SentinelOne Japanは5月28日、「SentinelOne 年次脅威レポート:現代のサイバー侵害の「産業化」に対する防御策」を公開した。その概要は以下のとおり。
■年次脅威レポートの主なポイント
◎アイデンティティのパラドックスの解消:アイデンティティは今やSaaS、クラウドインフラ、自律型エージェントにまで広がっており、一つのアカウントで数十ものシステムにアクセスできる状況となっている。組織はかつてないほど多くのアイデンティティデータを収集しているが、アイデンティティを悪用した侵入は依然として最も検出が困難な攻撃の一つ。
攻撃者は、盗んだトークンやフィッシング、アカウント、侵害したアカウントを駆使し、有効な認証情報を使って活動する。そのため防御側は、認証だけに依存するのではなく、ログイン後の行動を継続的に監視することへと焦点を移す必要がある。
◎LOTP(Living off the Pipeline)攻撃:攻撃者は本番環境よりも、CI/CDパイプラインや開発ワークフローを標的にする傾向を強めている。ビルドシステムを侵害することで、攻撃者はソフトウェアが本番環境に到達する前に悪意のあるコードを混入させたり、機密情報を抽出したりすることが可能になる。これにより、攻撃者は信頼された開発プロセス内で活動し、強固なランタイム防御を回避している。検知には、ソフトウェア開発ライフサイクル全体における可視性と、長期間にわたる攻撃者の活動を関連付ける能力が必要。
◎エッジの脆弱化から消失する境界を守る:エッジデバイスは現在、主要な攻撃対象となっており、最近のゼロデイ攻撃の約 46%がこれらを標的にしている。これらのシステムは管理が行き届いていないブラインドスポット(死角)となっていることが多く、広範なシステム侵害への最初の足掛かりとして頻繁に使用される。
この対策には「基本への立ち返り」が不可欠。サポートが終了したハードウェアの廃止、ゲートウェイ監視のためのSIEMによるログの一元管理、ドメインコントローラーなどのTier 0資産に対して階層型ネットワークセグメンテーションの実装、すべてのリモートアクセスポイントでのMFA(多要素認証)の義務化など、エッジを高リスクなものとして扱う必要がある。
◎自動化による生産性増幅への対抗:真の「マシンマルチプライヤー(マシンによる生産性増幅)」は、エージェンティックAIだけではない。成熟し、精度の高い自動化も、AIのインサイトを防御の成果へと結びつける運用のバックボーンとなる。
攻撃者はこれまで、自動化されたワークフローを駆使し、攻撃を目的とした脆弱性スキャンや、認証情報の窃取、ラテラルムーブメントなどをミリ秒単位で実行してきた。長年の試行錯誤を経て、防御者のテクノロジーもついに攻撃者のスピードを凌駕しつつある。防御には、単なるアラートの生成よりも、信頼度の高い真の脅威の遮断を優先する自動応答ポリシーの強化が求められる。
関連リンク