敵対者を理解する

マックス・ハービー (Max Havey) [00:00:00] サイバーセキュリティ、テクノロジー、信頼、ネットワーキングの世界の上級管理職との会話を提供することに焦点を当てたNetskopeが提供するポッドキャストであるセキュリティビジョナリーへようこそ。 このエピソードでは、Netskope Threat Labsのディレクターであるレイ・カンザネーゼ （Ray Canzanese）との会話を特集しています。 カンザネーゼは、最新の四半期ごとのクラウドおよび脅威レポートについてお話しするために来ていただきました。 今回、彼が敵対者に焦点を当てることを選んだ理由、彼の調査結果について最も驚いたこと、そしてセキュリティ担当者などがこのレポートの調査結果をどのように使用できるかについて話します。 これがレイとの会話です。 こんにちは、セキュリティビジョナリーへようこそ。 ホストを務める、マックス・ハービーです。 そして今日は、10月のクラウドと脅威のレポートについて、Netskope Threat Labsのディレクターであるレイ・カンザネーゼ と話し合います。 レイ、ようこそ。 お元気ですか。

レイ・カンザネーゼ（Ray Canzanese） [00:00:44] 元気です。月曜日にできる限り良いです。 あなたはどうですか。

ハービー [00:00:47] 私はやっています私はしっかりやっています。この会話ができてとてもうれしいです。 だから。 そのため、Netskope Threat Labsのディレクターとして、Rayは四半期ごとのクラウド脅威レポートの作成を担当しています。 ここから始めるために、レイ、中間報告の種類、あなたがそれをどのくらいの期間行っているのか、そしてなぜ私たちがそれを行うのかについて、少し背景を教えていただけますか?

カンザネーゼ [00:01:06] 承知しました。 これらのレポートの作成を開始したのは2020年ですので、レポートの作成は今年で3年目になります。 四半期ごとに新しいレポートを出し、新しいレポートを出すたびにわずかに異なるトピックや角度をカバーしています。 これらのレポートの目的は、戦略的で実用的な脅威情報を読者に提供することです。 ですから、これらすべてでそれが実現することを望んでいますが、特に私たちが出したばかりの最新のレポートです。

ハービー [00:01:38] もちろんです。では、今回のレポートの焦点と、このレポートを書くためのアプローチについて教えていただけますか?

カンザネーゼ [00:01:45] 承知しました。 そのため、以前のレポートでは、マルウェアが被害者によってダウンロードされているのが見られる場所などのトピックが取り上げられてきました。 フィッシングリンクに遭遇している場所について話しました。 AIとリスクについて話しましたよね。 インサイダー脅威のリスクについて説明しました。 ですから、私たちはこれらすべての異なる見解を取りましたが、その多くは外部の敵についてです。 そして、この最新のレポートでは、その敵に焦点を当てることにしました。 そうですね。 したがって、フィッシングやマルウェア、エクスプロイトなどの特定のものに焦点を当てる代わりに、敵を見てみましょう。 Netskopeの顧客に対して最もアクティブな敵を見てみましょう。 そして、それから何かを学ぶことができるかどうか見てみましょう。 たとえば、どの敵について話しているかに関係なく、使用されている最高の戦術とテクニックを学ぶことができるかどうか見てみましょう。 または、特定の業界、特定の地域で働いている場合、特定の敵対者がいる場合、心配する必要があるかどうか、したがって、その敵対者が好む特定の戦術と手法のセットを見て、防御に焦点を当てる必要があります。

ハービー [00:02:59]間違いなく。 ですから、あなたが知っているように、あなたがあなたの側で物事をよりよくすることができるようにあなたの敵を知っているような感覚。

カンザネーゼ [00:03:05] まさにその通りです。 また、サイバーセキュリティについて話すとき、マルウェアがどこから来て、どこでマルウェアに遭遇しているかについて話しているように、少し抽象的になるように感じることがあります。 そして、これはその一歩を踏み出して、他の誰かがそれをしていることを思い出させるようなものですよね? それらのリンクを送っている人がいますよね? システムを危険にさらすこれらのことをするようにユーザーを説得しようとしている人がいます。 それでは、それが誰であるかに本当に焦点を当てましょう。 はい。 その敵は、サイバーセキュリティで私たちが直面している攻撃防御タイプの戦いのようなものです。

ハービー [00:03:45] そのような視点を持つことで、このレポートの作成アプローチは、以前のレポートと比較してどのように変わりましたか?

