のあるペイロードを正常に実行した後、侵害されたシステムと通信するためのチャネルを確立する必要があることが多く、そこでコマンド アンド コントロールが機能します。最も よくある コマンド&コントロール技術 攻撃者 2023年に アプリケーション 層プロトコル:ウェブプロトコルこれはしばしばC2チャネルを介した流出と結合されました。 攻撃者には、 CobaltStrike のような C2 フレームワークを使用する、 一般的なクラウド アプリを悪用する、独自のカスタム実装を作成するなど、コマンド アンド コントロール チャネルを作成するための複数のオプションがあります。

ステルスは、コマンド&コントロールチャネルの重要な機能です。 攻撃者は、侵害されたシステムと通信する必要があるだけでなく、その際に検出を回避する必要もあります。 このため、攻撃者は、主要なC2通信チャネルとして、ポート80および443でHTTPおよびHTTPSを使用することが増えています。 HTTPおよびHTTPSトラフィックは、感染したシステムから許可される可能性が高く、すでにネットワーク上に存在している大量のHTTPおよびHTTPSトラフィックに紛れ込みます。 このアプローチを、IRC や FTP など、めったに使用されないポートやプロトコルを介して通信するマルウェアと比較してください。 このような通信は、レイヤー 3 ファイアウォール、特にレイヤー 7 ファイアウォールを使用しても、比較的簡単に検出でき、ブロックも容易です。 2023 年に検出された数万のマルウェア サンプルを分析した結果、HTTP (80) と HTTPS (443) が圧倒的に人気の C2 およびデータ窃盗プロトコルであり、マルウェア サンプルの 3 分の 2 以上で使用されていました。 次に人気があったプロトコルはDNSで、次いでめったに使用されないさまざまなポートやプロトコルが続きました。

マルウェア通信ポートのトップ

 

敵対者の分析 リンク リンク

Netskope Threat Labs は、Netskope の顧客を積極的に標的とする攻撃者を追跡し、その動機、戦術、手法をより深く理解します。 その後、その情報を活用して、お客様がそれらの敵対者からシステムを守るのを支援します。 Netskope Threat Labs が追跡する敵は、その動機に基づいて一般的に 2 つのカテゴリに分類されます。

犯人
犯罪的敵対者グループの主な目的は金銭的利益であり、そのツールセットには通常、情報窃取者やランサムウェアが含まれます。恐喝は過去数年間、サイバー犯罪者にとって非常に収益性の高いビジネスであり、 2022 年には推定 4 億 5,700 万ドルの身代金が支払われました。ほとんどの犯罪敵対者は、 ランサムウェア 被害者が支払いをする確率を高めるために、ランサムウェアとインフォスティーラーの両方を攻撃します。 ランサムウェアでシステムを暗号化するだけでは、支払いを説得するのに十分でない場合は、組織から盗んだ機密情報を公開することが役立つかもしれません。私たちは、活動する国に応じて各犯罪敵対者グループにラベルを付けようとしていますが、多くのグループは国境を越えて活動しています。さらに、多くは今アフィリエイトモデルで運営されており、その運営はさらに分散しています。 その結果、通常、グループをそのコアメンバーが所在していると考えられる国または地域に関連付けます。

地政学 的
地政学的な敵対グループは、地政学的な問題によって動機付けられています。彼らは通常、国民国家またはその代理人のいずれかであり、その活動は通常、より広範な政治的、経済的、軍事的、または社会的紛争を反映しています。たとえば、ロシアの敵対グループは、ウクライナへの侵攻と同時にウクライナに対してサイバー攻撃を開始しました。地政学的なグループは通常、他の国民国家に対してサイバー作戦に従事しており、そのような作戦は現代の国際関係の重要な要素となっています。地政学的な敵対者と犯罪的な敵対者の間の境界線が曖昧になることがあり、一部の地政学的なグループも金銭的動機による活動に従事しています。たとえば、現在の北朝鮮政権は、サイバー犯罪を通じて ミサイル計画 の開発に資金を提供しています。地政学的な敵が行う具体的なサイバー作戦は、政府や非政府組織に対するサイバースパイ活動や、敵を不安定化させるための重要インフラの妨害行為など、さまざまです。地政学的な敵対者も情報戦を行い、プロパガンダを広め、世論を操作し、民衆選挙に影響を与えます。

