Quantify the value of Netskope One SSE – Get the 2024 Forrester Total Economic Impact™ study

閉める
虫眼鏡
お問い合わせ
虫眼鏡
サポート
シェブロン
サポート 言語
閉める
  • Netskopeが選ばれる理由 シェブロン

    ネットワークとセキュリティの連携方法を変える。

  • 導入企業 シェブロン

    Netskopeは、フォーチュン100社の30社以上を含む、世界中で3,400社以上の顧客にサービスを提供しています。

  • パートナー シェブロン

    私たちはセキュリティリーダーと提携して、クラウドへの旅を保護します。

SSEのリーダー。 現在、シングルベンダーSASEのリーダーです。

ネットスコープが2024年Gartner®社のシングルベンダーSASEのマジック・クアドラントでリーダーの1社の位置付けと評価された理由をご覧ください。

レポートを読む
顧客ビジョナリースポットライト

革新的な顧客が Netskope One プラットフォームを通じて、今日の変化するネットワークとセキュリティの状況をどのようにうまく乗り越えているかをご覧ください。

電子書籍を入手する
顧客ビジョナリースポットライト
Netskopeのパートナー中心の市場開拓戦略により、パートナーは企業のセキュリティを変革しながら、成長と収益性を最大化できます。

Netskope パートナーについて学ぶ
色々な若い専門家が集う笑顔のグループ
明日に向けたネットワーク

サポートするアプリケーションとユーザー向けに設計された、より高速で、より安全で、回復力のあるネットワークへの道を計画します。

ホワイトペーパーはこちら
明日に向けたネットワーク
Netskope Cloud Exchange

Netskope Cloud Exchange (CE) は、セキュリティポスチャに対する投資を活用するための強力な統合ツールを提供します。

Cloud Exchangeについて学ぶ
Aerial view of a city
  • Security Service Edge(SSE) シェブロン

    高度なクラウド対応の脅威から保護し、あらゆるベクトルにわたってデータを保護

  • SD-WAN シェブロン

    すべてのリモートユーザー、デバイス、サイト、クラウドへ安全で高性能なアクセスを提供

  • Secure Access Service Edge シェブロン

    Netskope One SASE は、クラウドネイティブで完全に統合された単一ベンダーの SASE ソリューションを提供します。

未来のプラットフォームはNetskopeです

Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG), and Private Access for ZTNA built natively into a single solution to help every business on its journey to Secure Access Service Edge (SASE) architecture.

製品概要はこちら
Netskopeの動画
Next Gen SASE Branch はハイブリッドである:接続、保護、自動化

Netskope Next Gen SASE Branchは、コンテキストアウェアSASEファブリック、ゼロトラストハイブリッドセキュリティ、 SkopeAI-Powered Cloud Orchestrator を統合クラウド製品に統合し、ボーダレスエンタープライズ向けに完全に最新化されたブランチエクスペリエンスを実現します。

Next Gen SASE Branchの詳細はこちら
オープンスペースオフィスの様子
ダミーのためのSASEアーキテクチャ

SASE設計について網羅した電子書籍を無償でダウンロード

電子書籍を入手する
ダミーのためのSASEアーキテクチャ eBook
ソリューション概要はこちら
ソリューション概要はこちら
ソリューション概要はこちら
最小の遅延と高い信頼性を備えた、市場をリードするクラウドセキュリティサービスに移行します。

NewEdgeの詳細
山腹のスイッチバックを通るライトアップされた高速道路
アプリケーションのアクセス制御、リアルタイムのユーザーコーチング、クラス最高のデータ保護により、生成型AIアプリケーションを安全に使用できるようにします。

生成AIの使用を保護する方法を学ぶ
ChatGPTと生成AIを安全に有効にする
SSEおよびSASE展開のためのゼロトラストソリューション

ゼロトラストについて学ぶ
大海原を走るボート
NetskopeがFedRAMPの高認証を達成

政府機関の変革を加速するには、Netskope GovCloud を選択してください。

Netskope GovCloud について学ぶ
Netskope GovCloud
  • リソース シェブロン

    クラウドへ安全に移行する上でNetskopeがどのように役立つかについての詳細は、以下をご覧ください。

  • ブログ シェブロン

    Netskopeがセキュアアクセスサービスエッジ(SASE)を通じてセキュリティとネットワーキングの変革を実現する方法をご覧ください

  • イベント&ワークショップ シェブロン

    最新のセキュリティトレンドを先取りし、仲間とつながりましょう。

  • 定義されたセキュリティ シェブロン

    サイバーセキュリティ百科事典、知っておくべきすべてのこと

「セキュリティビジョナリー」ポッドキャスト

2025年の予測
今回の Security Visionaries では、Wondros の社長であり、Cybersecurity and Infrastructure Security Agency (CISA) の元首席補佐官である Kiersten Todt 氏が、2025 年以降の予測について語ります。