カンザネーゼ [00:03:52] 承知しました。それで、最初に、それはこのレポートを書くまでの12ヶ月と呼びましょうのアプローチを変えました。 言い換えれば、このレポートを書くために最初に変更する必要があったのは、敵をより綿密かつ正確に追跡しようとすることです。 はい。 したがって、私たちにとって最初に変わるのは、マルウェアを検出しているとき、誰かがフィッシングページにアクセスしているのを見たとき、エンドポイントから出るコマンドアンドコントロールトラフィックを見たとき、それについてできるだけ多くの情報を収集しようとし、それを追跡している1つ以上の敵対グループに帰しようとするときに、さらに多くの時間を費やし始めることです。 はい。 ですから、そのすべての作業は、あなたが知っているように、そして私はおよそ1年を節約しますよね。 これは多かれ少なかれこのレポートがカバーしているものです。 私たちは結局、23の初めから今日まで話し始めることになります。 それが私たちが始めるところです、そうです、追跡です。 そして、レポートを書き始める時が来たとき、あなたが見ているものも、他の人よりも活発だった敵はいますか? はい。 特定の集団内で他の集団よりも活発だったものはありますか? そして、一番上に浮かんでいる戦術を見始めてください。 それらの興味深い傾向が何であるかを見るために、それらは私たちの防御戦略を前進させるであろう際立ったものです。

ハービー [00:05:18]間違いなく、より定性的なアプローチのようなものです。 さて、それを念頭に置いて、このレポートから出てきた大きなポイントと大きな発見のいくつかは何でしたか?

カンザネーゼ [00:05:27] 承知しました。 ですから、大きなポイント、最初の、そしておそらく最も簡単なポイントは、私たちが追跡していたすべての敵を通して、そうです。 そして、このレポートのために追跡した合計約50のグループがあったと思います。 誰もがそれらを使用しているだけで際立ったいくつかのテクニックがありました。 はい。 だから私があなたの敵のアプローチを知っているなら、そうです。 それにはこの1つの角度があります、それはまあ、私はそれが50人の敵のどれであるかを本当に気にしません。 彼らはこれらの6つのこととこれらの6つのことをかなり大量に行っている可能性があります。 はい。 そして、MITRE ATT&CKフレームワークの観点からそれらを追跡した6つのこと。 したがって、MITRE ATT&CKフレームワークは、サイバーセキュリティにおいて、戦術、技術、およびそれらを使用しているグループについて互いに話し合うための非常に優れた言語を提供します。 そこで、このレポートを書くためにその共通言語を選び、その共通言語で、初期アクセス、つまり攻撃者がターゲット システムに侵入するために使用する手法について説明します。 私たちは実行について話します、それは彼らがそのシステムに入ったら彼らが悪意のあるコードを実行する方法です、私たちはコマンドアンドコントロールについて話します、それは明らかに彼らがシステムを危険にさらした後です、それから彼らはそれからどのように話しますか? そして最後に、データの流出、そうです。 彼らの究極の目標が、例えば、あなたを脅迫しようとすることであるならば、彼らはあなたを脅迫するために何かを盗まなければならないでしょう? そのため、一部のデータをシステムに盗み出す必要があります。 そこで、これらのカテゴリの6つの特定の手法を検討し、基本的に全面的に見つかります。 私たちが追跡していたすべての敵はそれらをやっていました。 そして、彼らはフィッシングを中心とし、ユーザーにマルウェアを実行させることを中心とし、次にHTTPとHTTPSを介してすべてのコマンドアンドコントロールと流出を行うことを中心とし、基本的にネットワーク上の他のすべてのものと調和させました。

ハービー [00:07:40] したがって、基本的に、これらのさまざまな敵の多くが目にしている主要な戦術とヒントの種類を分析し、それらはすべて適用され、それらをレイアウトしたら、業界、地域、その他多くの要因によってそれらを分類します。 右。

カンザネーゼ[00:07:55]そうです。 そして、あなたがこのレポートから得ようとしているだけなら、私は別の方法で何をすべきでしょうか? それらは誰もが標的にされているものですよね? したがって、どこかから始める場合は、防御戦略が事実上すべてのグループに対して機能するため、一般的なものから始めてください。 はい。 次に、これらの6つの戦術と手法を実行した後の次のステップは、業界と地域で何が起こっているかを確認することです。

ハービー [00:08:22]間違いなく。 そして、これらの地域や業界をさらに掘り下げていくと、これらの調査結果で本当に驚いたことはありますか?