アクティビティを特定の敵対者グループに帰属させることは、困難な場合があります。 敵対者は、自分の本当の身元を隠そうとしたり、意図的に偽旗作戦を開始したりして、攻撃が別のグループから来たかのように見せかけようとします。 複数のグループが同じ戦術や手法を使用することが多く、中にはまったく同じツールを使用したり、インフラストラクチャを共有したりするグループもあります。 敵対者グループを定義することさえ、グループが進化したり、メンバーがグループ間を移動したりすると、困難になる可能性があります。 これらの理由から、敵対者の帰属は曖昧であり、新しい情報が明らかになるにつれて変化し、進化する可能性があります。 このレポートの残りの部分では、Netskope Security Cloud プラットフォームで観察された敵対者の活動と、それらの活動に関与している可能性が最も高いグループに関する統計を示します。

 

上位の敵対者グループ

Netskope Security Cloudプラットフォームのユーザーを標的とした最大の敵対者グループは、Wizard Spider(別名UNC1878、一時。MixMaster、Grim Spider)は、 TrickBot マルウェアの作成を行ったとされるロシアを拠点とする犯罪者です。TrickBot マルウェアはもともとバンキング型トロイの木馬として作成されましたが、その後、情報窃取、ラテラルムーブメント、コマンド アンド コントロール、データ流出コンポーネントを含む複雑なマルウェア プラットフォームに進化しました。犯罪的な敵対者グループによくあることですが、Wizard Spider はランサムウェアでさまざまな被害組織を標的にしています。Wizard Spider による戦術とテクニックの中には、このレポートで強調されている 6 つのテクニックが含まれます レポート スピアフィッシング、ユーザー実行、コマンド アンド コントロールに関するものが含まれます。

ランサムウェアに大きく依存している他のアクティブな犯罪敵対者グループには、 TA505 (別名Hive0065)は Clop ランサムウェアを担当し、FIN7(別名 GOLD NIAGARA、ITG14、Carbon Spider)は、 REvil ランサムウェアを使うダー クサイド ランサムウェアを生み出しました。 Netskopeの顧客を標的とする犯罪的敵対グループはロシアとウクライナ人ですが、地政学的な敵対グループは中国で、 memupass (別名蝉、POTASSIUM、ストーンパンダ、APT10、レッドアポロ、CVNX、HOGFISH)、 アクアティックパンダなど、世界中のさまざまなタイプの組織を標的にしています。

 

地域と業界の違い

地理と業界は、どの敵が組織を標的にする可能性があるかを判断する上で重要な要素です。 地政学的な敵対者は、知的財産を狙って特定の地域や業界を標的にする傾向があり、一方、金銭目的の敵対者は、最小限のカスタマイズで手法を再利用できる類似の組織を標的とするように最適化されたプレイブックを作成する傾向があります。 業界別に見ると、金融サービスとヘルスケアの 2 つが目立っています。 これら2つの分野では、犯罪者と地政学的な敵対者の活動の割合はほぼ50/50です。 一方、他の業界では、割合は 80/20 に近くなります。 これは、金融サービスおよびヘルスケア分野の組織が地政学的な敵対者からより頻繁に標的にされていることを示しています。

標的業界別の敵対者の動機

これらの違いは、各業界における敵対行為の発生源を比較した場合にも明らかです。 私たちが追跡している犯罪組織の多くはロシアに拠点を置いているため、犯罪活動の割合が最も高い業界では、ロシアに拠点を置くグループによる活動の割合も最も高くなっています。 一方、金融サービスとヘルスケア(より地政学的な敵対者が標的とする業界)では、ロシア、中東、中国からの敵対者がより均等に混在して標的にされています。 下のグラフに示されていない他の敵対的な場所には、北朝鮮、パキスタン、インド、ベトナム、ナイジェリアが含まれます。

業界の敵対行為

地域によっても、最も活発な敵対者も大きく異なり、オーストラリアと北米の2つの地域が際立っています。 これらの地域はどちらも、犯罪グループに起因する敵対者の活動の割合が最も高いことで際立っています。これは、米国とオーストラリアのユーザーが犯罪者の標的になる可能性が高いのに対し、世界の他の地域では、地政学的な敵対者と犯罪者の活動の割合が50/50に近いことを示しています。