ポッドキャストを再生する Browse all podcasts
2025年の予測
最新のブログ

Netskopeがセキュアアクセスサービスエッジ(SASE)機能を通じてゼロトラストとSASEの旅をどのように実現できるかをお読みください。

ブログを読む
日の出と曇り空
SASE Week 2024 オンデマンド

SASEとゼロトラストの最新の進歩をナビゲートする方法を学び、これらのフレームワークがサイバーセキュリティとインフラストラクチャの課題に対処するためにどのように適応しているかを探ります

セッションの詳細
SASE Week 2024
SASEとは

クラウド優位の今日のビジネスモデルにおいて、ネットワークとセキュリティツールの今後の融合について学びます。

SASEについて学ぶ
  • 会社概要 シェブロン

    クラウド、データ、ネットワークセキュリティの課題に対して一歩先を行くサポートを提供

  • 採用情報 シェブロン

    Join Netskope's 3,000+ amazing team members building the industry’s leading cloud-native security platform.

  • カスタマーソリューション シェブロン

    お客様の成功のために、Netskopeはあらゆるステップを支援いたします。

  • トレーニングと認定 シェブロン

    Netskopeのトレーニングで、クラウドセキュリティのスキルを学ぶ

カスタマーソリューションに移動
Netskopeトレーニング
データセキュリティによる持続可能性のサポート

Netskope は、持続可能性における民間企業の役割についての認識を高めることを目的としたイニシアチブである「ビジョン2045」に参加できることを誇りに思っています。

詳しくはこちら
データセキュリティによる持続可能性のサポート
クラウドセキュリティの未来を形作る

At Netskope, founders and leaders work shoulder-to-shoulder with their colleagues, even the most renowned experts check their egos at the door, and the best ideas win.

チームに参加する
Netskopeで働く
Netskope dedicated service and support professionals will ensure you successful deploy and experience the full value of our platform.

カスタマーソリューションに移動
Netskopeプロフェッショナルサービス
Netskopeトレーニングで、デジタルトランスフォーメーションの旅を保護し、クラウド、ウェブ、プライベートアプリケーションを最大限に活用してください。

トレーニングと認定資格について学ぶ
働く若い専門家のグループ

クラウドと脅威レポート:主な敵対者の戦術と手法

ライトブループラス
Netskope クラウドおよび脅威レポートの今回の版では、2023 年の最初の 9 か月間に Netskope の顧客に対して最も一般的に使用された戦術と手法に焦点を当てており、Wizard Spider は他のどのグループよりも多くの組織を標的にしています。
夕焼けに暗い雲

Netskope Threat Labs 2023 年 10 月

Report Highlights エグゼクティブサマリー トップテクニック
初期アクセス:スピアフィッシング 実行: ユーザー実行 コマンド&コントロールとエクスクルート
敵対者の分析
上位の敵対者グループ 地域と業界の違い 推奨 事項
このレポートについて Netskope Threat Labs
17分 読む

Report Highlights リンク リンク

  • スピアフィッシングのリンクと添付ファイルは、Netskope Threat Labs が今年追跡した最初のアクセス手法のトップであり、攻撃者は電子メール、音声、テキスト、ソーシャル メディア、検索エンジンを介して被害者を騙してリンクと添付ファイルを開かせています。
  • ユーザー実行は最も優れた実行手法であり、攻撃者は、一般的なクラウドアプリを使用してトロイの木馬をホストする際に、被害者を騙してダウンロードさせることに最も成功率が高くなっています。
  • コマンド&コントロールとデータ流出の場合、攻撃者はHTTPとHTTPSを使用してレーダーをかいくぐり、無害なトラフィックに紛れ込むことを強く好んでいます。
  • Netskope Security Cloud プラットフォームにおける攻撃者の活動の大部分は犯罪者によるもので、その活動の大部分は TrickBot マルウェアの作成に関与するロシアのグループである Wizard Spider によるものです。
  • Netskope Security Cloud プラットフォーム上で、地政学的敵対グループに起因するアクティビティの割合が最も高いのは、金融サービスおよびヘルスケア業界の垂直分野です。