カンザネーゼ [00:08:30] はい、本当に驚いたことが1つありました。 したがって、追跡している敵全体を見ると、それらは非常に大まかに2つのグループに分かれています。 彼らは金銭的に動機付けられているか、地政学的に動機付けられています。 はい。 彼らはサイバー犯罪者です。 はい。 あるいは、彼らはある種の国家が後援する、または国家関連の地政学的アクターです。 ですから、これら2つのグループとネットワーク全体を見ると、サイバーセキュリティに携わる人にとって、圧倒的な量がサイバー犯罪であることは驚くべきことではないと思いますよね? それは主にサイバー犯罪活動です。 攻撃者のアクティビティの総量に占める地政学的アクティビティの割合ははるかに低くなります。 さて、いくつかの傑出したものがありましたよね? したがって、業界側、金融サービス、ヘルスケアでは、地政学的な敵は他の業界よりも活発でした。 同様に、それがほとんど反対である地理的地域にも傑出したものがありました。 2つの傑出したものがあり、傑出したのはオーストラリアと北米で、他の地域よりも地政学的な敵の活動がはるかに少なかった。 ですから、本当に、あなたが知っているように、私たちが見ていたのがサイバー犯罪なのか地政学的活動なのかという点で、ここで驚くべきビットだったのはそれらの傑出したものでした。

ハービー [00:10:06] もちろんです。 では、これらの特定の傑出したものは何でしたか、そしてなぜサイバーセキュリティのリーダーやセキュリティ組織内の他の人々のような人々がこの種の研究の中でそのような異常や外れ値に注意する必要があるのですか?

カンザネーゼ [00:10:22]そうです。 したがって、これらの外れ値の領域の1つで作業している場合。 はい。 それはあなたが直面している敵についてあなたに何かを教えてくれます。 はい。 そして、それだけではありません。 それが地政学的か犯罪的かを見てください。 はい。 しかし、その後、MITRE ATT&CKフレームワークを使用して、それらの地域の上位の地政学的敵対者を調べることができます。 彼らが使用している戦術とテクニックは何ですか? はい。 そして、あなたの防御はそれらに対してどの程度うまく調整されていますか? 言い換えれば、それを見ることによってあなたが学ぶことは、あなたの業界、またはあなたの地域の特別なことであり、あなたはおそらく少し違う何かをするべきであり、あなたが直面している敵にもっとターゲットを絞っているということです。 そして、多くの場合、これについて情報を得ることができるのは、仲間の組織と話すことですよね? ですから、あなたの業界の他の人々、あなたと同じ地域で活動しているあなたの業界の他の人々と話してください。 多くの場合、ISACやその他のグループを見つけて、参加して何が起こっているのかを互いに共有することができます。 仲間がどのように防御を構築しているか。 あなたが別の方法でできること、あなたが直面している特定の敵から身を守るために彼らから学ぶこと。

ハービー [00:11:37] そして、それは良い幅広い持ち帰りです、特に私たちが今セキュリティ意識向上月間の真っ只中にいるので、それについて考えて、もう少しズームアウトして、このレポートから出てくる1つの重要な戦術またはヒントをより広範なセキュリティ組織に提供する必要がある場合、 技術的、非技術的、非脅威であるセキュリティ担当者、ご存知のように、セキュリティの人々。 あなたが彼らに提供する1つのポイントは何ですか?

