脅威アクターのように考えるには
私のチームが、 エンドツーエンドの攻撃 のストーリーを語ります。攻撃者のキル チェーンのさまざまなフェーズを点と点で結びつけ、攻撃が起きている間にその根本原因を一目で理解できるようにします。
また、攻撃者のテクニックや考え方を模倣します。
攻撃者は、目的や一連のアクティビティという観点から世界にアプローチします。彼らはさまざまなテクニックを連鎖させ (これが攻撃のストーリーが "キル チェーン" と呼ばれる理由です)、攻撃者にとって最も有益な経路を移動していきます。これは直線的なプロセスではありません。私たちはこれを "グラフでの思考" と呼んでいます。
私たちは防御者として、同じ思考を採用する必要があります。攻撃が進行しているときに、ジグソー パズル全体を組み立て直そうとするような "リストでの思考" を自らに課すことはできません。攻撃者がどのようにアクセスを入手し、どのように横方向に移動し、何を目指しているのかを一目で把握する必要があります。
防御者は、個々のテクニックを単独でなく、一連のアクティビティとしてまとめて理解することで、悪意のある活動をより正確に特定することができます。
私たちが最近起こった一連の金融詐欺攻撃を分析した際、攻撃者が多要素認証 (MFA) をバイパスするためにリバース プロキシセットアップを使っていることに気づいたのは、その良い例です。私たちは MFA バイパスのシグナルに注目し、この新たなテクニックが出現した他の事例との関連付けを行いました。私たちが点と点を結ぶ能力から資格情報ハーベスティングについて学んだことにより、攻撃の早い段階で応答することができます。これにより、私たちはより優れた防御者になることができます。
組織をより適切に守るためにはどうしたらいいかと聞かれたとき、私はいつも同じことを言っています。MFA を一貫して活用することが非常に重要です。これは、私たちからの最も重要な推奨事項の 1 つです。企業が自らをより適切に守るためにできる最も重要なことの 1 つであり、パスワードレスの環境を目指すことで、新たな攻撃者のテクニックをすべて無効にすることができます。MFA を適切に使用することで、攻撃者の仕事はさらに難しくなります。そして、彼らが ID や組織へのアクセスを取得できなければ、攻撃を仕掛けるのはより複雑になります。
Microsoft Security をフォロー