 

 test answer

エグゼクティブサマリー リンク リンク

サイバーセキュリティは、ユーザー、データ、システムを保護しようとする防御者と、彼らに危害を加え、悪用しようとする敵対者という2つの敵対者との間の戦いです。 防御側の最も価値のあるツールは、敵に関する知識です。 防御者として、私たちは敵の動機と目的、そしてそれらの目標を達成するために彼らが使用する戦術と技術を理解しようと努めます。 次に、これらの戦術や手法に対して回復力を持つようにシステムを設計し、敵対者の活動を検出するための制御を実装します。

Netskope クラウドおよび脅威レポートの今回の版では、2023 年の最初の 9 か月間に Netskope の顧客に対して最も一般的に使用された戦術と手法に焦点を当てています。 より効率的なコミュニケーションと理解を促進するために、このレポートはMITRE ATT&CKフレームワークに基づいて提示されます。 このフレームワークは、敵対者の戦術と手法を包括的に分類し、敵対者のグループ化と命名を提供します。

世界的に見ると、Netskope の顧客は犯罪者の標的として最も多く、 Wizard Spider は他のどのグループよりも多くの組織を標的にしています。 情報窃盗やランサムウェアは、金銭目的の攻撃者が使用する人気のツールであり続けています。 地政学的な動機を持つ攻撃者はあまり一般的ではなく、その最も一般的なツールは、標的の組織にバックドアを作成するリモート アクセス型トロイの木馬でした。

地理と業界は、どの敵が組織を標的にする可能性があるかを判断する上で重要な要素です。 地政学的な敵対者は、知的財産を狙って特定の地域や業界を標的にする傾向がありますが、金銭目的の敵対者は、最小限のカスタマイズで戦術や手法を再利用できる類似の組織を標的とするように最適化されたプレイブックを作成する傾向があります。 このレポートの最後に、複数の業界分野と地理的地域で最も活発な敵対者が誰であるかを調査します。

 

 sdofjsfojefgejelosij

トップテクニック リンク リンク

このセクションでは、敵対者がターゲットのシステムにアクセスし、悪意のあるコードを実行し、侵害されたシステムと通信するために使用する最も一般的な戦術と手法について説明します。 ここでは、Netskope Security Cloud プラットフォームが可視性を提供する 4 つの戦術と、それらの戦術の中で最も一般的に観察される 6 つの手法について説明します。

  • 初期アクセス 敵対者がターゲットのシステムに侵入するために使用する手法。
  • 実行 敵対者が悪意のあるコードを実行するために使用する手法。
  • コマンド&コントロール 敵対者が侵害されたシステムと通信するために使用する手法。
  • エクスクルー ト敵対者が被害者から情報を盗むために使用する手法。

 

初期アクセス:スピアフィッシング

システムへのリモートアクセスがロックダウンされ、既知のセキュリティ脆弱性に対してシステムにパッチが適用されている場合、敵対者がそのシステムにアクセスする最も簡単な方法は、多くの場合、そのユーザーを通じてアクセスすることです。 そのため、ソーシャルエンジニアリングの手法は、攻撃者のプレイブックの主力であり続けています。 例えば、2023年9月に発生したMGMのハッキングでは、被害者のヘルプデスクに電話をかけることで、ビッシング(ボイスフィッシング)による初期アクセスを実現しました。 さまざまなフィッシング手法の中でも、スピアフィッシング リンクスピアフィッシング添付ファイルは、2023 年にNetskope Security Cloud Platformで最も人気のある 2 つです。

被害者がクリックしたフィッシングリンクを分析することで、敵対者が被害者を最も狙っている場所についての洞察を得ることができます。 大差で、ユーザーが最も頻繁にクリックしたフィッシングリンクはクラウドアプリを標的としており、その3分の1はMicrosoft製品を標的としていました。 Microsoft OneDriveは、SharePoint、Outlook、Teamsなどの他のMicrosoft製品と 並んで、企業で最も人気のある単一のクラウドアプリであるため、これは驚くべきことではありません。

