Skip to main content
ログイン
無料トライアルを始めるセールスへのお問い合わせ

2024年版Elasticグローバル脅威レポート:予測と推奨事項

著者

Santosh Krishnan

158175_-_Blog_header_image_Prancheta_1-05_(1).jpg

昨日、Elastic Security Labsは、Elastic独自のテレメトリーから得られた10億以上のデータポイントを包括的に分析した「2024年版Elasticグローバル脅威レポート」を発表しました。このレポートでは、防御者の観点から見た脅威アクターの手法、テクニック、傾向に関する洞察が提供されており、セキュリティチームがセキュリティ態勢の優先順位付けと改善を行う上で重要な洞察が得られます。

本レポートの所見は、Elasticの匿名化されサニタイズされた遠隔測定と、自発的に提供された公開データとサードパーティデータに基づいたものです。遠隔測定はElastic Security Labsの専門家によって徹底的にレビューされ、お客様、パートナー、セキュリティコミュニティ全体に役立つ実用的な洞察にまとめられています。

予測と推奨事項のハイライト

今年、Elastic Security Labsは、クレデンシャルアクセス攻撃の増加や攻撃的なセキュリティツールの継続的な操作など、脅威アクターの進化を観測しました。以下に、レポートの中から、主な予測と推奨の一部をご紹介します。

アクセスブローカーとインフォスティーラーエコシステムにより、漏洩した資格情報の影響が増大

今年重大な事件が発生したとき、研究者たちは、攻撃者が被害者の環境から入手した盗んだ認証情報を使用したことを観測しました。これらのケースの大部分では、環境にインフォスティーラーが残した痕跡やバックドアのアーティファクトも含まれていました。時間が経過すると、どの資格情報が侵害されたかを判断するのは非常に困難になる可能性があります。

推奨事項:漏洩したアカウント認証情報をローテーションし、アカウントをリセットするための対応ワークフローに投資します。ユーザーおよびエンティティの行動分析 (UEBA) は、侵害されたアカウントの特定に役立つ技術の1クラスであり、ブルートフォース攻撃 (クラウドベースの環境では非常に一般的) で使用されるアカウントを監視すると、証拠が移動または削除された場合に役立ちます。

遠隔測定によると、セキュリティチームはクラウドサービスプロバイダー(CSP)リソースに対して寛大すぎるため将来のデータ漏洩のリスクが増加していることがわかりました。

クラウドのセキュリティ態勢の設定は、すべてのハイパースケーラーにおいて、一貫して誤って構成されていることがわかりました。何らかの形で、ユーザーはすべてのCSPの同じ機能を誤って構成していました。

  • 場所に制限なくログインを許可する寛容なアクセスポリシー

  • アカウントの種類に制限なく、ファイル操作を許可する寛容なストレージポリシー

  • 抜け穴の多いデータ処理ポリシーや弱い暗号化

使いやすさと重要なリソースを確保するための費用のバランスを取っている企業は、攻撃的なポスチャを優先したり、一貫性のある優先順位を付けるのに苦労するかもしれません。多くの場合、監査とガイダンスは十分に理解されており、無料で広く利用可能です。

推奨事項:セキュリティチームは、Center for Internet Security(CIS)ベンチマークプロセスを使用して、環境内でさらに注意を払う必要がある設定を特定するよう検討してください。CISポスチャスコアが100に達したら、情報セキュリティチームが最も一般的なクラウドベースの侵入手法に精通していることを確認します。この基準に則った状態からの監視は、将来の脅威に対して環境を強化しながら、脅威の検出速度を向上させるのに役立つはずです。

攻撃者は防衛回避、特にセンサーの視認性を妨げる手法に3倍の力を入れています

最も一般的な防御回避シグナルはWindowsシステムで見られ、一般的にはプロセスインジェクション、システムバイナリプロキシの実行、防御の弱体化という3つの手法が関係しています。これらの手法を複合的に使用することで、データがデータリポジトリに送信される前にインストルメンテーションの改ざんや妨げを行うのに十分な権限を得るための初期的な足場を作ることができます。

推奨事項:この複雑な方法論に対する解決策は1つきりではありません。しかし、セキュリティチームはエンドポイントの可視性、組み込みのバイナリプロキシ、プロセスインジェクションのインジケーターの変化を監視する必要があります。ただし、脅威アクティビティが発見される前にインタラクティブなエンドポイントエージェントをデプロイしなければ、効率的な監視は実現できず、正しく構成されなければ効果はありません。研究者は、管理者が認可された移行に失敗したために、望ましくない結果をもたらしている企業を頻繁に観測しました。

2024年版Elasticグローバル脅威レポートで攻撃者の一歩先を行く

これらの予測は、今後1年間に想定される脅威、攻撃者、防御の簡単なスナップショットに過ぎません。その他の予測やセキュリティ状況の詳細については、 2024年版Elasticグローバル脅威レポートの全文をご覧ください 。

本記事に記述されているあらゆる機能ないし性能のリリースおよびタイミングは、Elasticの単独裁量に委ねられます。現時点で提供されていないあらゆる機能ないし性能は、すみやかに提供されない可能性、または一切の提供が行われない可能性があります。

Sign up for Elastic Cloud free trial

Spin up a fully loaded deployment on the cloud provider you choose. As the company behind Elasticsearch, we bring our features and support to your Elastic clusters in the cloud.

Start free trial