中国のグループ、ソルト・タイフーンが電気通信会社や国々に行ったとされる最近の攻撃は、ブラジルを含むが、全世界に警戒を強めた。 News は、侵略の洗練度と、さらに憂慮すべきことについて語っています。犯罪者は、理論的には、これらの企業のネットワーク内にいるでしょう。.
このグループに関する最初の情報は、2021 年にマイクロソフトの脅威インテリジェンス チームが、中国が複数のインターネット サービス プロバイダーにうまく侵入して企業を監視し、データをキャプチャする方法についての情報を発表したときにもたらされました。 グループが最初に行った攻撃の 1 つは、これらのデバイスを介して発生するインターネット アクティビティを監視するためのゲートウェイとして機能する Cisco ルータの違反によるものでした。 アクセスが得られると、ハッカーは自分のリーチを追加のネットワークに拡大することができました。 2021 年 10 月、カスペルスキーは、サイバー犯罪者が、ベトナム、インドネシア、タイ、マレーシアのエジプト、エチオピア、アフガニスタンなどの他の国への攻撃をすでに拡大していることを確認しました。.
2021 年以降、最初の脆弱性がすでにわかっていたのに、なぜ私たちはまだ攻撃されているのでしょうか? 答えは、日常生活におけるこれらの脆弱性にどう対処するかにあります。.
違反方法
最近、米国政府の情報により、「企業や国」に対する一連の攻撃が確認されました。これは、VPN アプリケーションの製造元、Ivanti、FortiNet FortiClient EMS の製造元、サーバー、Sophos Firewalls、Microsoft Exchange Server からの既知の脆弱性から発生したであろうことを確認しています。.
Microsoft の脆弱性は、2021 年に、その後、会社が修正を公開したときに明らかになりました。 Sophos Firewalls 障害は 2022 年に公開され、2023 年 9 月に修正されました。 FortiClient で発生した問題は 2023 年に公開され、2024 年 3 月に修正されました。また、2023 年に CVE が登録された共通の脆弱性とエクスポージャーを備えた Ivanti の問題と同様です。 ただし、同社は昨年 10 月にこの脆弱性を修正しただけです。.
これらの脆弱性のすべてにより、犯罪者は、資格情報と正当なソフトウェアを使用して攻撃されたネットワークに簡単に侵入することができ、これらの侵入を検出することはほとんど不可能になりました。 そこから、犯罪者はこれらのネットワーク内で横向きに移動し、マルウェアを展開し、長期的なスパイ活動に役立ちました。.
最近の攻撃で憂慮すべきことは、塩の台風グループのハッカーが使用した方法が、中国の国家エージェントに起因する以前のキャンペーンで観察された長期戦術と一致していることです。 これらの方法には、正規の資格情報を使用して日常的な操作などの悪意のある活動をマスクすることが含まれ、従来のセキュリティ システムでの識別が困難になります。 VPN やファイアウォールなど、広く使用されているソフトウェアに焦点を当てることは、企業や政府の環境における脆弱性に関する深い知識を示しています。.
脆弱性の問題
悪用された脆弱性は、パッチや更新の適用の遅れという、心配なパターンも明らかにしています。 メーカーが提供する修正にもかかわらず、多くの企業の運用上の現実により、これらのソリューションをすぐに実装することが困難になっています。 互換性テスト、ミッションクリティカルなシステムの中断を回避する必要性、場合によっては、障害の重大度に対する認識の欠如が、露出ウィンドウの増加に寄与します。.
この問題は、技術的なものであるだけでなく、組織的および戦略的であり、プロセス、優先事項、そして多くの場合、企業文化を含みます。.
重要な側面は、多くの企業が、運用継続性と比較して、パッチの適用を「二次」タスクとして扱っていることです。 これにより、リーダーはシステムの更新の一時的な中断と将来の悪用の潜在的なリスクのどちらかを決定する必要がある、いわゆるダウンタイムのジレンマを生み出します。 ただし、最近の攻撃では、これらの更新を遅らせることは、財務面と評判の両方の点で、はるかに費用がかかる可能性があることが示されています。.
さらに、互換性テストは一般的なボトルネックです。 特に電気通信などの分野では、多くの企業環境が、従来のテクノロジーと最新のテクノロジーの複雑な組み合わせで動作します。 これにより、更新ごとにパッチが依存システムに問題を起こさないようにするために、かなりの労力が必要になります。 このタイプのケアは理解できますが、より堅牢なテスト環境や自動化された検証プロセスなどの実践を採用することで軽減できます。.
パッチの適用の遅れに寄与するもう 1 つのポイントは、失敗の重大度に対する認識の欠如です。 多くの場合、IT チームは、特にこれまで広く調査されていない場合、特定の CVE の重要性を過小評価しています。 問題は、組織が問題の重大性を認識する前に、攻撃者の機会の窓が開かれる可能性があることです。 これは、テクノロジー プロバイダーと企業間の脅威インテリジェンスと明確なコミュニケーションがすべての違いを生む分野です。.
最後に、企業は、パッチ適用プロセスの自動化、ネットワークのセグメンテーション、潜在的な攻撃の影響を制限する、潜在的な「弱点」を見つけるのに役立つ、可能な攻撃の影響を制限するなど、脆弱性管理に対してより積極的かつ優先順位の高いアプローチを取る必要があります。.
パッチ適用と更新の遅延の問題は、技術的な課題であるだけでなく、組織がセキュリティ アプローチを変革し、より機敏で適応性があり、回復力のあるものにする機会でもあります。 何よりも、この操作モードは新しいものではなく、何百もの他の攻撃が同じように実行されます 手口、, ゲートウェイとして使用される脆弱性から。 この教訓を利用することは、犠牲者になるか、次の攻撃に備えるかの違いになる可能性があります。.