クリックされたリンク数の多い上位のフィッシングターゲット

クリックされたリンク数の多い上位のクラウドフィッシングターゲット

攻撃者はどのようにして被害者を騙してフィッシングリンクをクリックさせているのでしょうか? 電子メールは依然として非常に一般的なチャネルですが、さまざまな理由から成功率はかなり低くなっています。 まず、組織は、フィッシング電子メールが被害者に到達するのをブロックするために、高度なフィッシング対策フィルターを採用する傾向があります。 第 2 に、組織は通常、フィッシング電子メールを認識できるようにユーザーを訓練します。 これに対して、攻撃者は他のさまざまな戦術を使用して被害者に到達しています。

検索エンジン最適化 (SEO) - 攻撃者は、Bing や Google などの一般的な検索エンジンにリストされるように、SEO テクニックを採用した Web ページを作成します。 通常、ページはデータの空白(結果があまり出ない特定のキーワードのセット)を中心に作成され、特定の人口統計を対象としています。

ソーシャルメディアとメッセージングアプリ – 敵対者は、人気のあるソーシャルメディアアプリ(Facebookなど)やメッセージングアプリ(WhatsAppなど)を悪用して、さまざまな餌を使用して被害者に到達します。

音声およびテキストメッセージ– モバイル デバイスには、ラップトップなどの従来のデバイスに備わっているセキュリティ制御機能が欠けていることが多く、フィッシング攻撃の標的になりがちです。 被害者に電話をかけたり、テキストメッセージを送信したりすることは、フィッシングリンクを拡散するための方法としてますます一般的になっています。

個人の電子メール アカウント– 個人の電子メール アカウントはフィッシング対策が緩い傾向にあるため、より多くのフィッシング電子メールが被害者に到達する可能性があります。 個人の電子メール アカウントは、被害者が仕事で使用するのと同じシステムで使用されることが多いため、個人の電子メール アカウントを介して組織が管理する機密資産にアクセスするためのフィッシングは、攻撃者にとって非常に効果的な戦略となる可能性があります。

スピアフィッシング添付ファイルは、敵対者が添付ファイルを使用して正当性をアピールし(通常はこれらの添付ファイルは専門家の請求書のように見えます)、添付ファイルを検査しないセキュリティ制御を回避するために使用する特殊なタイプのフィッシングです。 Microsoft ExcelスプレッドシートやZIPファイルなど、攻撃者がフィッシング添付ファイルに使用するファイルの種類にはある程度の種類がありますが、これらのファイルタイプのほとんどはまれです。 フィッシング添付ファイルの90%は、被害者がフィッシングリンクをクリックするように誘導するように設計されたPDFです。

上位のフィッシング添付ファイルの種類

フィッシング リンクと同様に、攻撃者は個人の電子メールを含む複数のチャネルを通じてフィッシング添付ファイルを拡散します。 攻撃者が被害者の個人の Microsoft Live メールアカウントに餌を送りつけることで、より多くの成功を収めるようになったため、被害者がダウンロードしたフィッシング添付ファイルの数は 8 月にベースラインの 3 倍以上に急増しました。 過去 9 か月間で、管理対象組織の Web メール アプリからフィッシング添付ファイルをダウンロードしたユーザーと比較して、個人の Web メール アプリからフィッシング添付ファイルをダウンロードしたユーザーの数は 16 倍でした。

フィッシング添付ファイルのダウンロード量の推移

 

実行: ユーザー実行

ソーシャルエンジニアリングは、初期アクセスに限定されません。 攻撃者は、秘密のリモート アクセスを提供したり、機密情報を盗んだり、ランサムウェアを展開したりする悪意のあるペイロードをユーザーが実行することに依存しています。 ターゲットユーザーに悪意のあるペイロードを実行するよう説得するには、多くの場合、ユーザーが 悪意のあるリンク をクリックするか、 悪意のあるファイルをダウンロードして実行する必要があります。 攻撃者は常に新しい方法で被害者を騙そうとしており、Netskope Threat Labs は月次レポートでそれらの変化を追跡しています。 2023年を支配した2つの包括的なテーマがあります。 まず、攻撃者は、悪意のあるファイルがクラウドアプリを介して配信されるときに、被害者に悪意のあるファイルをダウンロードさせるのに最も成功します。 今年これまでに、ユーザーがダウンロードしようとしたマルウェアの平均 55% がクラウド アプリ経由で配信されました。