敵対者の動機:対象地域別

地域別の敵対活動の内訳は、業界データと同様のパターンを示しています。犯罪グループの標的となっている地域は、ロシアに拠点を置くグループによって標的にされる傾向があり、地政学的活動の割合が高い地域では、中国の地政学的グループによる敵対活動の割合が高くなる傾向があります。

地域の敵対者の活動

 

推奨事項

Mitre ATT&CK フレームワークは、敵対者グループ、その戦術、および手法に共通の言語を提供します。 防御側は、このフレームワークを使用して、防御が敵に対して適切に一致しているかどうかを判断できます。 このセクションでは、このレポートで説明した各手法について具体的な推奨事項を示します。

初期アクセス:スピアフィッシングリンク
電子メールを超えたフィッシング対策を実装し、発信元に関係なくスピアフィッシング リンクからユーザーを確実に保護します。 DNS トラフィック、クラウド トラフィック、Web トラフィックを検査してフィッシングの証拠を探す SWG ソリューションは、シグネチャとインテリジェンスを使用して既知のフィッシングの脅威から保護し、AI を使用して未知の標的型脅威から保護することで、発信元に関係なくユーザーがスピアフィッシング リンクにアクセスするのを防ぐことができます。 Netskope のお客様は、フィッシングから保護するためにNetskope NG-SWGを構成できます。 Remote Browser Isolation (RBI)テクノロジーは、新たに確認されたドメインや新しく登録されたドメイン、個人のウェブメール、ソーシャル メディアなど、リスクが高い可能性のあるカテゴリの Web サイトにアクセスする必要がある場合に追加の保護を提供できます。

初期アクセス:スピアフィッシング添付ファイル
スピアフィッシングリンクの保護は、スピアフィッシング添付ファイルのリンクをクリックするユーザーから保護するのにも役立ちますが、より強固な防御策を講じることで、スピアフィッシングの添付ファイルをダウンロードするユーザーに対する保護が強化されます。 フィッシングは複数のソースから発生する可能性があるため、効果的な戦略としては、脅威インテリジェンス、シグネチャ、ヒューリスティック、AI を使用して、すべてのウェブおよびクラウド トラフィックを含むすべての HTTP および HTTPS ダウンロードを検査し、スピアフィッシングの証拠を探すことが挙げられます。 Netskopeのお客様は、あらゆるソースからのすべてのファイルタイプのダウンロードに適用される脅威保護ポリシーを使用して、 Netskope Next Gen Secure Web Gatewayを構成できます。 一般的なクラウド アプリ (Microsoft OneDrive など) からのコンテンツのダウンロードを検査することは、そのようなアプリを悪用してマルウェアを配信する攻撃者から保護するために特に重要です。

実行:悪意のあるリンク実行:悪意のあるファイル
攻撃者は、Microsoft OneDrive などの一般的なクラウド アプリを含む複数のチャネルを配信する マルウェア、効果的な防御戦略では、ウェブやクラウドを含むすべてのトラフィックに悪意のあるコンテンツがないか検査する必要があります。 実行可能ファイルやアーカイブなどのリスクの高いファイル タイプは、ダウンロードする前に静的分析と動的分析の組み合わせを徹底的に検査してください。 Netskope Advanced Threat Protection のお客様は、 患者ゼロ予防 ポリシー 複数の静的および動的分析エンジンによって完全に検査されるまで、ダウンロードを保留します。Netskope お客様は、すべてのソースからのすべてのファイルタイプのダウンロードに適用される脅威対策ポリシーを使用して Netskope Next Gen Secure Web Gateway を構成できます。 リスク対象領域をさらに減らすには、 ポリシー は、 アプリからのダウンロードをブロックするように 使う 組織で、リスク対象領域を必要なアプリとインスタンス (会社と個人) のみに減らします。 新しく登録されたドメイン、新しく観察されたドメイン、およびその他の危険なカテゴリからのすべての危険なファイルタイプのダウンロードをブロックします。

