TeamViewerが侵害を公表し、あまり大きな侵害にはならなかったと記憶していますが、インシデント対応について記載していたので取り上げます。
TeamViewerの社員アカウントを侵害した脅威アクターは、異常なアクティビティから検知されています。
ここで検知したソリューションは何か気になりますが、おそらくEDRかネットワーク機器のログからアラートが上がったと推察します。
今回の脅威アクターは比較的初期に検知されている気がします。横展開も十分ではない状態で検知があったのかと。
洗練された脅威アクターの場合は、異常検知を避けてゆっくりと侵害し、侵害に気づくのが暗号化や脅迫文というパターンがあります。
主なインシデント対応として挙げられているのは、認証の強化とネットワークセグメンテーションです。
いかのこれらの対応が、攻撃者にとって厄介なのかわかると思います。
平時の時から、認証の強化とマイクロセグメンテーションは進めていくべきです。
ユーザビリティが下がる懸念はありますが、セキュリティと利便性は必ずしも反比例しない製品もあるので、それらを検討事項に挙げておくことは侵害に対して有効になります。
また、どうやって異常を検知するのかも平時に考えておく事項です。