マルウェア配信、クラウド vs. ウェブ

第二に、マルウェアのダウンロード試行回数が最も多かったアプリは、企業で使用されている最も人気のあるクラウド アプリでもありました。 企業で最も人気のあるクラウド アプリである Microsoft OneDrive が、クラウド マルウェアのダウンロード全体の 4 分の 1 以上を占め、トップの座を獲得しました。 今年これまでに、攻撃者は合計 477 個の異なるクラウド アプリからユーザーを誘導してマルウェアをダウンロードさせ、実行させることに成功しました。

マルウェアダウンロードのトップアプリ

 

コマンド&コントロールとエクスクルート

攻撃者は、被害者の環境で悪意のあるペイロードを正常に実行した後、多くの場合、侵害されたシステムと通信するためのチャネルを確立する必要があります。そこでコマンド&コントロールが機能します。 2023 年に攻撃者が使用した最も一般的なコマンド アンド コントロール手法は、アプリケーション層プロトコル (ウェブ プロトコル)であり、これはC2 チャネル経由の流出と組み合わせられることが多かった。 攻撃者は、 CobaltStrikeのようなC2フレームワークの使用、 一般的なクラウドアプリの悪用、独自のカスタム実装の作成など、コマンド&コントロールチャネルを作成するための複数のオプションがあります。

ステルスは、コマンド&コントロールチャネルの重要な機能です。 攻撃者は、侵害されたシステムと通信する必要があるだけでなく、その際に検出を回避する必要もあります。 このため、攻撃者は、主要なC2通信チャネルとして、ポート80および443でHTTPおよびHTTPSを使用することが増えています。 HTTPおよびHTTPSトラフィックは、感染したシステムから許可される可能性が高く、すでにネットワーク上に存在している大量のHTTPおよびHTTPSトラフィックに紛れ込みます。 このアプローチを、IRC や FTP など、めったに使用されないポートやプロトコルを介して通信するマルウェアと比較してください。 このような通信は、レイヤー 3 ファイアウォール、特にレイヤー 7 ファイアウォールを使用しても、比較的簡単に検出でき、ブロックも容易です。 2023 年に検出された数万のマルウェア サンプルを分析した結果、HTTP (80) と HTTPS (443) が圧倒的に人気の C2 およびデータ窃盗プロトコルであり、マルウェア サンプルの 3 分の 2 以上で使用されていました。 次に人気があったプロトコルはDNSで、次いでめったに使用されないさまざまなポートやプロトコルが続きました。

マルウェア通信ポートのトップ

 

敵対者の分析 リンク リンク

Netskope Threat Labs は、Netskope の顧客を積極的に標的とする攻撃者を追跡し、その動機、戦術、手法をより深く理解します。 その後、その情報を活用して、お客様がそれらの敵対者からシステムを守るのを支援します。 Netskope Threat Labs が追跡する敵は、その動機に基づいて一般的に 2 つのカテゴリに分類されます。

犯人
犯罪グループの主な目的は金銭的利益であり、そのツールセットには通常、情報窃盗やランサムウェアが含まれます。 恐喝は、ここ数年、サイバー犯罪者にとって非常に収益性の高いビジネスであり、 2022年には推定4億5,700万ドルの身代金が支払われました。 ほとんどの犯罪者は、被害者が身代金を支払う可能性を高めるために、ランサムウェアとインフォスティーラーの両方を使用して活動を多様化しています。 システムをランサムウェアで暗号化しても支払いを納得させるのに十分でない場合は、組織から盗まれた機密情報を公開すれば説得力が高まるかもしれません。 私たちは、各犯罪者グループを彼らが活動している国に応じてラベル付けしようとしていますが、多くのグループは国境を越えて活動しています。 さらに、現在では多くの企業がアフィリエイトモデルで運営されており、業務がさらに分散しています。 その結果、通常、グループをそのコアメンバーが所在すると思われる国または地域と関連付けます。

地政学 的
地政学的な敵対者集団は、地政学的な問題によって動機づけられています。 彼らは通常、国民国家またはその代理人のいずれかであり、彼らの活動は通常、より広範な政治的、経済的、軍事的、または社会的紛争を反映しています。 例えば、ロシアの敵対グループは、ウクライナへの侵攻と同時にウクライナに対してサイバー攻撃を開始しました。 地政学的な集団は通常、他の国民国家に対するサイバー作戦に従事しており、そのような作戦は現代の国際関係の重要な要素となっている。 地政学的な敵対者と犯罪者の境界線は曖昧になることがあり、一部の地政学的グループも金銭的な動機で活動しています。 例えば、現在の北朝鮮政権は、サイバー犯罪を通じて ミサイル計画 の開発資金を提供しています。 地政学的敵対者が行う具体的なサイバー作戦は、政府や非政府組織に対するサイバースパイ活動や、敵対者の不安定化を目的とした重要インフラの破壊など多岐にわたります。 地政学的な敵対者も情報戦に従事し、プロパガンダを広め、世論を操作し、一般選挙に影響を与えます。