コマンドとコントロール: アプリケーション層プロトコル: ウェブプロトコル
ウェブプロトコルを介した敵対者のC2トラフィックを検出して防止するための効果的な戦略には、 SWGとIPSを使用して、既知のC2インフラストラクチャへの通信をブロックし、よくあるC2パターンを示します。 Netskope Advanced Threat Protection のお客様は、IPS および Advanced UEBA 機能を使用して、C2 トラフィックや侵害後の動作のその他のシグナルを識別できます。新しく登録されたドメイン、新しく観測されたドメインをブロックし、異常なネットワークトラフィックパターンを警告することで、リスク対象領域を減らし、早期検出を可能にすることもできます。DNS セキュリティクラウド ファイアウォール は、HTTP/HTTPS 以外の C2 トラフィックから保護するためにも使用できます。

窃盗:C2チャネルを介した窃盗
敵対者の C2 トラフィックを検出して防止するための同じ保護は、 データ 同じ C2 チャネルまたはその他の Web プロトコルを介した流出。 Netskope 顧客は、データをアップロードできる場所を制限するポリシーを 構成でき、 攻撃者がデータを流出できるチャネルを効果的に制限できます。 Netskope お客様 使う Advanced UEBA には、異常な場所へのアップロードの急増や暗号化またはエンコードされたコンテンツの転送など、データ転送の異常の特定を含む、C2 に対する追加の保護があります (攻撃者によるよくある手法)。

要約すると、どのトラフィックが検査され、どのトラフィックがバイパスされるかを評価することは、ユーザー、データ、アプリケーション、およびインフラストラクチャをこれらの敵から保護するための防御にとって不可欠です。 可能性のあるすべてのトラフィックを検査していることがわかったら、次のステップは、このレポートに記載されている 6 つの手法に合わせて防御を調整することです。 一部の防御はシグネチャとパターンに依存しますが、AI/MLのイノベーション(アルゴリズム、特徴抽出器、異常検出など)を使用して、未知の脅威やゼロデイ脅威から保護することができます。 年に 1 回または 2 回、敵が現在の防御を回避するためにどのような戦略をとっているかを評価し、ユーザー、データ、アプリケーション、インフラストラクチャを保護するために利用できる新しい防御策を確認します。

このレポートについて リンク リンク

Netskope Threat Labs は、四半期ごとにクラウドと脅威に関するレポートを発行し、サイバーセキュリティの特定の課題に焦点を当てています。 このレポートの目的は、アクティブな脅威に関する戦略的かつ実用的な情報を提供することです。

Netskopeは、世界中の何百万人ものユーザーに脅威とデータ保護を提供します。このレポートに記載されている情報は、匿名化された使用状況に基づいています データ 事前の承認を得て、Netskopeの顧客のサブセットに関連してNetskope Oneプラットフォームによって収集されました。このレポートには、次世代セキュア ウェブ ゲートウェイ (SWG) によってNetskope One発生した検出に関する情報が含まれており、個々の脅威の影響の重要性は考慮されていません。したがって、レポートで強調されている戦術と手法は、HTTP/HTTPSトラフィックで観測可能なものに限定され、このレポートで追跡する攻撃者グループは、その手法に限定されています。 このレポートに表示される統計は、攻撃者のアクティビティとユーザーの行動の両方を反映しています。たとえば、「初期アクセス: スピアフィッシング」セクションでは、攻撃者によって作成されたすべてのフィッシング リンクの世界ではなく、ユーザーがクリックしている実際のフィッシング リンクについて説明します。このレポートの統計は、2023 年 1 月 1 日から 2023 年 9 月 23 日までの期間に基づいています。

Netskope Threat Labs リンク リンク

業界屈指のクラウド脅威およびマルウェア研究者が在籍するNetskope Threat Labs は、企業に悪影響を及ぼす最新のクラウド脅威に対する発見、分析および防御策の設計を行なっています。クラウドフィッシング、詐欺、マルウェア配信、コマンド&コントロール、データの抜き出しやデータの暴露など、クラウド関連の脅威に関する独自のリサーチと詳細な分析を用いることで、同ラボは、Netskopeのお客様を悪意ある脅威アクターから守り、研究、助言、ベストプラクティスを通じてセキュリティの世界的コミュニティに貢献しています。同ラボはシリコンバレーを始めとする世界各地で企業の設立・経営に携わった経験を持つセキュリティ研究者やエンジニアによって率いられており、本社を拠点に世界中に展開しています。同ラボの研究者は、DefCon、BlackHat、RSAなどを含む最も権威あるセキュリティ会議に定期的に参加し、登壇者およびボランティアとして尽力しています。

関連資料

項目