2023年版Elasticグローバル脅威レポート：サイバーセキュリティに関する主な予測と推奨

攻撃者はインプラント、ツール、インフラストラクチャーの面でオープンソースコミュニティへの依存度を高めるでしょう。

サイバー攻撃者は、以前にも増して商用ツールやオープンソースツールを駆使し、プラットフォームをまたいでシステムを侵害することが増えています。脅威グループは、一般的にMetasploit、Cobalt Strike、Sliverフレームワークなどを使用して、Windows、Linux、macOSデバイスを狙っています。また、これらのツールを使用して攻撃を開始する、サービスとしてのマルウェアやランサムウェアの使用例も増加傾向にあります。攻撃者がオープンソースツールを使用して運用コストを削減している可能性があります。

クラウド認証情報の漏洩は、データ漏洩インシデントの主な原因となります。

攻撃者はしばしば、認証情報アクセス手法を駆使してデータやシステムにアクセスします。認証情報アクセスとは、パスワードやトークンなどの認証方法を含む広義の用語です。エンドポイントでの振る舞いのシグナルのうち、約7％がこの戦術に関係しており、そのうち79％に、内蔵のツールまたは機能を使用したオペレーティングシステムからの認証情報ダンピングが含まれていました。

クラウドサービスプロバイダー（CSP）の場合、検知シグナルの約45％を認証情報アクセスが占めていました。AWSの場合、これらのシグナルに主に含まれていたのは、Secrets Managerのシークレット、ローカルEC2ホストの環境変数、認証情報ファイルへの異常なアクセスの試みでした。コードが適切にレビューまたはクリーニングされていない場合、GitHubなどのコードリポジトリを通じて認証情報が漏洩する可能性もあります。

防御回避は引き続き攻撃者の最大の投資対象であり、改ざんがなりすましに取って代わるでしょう。

防御回避技術が広く普及しているということは、攻撃者が現在使われている監視ツールやセキュリティソリューションを熟知しており、回避戦略を開発していることを示しています。これは、攻撃者が環境に順応し、悪意のある活動を隠しおおせるために時間とリソースを掛けていることを示唆する明らかな兆候です。