アクティビティを特定の敵対者グループに帰属させることは、困難な場合があります。 敵対者は、自分の本当の身元を隠そうとしたり、意図的に偽旗作戦を開始したりして、攻撃が別のグループから来たかのように見せかけようとします。 複数のグループが同じ戦術や手法を使用することが多く、中にはまったく同じツールを使用したり、インフラストラクチャを共有したりするグループもあります。 敵対者グループを定義することさえ、グループが進化したり、メンバーがグループ間を移動したりすると、困難になる可能性があります。 これらの理由から、敵対者の帰属は曖昧であり、新しい情報が明らかになるにつれて変化し、進化する可能性があります。 このレポートの残りの部分では、Netskope Security Cloud プラットフォームで観察された敵対者の活動と、それらの活動に関与している可能性が最も高いグループに関する統計を示します。

 

上位の敵対者グループ

Netskope Security Cloudプラットフォームのユーザーをターゲットにした最大の攻撃者グループは、Wizard Spider (別名) でした。 TrickBotマルウェアを作成したとされるロシアを拠点とする犯罪組織 (UNC1878、TEMP.MixMaster、Grim Spider) です。 TrickBot マルウェアはもともとバンキング型トロイの木馬として作成されましたが、その後、情報窃盗、横展開、コマンド アンド コントロール、データ流出のコンポーネントを含む複雑なマルウェア プラットフォームに進化しました。 典型的な犯罪グループと同様に、Wizard Spider はランサムウェアを使用してさまざまな被害者組織を標的にしています。 Wizard Spider が使用する戦術と手法には、このレポートで取り上げたスピアフィッシング、ユーザー実行、コマンド アンド コントロールに関する 6 つの手法が含まれます。

ランサムウェアに大きく依存している他の活動的な犯罪グループには、 TA505 (別名 Clopランサムウェアの責任者であるHive0065とFIN7(別名 REvilランサムウェアを使用し、 Darksideランサムウェアを作成した、GOLD NIAGARA、ITG14、Carbon Spider などのサイバー犯罪者グループが関与しています。 Netskopeの顧客を狙う主な犯罪グループはロシアとウクライナですが、地政学的に最も攻撃的なグループは中国で、 memupass (別名 これらのマルウェアは、Cicada、POTASSIUM、Stone Panda、APT10、Red Apollo、CVNX、HOGFISH、 Aquatic Pandaなどの有名なマルウェアに感染しており、どちらも世界中のさまざまな種類の組織を標的にしています。

 

地域と業界の違い

地理と業界は、どの敵が組織を標的にする可能性があるかを判断する上で重要な要素です。 地政学的な敵対者は、知的財産を狙って特定の地域や業界を標的にする傾向があり、一方、金銭目的の敵対者は、最小限のカスタマイズで手法を再利用できる類似の組織を標的とするように最適化されたプレイブックを作成する傾向があります。 業界別に見ると、金融サービスとヘルスケアの 2 つが目立っています。 これら2つの分野では、犯罪者と地政学的な敵対者の活動の割合はほぼ50/50です。 一方、他の業界では、割合は 80/20 に近くなります。 これは、金融サービスおよびヘルスケア分野の組織が地政学的な敵対者からより頻繁に標的にされていることを示しています。

標的業界別の敵対者の動機

これらの違いは、各業界における敵対行為の発生源を比較した場合にも明らかです。 私たちが追跡している犯罪組織の多くはロシアに拠点を置いているため、犯罪活動の割合が最も高い業界では、ロシアに拠点を置くグループによる活動の割合も最も高くなっています。 一方、金融サービスとヘルスケア(より地政学的な敵対者が標的とする業界)では、ロシア、中東、中国からの敵対者がより均等に混在して標的にされています。 下のグラフに示されていない他の敵対的な場所には、北朝鮮、パキスタン、インド、ベトナム、ナイジェリアが含まれます。

