脅威の3分の1は検出されないという旨の記事が気になりました。
これは攻撃者が、より巧妙に標的を絞って侵害を繰り返しているからだと思います。
検出ツールによる検知を避けて、侵害を行うことをLOL(Living off the land)攻撃、環境寄生型攻撃と言います。
これは侵害した環境にマルウェアを持ってきて行う攻撃ではなく、元から環境に存在するツールやバイナリを使って侵害を行なっていく方法です。WindowsOSであれば、cmd.exeやpowershellなどの正規のプロセスを使って侵害を行います。
これらの攻撃は、普段から発生している通信であり検出ツールによる検知は困難になります。
独自のカスタムルールを設定するか、普段の通信を監視しておいてそれと比べて少しでも異常な通信を発生させたらコマンドの中身を見るというような労力をかけないと検知が難しくなります。
この記事では、全てのトラフィックデータに対する可視性と、リアルタイムなネットワーク由来の脅威インテリジェンスと洞察がなければ悪意ある攻撃者は引き続き大混乱を引き起こすと言及されています。
そのためにまずは、全てのトラフィックの可視性を上げることが必要になります。可視性を上げることができれば、あとはAIツールを導入し、少しでも怪しい痕跡があればアラートを上げる仕組みにしておいて、セキュリティエンジニアがその通信を監視するような運用にしていくことが望まれます。