カンザネーゼ [00:12:01] 承知しました。ですから、サイバーセキュリティ意識向上月間に話題になる私たちのお気に入りのトピックの1つはフィッシングであることを知っています。 フィッシングについて少しお話ししましょう, フィッシングについて考えるとき、私たちはしばしば電子メールについて考えるからですよね? フィッシングトレーニングの多くは、そのメールを開いても安全かどうかをどうやって知るかに焦点を当てています。 私たちが見つけたのは、電子メールが人々がフィッシングに陥る一般的な方法になりつつあるということです。 右。 これは、メールを疑うように全員をトレーニングするため、もう 1 つは、メールに関するフィッシング対策をすべて構築するためです。 ですから、私たちが見始めているのは、それが電子メールではなく、テキストメッセージであり、電話であり、InstagramのDMであり、Facebookの偽のレビューであるということです。 使用しているソフトウェアや使用しているハードウェアについて知りたいと思っていた本当に特定のことを検索したときにGoogleで見つけた奇妙な検索結果で、攻撃者がGoogleの検索結果にフィッシングページを表示することができました。 つまり、フィッシングの話は、フィッシングは電子メールではないということですよね? フィッシングとは、他の誰かがあなたをだましてユーザー名やパスワードをあきらめさせたり、事実上あなたの肩越しに見ているときに何かにログインさせたりすることです。 そして、それはどこからでも始めることができ、電子メールの外で始めることができます。 したがって、サイバーセキュリティに携わっているために技術的な観点からフィッシングが心配な場合は、フィッシング防御が電子メールを超えていることを確認してください。 あなたが少し妄想的でフィッシング、簡単な解決策を心配している普通の老人なら、リンクをクリックしないでください。 他の人があなたに行くように言ったウェブサイトには絶対に行かないでください。 つまり、銀行のWebサイトにログインする場合は、ブラウザを開いて銀行のWebサイトのURLを入力します。 銀行のウェブサイトにログインする他の方法はありません。 悲惨なテキストメッセージはありません。 インスタグラムのDMも、スナップチャットも、フェイスブックも、何もありません。 他の方法で重要なことにログを記録するように私を説得する人はどこにもいません。

ハービー [00:14:29] まあ、それも良い点であり、最近のMGM攻撃のニュースでも見たように、このフィッシングがどのように進化したかに注目してください。 ですから、これがどのように発展し、成長し、変化し続けているかを示すこれらの例があります。 そして、それは私がそこに持っている素晴らしいポイントだと思います。

カンザネーゼ[ 00:14:48]ええ、絶対に。 つまり、これがどれほど一般的かはわかりませんが、おそらく1日に12件の電話やテキストメッセージを受け取りますが、それらは確かにある種の詐欺です。 つまり、彼らは、あなたが知っているように、資格情報のフィッシングが私に彼らにお金を送らせようとしているのです。 はい。 しかし、そこでは何かが起こっています。 ですから、人々はこれらの大容量のもののいくつかに精通しているかもしれないと思います。 しかし、あなたがより低い音量に入り始めるとき、より微妙なものは人々がだまされ始めるところです。 ですから、チャンネルについて考えるのをやめて、実際に何が起こっているのかを考え始めてください。 誰かがあなたに偽のウェブサイトに行かせようとしています。 ですから、誰にもそのような機会を与えないでくださいよね? 決して、リンクをクリックしないでください。 はい。 簡単な解決策。 そのコンピューターのプラグを抜きます。

ハービー[00:15:37] チャネルについて考えるのをやめ、結果に集中します。 ここでの本当の大きなポイントのように感じます。 これは、視聴者の誰もがインターネットから操作しているときに覚えて覚えておくのが簡単なことだと思います。

カンザネーゼ [00:15:50]そうです。 なぜなら、あなたが知っている、私はそれが今日何であるかのすべてのそれらの例を挙げるからですよね? しかし、明日は、Mastodonや現在それほど人気が ない他のプラットフォームになると思いますが、人気が高まるにつれて、フィッシング詐欺師、詐欺師、サイバー犯罪者、地政学的アクター、彼らもすべてそこに行くでしょう。

ハービー [00:16:13]ええ、絶対に。 これでここでの質問は終わりだと思います。 これまでこの会話で取り上げられていないことをさらに追加したいことはありますか?

カンザネーゼ[00:16:22]まあ、もし私たちがピッチを与えるつもりなら、私はピッチを与えます。はい。 このレポートは netskope.com/threat-labs で公開されています。 当社のウェブサイトでは、今日ここで話したすべての詳細を見つけることができます。 そして毎月、ウェブサイトに新しい月次レポートが上がるのを見るでしょう。 興味深い脅威については、ブログでライブで説明します。 そして、四半期ごとに、これらの大きなレポートの別の1つが表示されます。 私たちが行っているこのエキサイティングなことのすべてに追いつくことができない場合、私はあなたが netskope.com/threat-labs であるまったく同じウェブサイトで見つけることができるメーリングリストも持っています。

ハービー [00:17:04] もちろんです。 そして、これを自分でチェックしたいすべての人のために、エピソードのショーノートにこれへのリンクがあります。 しかし、それまでは、別のレポートがあるまで。 レイ、お時間を割いていただきありがとうございます。 それは常に明るく、あなたが Netskope Threat Labsで発見しているすべての興味深い新しいものすべてについてあなたに話します。

カンザネーゼ [00:17:19]ありがとう、マックス。

ハービー [00:17:20] 素晴らしい。楽しんで。