業界の敵対行為

地域によっても、最も活発な敵対者も大きく異なり、オーストラリアと北米の2つの地域が際立っています。 これらの地域はどちらも、犯罪グループに起因する敵対者の活動の割合が最も高いことで際立っています。これは、米国とオーストラリアのユーザーが犯罪者の標的になる可能性が高いのに対し、世界の他の地域では、地政学的な敵対者と犯罪者の活動の割合が50/50に近いことを示しています。

敵対者の動機:対象地域別

地域別の敵対活動の内訳は、業界データと同様のパターンを示しています。犯罪グループの標的となっている地域は、ロシアに拠点を置くグループによって標的にされる傾向があり、地政学的活動の割合が高い地域では、中国の地政学的グループによる敵対活動の割合が高くなる傾向があります。

地域の敵対者の活動

 

推奨 事項

Mitre ATT&CK フレームワークは、敵対者グループ、その戦術、および手法に共通の言語を提供します。 防御側は、このフレームワークを使用して、防御が敵に対して適切に一致しているかどうかを判断できます。 このセクションでは、このレポートで説明した各手法について具体的な推奨事項を示します。

初期アクセス:スピアフィッシングリンク
電子メールを超えたフィッシング対策を実装し、発信元に関係なくスピアフィッシング リンクからユーザーを確実に保護します。 DNS トラフィック、クラウド トラフィック、Web トラフィックを検査してフィッシングの証拠を探す SWG ソリューションは、シグネチャとインテリジェンスを使用して既知のフィッシングの脅威から保護し、AI を使用して未知の標的型脅威から保護することで、発信元に関係なくユーザーがスピアフィッシング リンクにアクセスするのを防ぐことができます。 Netskope のお客様は、フィッシングから保護するためにNetskope NG-SWGを構成できます。 Remote Browser Isolation (RBI)テクノロジーは、新たに確認されたドメインや新しく登録されたドメイン、個人のウェブメール、ソーシャル メディアなど、リスクが高い可能性のあるカテゴリの Web サイトにアクセスする必要がある場合に追加の保護を提供できます。

初期アクセス:スピアフィッシング添付ファイル
スピアフィッシングリンクの保護は、スピアフィッシング添付ファイルのリンクをクリックするユーザーから保護するのにも役立ちますが、より強固な防御策を講じることで、スピアフィッシングの添付ファイルをダウンロードするユーザーに対する保護が強化されます。 フィッシングは複数のソースから発生する可能性があるため、効果的な戦略としては、脅威インテリジェンス、シグネチャ、ヒューリスティック、AI を使用して、すべてのウェブおよびクラウド トラフィックを含むすべての HTTP および HTTPS ダウンロードを検査し、スピアフィッシングの証拠を探すことが挙げられます。 Netskopeのお客様は、あらゆるソースからのすべてのファイルタイプのダウンロードに適用される脅威保護ポリシーを使用して、 Netskope Next Gen Secure Web Gatewayを構成できます。 一般的なクラウド アプリ (Microsoft OneDrive など) からのコンテンツのダウンロードを検査することは、そのようなアプリを悪用してマルウェアを配信する攻撃者から保護するために特に重要です。

実行: 悪意のあるリンク実行: 悪意のあるファイル
攻撃者は、Microsoft OneDrive などの人気のあるクラウド アプリを含むマルウェアを配信するために複数のチャネルを使用するため、効果的な防御戦略では、ウェブやクラウドを含むすべてのトラフィックに悪意のあるコンテンツがないか検査する必要があります。 実行可能ファイルやアーカイブなどのリスクの高いファイルタイプは、ダウンロードする前に静的分析と動的分析を組み合わせて徹底的に検査してください。 Netskope Advanced Threat Protectionのお客様は、Patient Zero Prevention ポリシーを使用して、AI を使用して標的型攻撃を検出するエンジンを含む複数の静的および動的分析エンジンによって完全に検査されるまでダウンロードを保留できます。 Netskope のお客様は、すべてのソースからのすべてのファイルタイプのダウンロードに適用される脅威保護ポリシーを使用してNetskope NG-SWGを構成できます。 リスク領域をさらに減らすには、組織で使用されていないアプリからのダウンロードをブロックするポリシーを構成して、リスク領域を必要なアプリとインスタンス (会社と個人) のみに減らします。 新しく登録されたドメイン、新しく観察されたドメイン、およびその他の危険なカテゴリからのすべての危険なファイルタイプのダウンロードをブロックします。

コマンドとコントロール: アプリケーション層プロトコル: ウェブプロトコル
Web プロトコルを介した敵対的な C2 トラフィックを検出して防止する効果的な戦略には、SWG と IPS を使用して既知の C2 インフラストラクチャへの通信をブロックし、一般的な C2 パターンを示すことが含まれます。 Netskope Advanced Threat Protectionのお客様は、 IPSAdvanced UEBA機能を使用して、C2 トラフィックや侵害後の動作のその他のシグナルを識別できます。 新しく登録されたドメイン、新しく観察されたドメインをブロックし、異常なネットワークトラフィックパターンを警告することで、リスクサーフェスを減らし、早期検出を可能にすることもできます。 DNSセキュリティクラウドファイアウォール は、HTTP/HTTPS以外のC2トラフィックから保護するためにも使用できます。

窃盗:C2チャネルを介した窃盗
敵対的な C2 トラフィックを検出して防止するための同じ保護は、同じ C2 チャネルまたは他の Web プロトコルを介したデータ流出に対しても有効です。 DLPを使用する Netskope の顧客は、データのアップロード場所を制限するポリシーを設定でき、攻撃者がデータを盗み出すことができるチャネルを効果的に制限できます。 Advanced UEBAを使用している Netskope のお客様は、異常な場所へのアップロードの急増や暗号化またはエンコードされたコンテンツの転送 (攻撃者がよく使用する手法) などのデータ転送異常の識別を含む、C2 に対する追加の保護を利用できます。

要約すると、どのトラフィックが検査され、どのトラフィックがバイパスされるかを評価することは、ユーザー、データ、アプリケーション、およびインフラストラクチャをこれらの敵から保護するための防御にとって不可欠です。 可能性のあるすべてのトラフィックを検査していることがわかったら、次のステップは、このレポートに記載されている 6 つの手法に合わせて防御を調整することです。 一部の防御はシグネチャとパターンに依存しますが、AI/MLのイノベーション(アルゴリズム、特徴抽出器、異常検出など)を使用して、未知の脅威やゼロデイ脅威から保護することができます。 年に 1 回または 2 回、敵が現在の防御を回避するためにどのような戦略をとっているかを評価し、ユーザー、データ、アプリケーション、インフラストラクチャを保護するために利用できる新しい防御策を確認します。

このレポートについて リンク リンク

Netskope Threat Labs は、四半期ごとにクラウドと脅威に関するレポートを発行し、サイバーセキュリティの特定の課題に焦点を当てています。 このレポートの目的は、アクティブな脅威に関する戦略的かつ実用的な情報を提供することです。

Netskope は、世界中の何百万ものユーザーに脅威とデータからの保護を提供します。 このレポートに記載されている情報は、事前に承認された一部の Netskope 顧客に関連してNetskope Security Cloud プラットフォームによって収集された匿名の使用データに基づいています。 このレポートには、 Netskopeの次世代セキュア ウェブ ゲートウェイ (SWG)によって引き起こされた検出に関する情報が含まれており、個々の脅威の影響の重要性は考慮されていません。 したがって、レポートで強調されている戦術と手法は、HTTP/HTTPS トラフィックで観察可能なものに限定されており、このレポートで追跡されている攻撃者グループも、これらの手法を使用しているものに限定されています。 このレポートで提示される統計は、敵対者の活動とユーザーの行動の両方を反映しています。 たとえば、「初期アクセス: スピアフィッシング」セクションでは、ユーザーがクリックしている実際のフィッシング リンクについて説明しており、敵対者が作成したすべてのフィッシング リンクの世界について説明しているわけではありません。 このレポートの統計は、2023 年 1 月 1 日から 2023 年 9 月 23 日までの期間に基づいています。

Netskope Threat Labs リンク リンク

業界屈指のクラウド脅威およびマルウェア研究者を擁するNetskope Threat Labs は、企業に影響を与える最新のウェブ、クラウド、データの脅威を発見、分析し、防御策を設計します。 当社の研究者は、DEF CON、Black Hat、RSAなどのトップセキュリティカンファレンスで定期的にプレゼンターやボランティアを務めています。
ライトブループラス

クラウドと脅威のレポート

The Netskope Cloud and Threat Report delivers unique insights into the adoption of cloud applications, changes in the cloud-enabled threat landscape, and the risks to enterprise data.

レポートを参照する
夜の街に稲妻を巻き起こす嵐

SASEのリーダーと共にセキュリティ対策を強化する

お問い合わせ