見出し画像

Cato CTRLが新たなSASE脅威レポートを発行

Cato Networks

脅威の行為者は、常に新しいツール、テクニック、手順を導入しています。サイバー脅威インテリジェンス (CTI) が断片的なままであることが主な理由であり、これらの脅威を阻止することは困難です。多くの場合、脅威を示す指標は入手可能ですが、インバウンド(およびアウトバウンド)のインターネットトラフィック、WANトラフィック、クラウドトラフィック、リモートユーザートラフィックなどの脅威情報やネットワークアクティビティに分散しています。

Cato SASE Cloud プラットフォームの登場以前は、ほとんどの企業にとって、360度の可視性を得ることは難しいことでした。だからこそCatoは、CatoのCTIグループであるCato CTRLを立ち上げたのです。Cato CTRLは、SOCのための戦術的データ、管理者のための運用脅威インテリジェンス、経営陣や取締役会のための戦略的ブリーフィングにより組織を支援します。

その一環として、Cato CTRLはセキュリティ業界を取り巻くトレンドや重要な出来事を定期的に報告しています。Cato CTRL はこれらの目的のために、刷新された最初のCato CTRL SASE 脅威レポートをご紹介します。このレポートは、2024年第1四半期に Cato CTRLが顧客の2,200を超えるCato トラフィックフロー、1兆2,600億のネットワークフロー、およびブロックされた 214億5,000万の攻撃から収集した調査結果をまとめています。これは我々が分析した2022年第1四半期の3500億フローより4倍近く多くなっています。 

Cato SASE CloudがCTIに最適な理由は?

Catoは長い間、業界の脅威の動向を収集し、報告してきました。しかし、私たちは調査範囲を広げ、Cato SASE Cloudのすべての能力を活用したいと考えました。

Cato SASE Cloudプラットフォームは、2,200社以上の企業のグローバル・ネットワークとして、様々な業界や国の企業ネットワークで何が起きているのかについての洞察を収集します。Catoは、Cato SASE Cloudプラットフォーム上で通信するすべてのエンドポイントからのすべてのトラフィックフローのメタデータを巨大なデータレイクに保存し、さらに何百ものセキュリティフィードで強化され、独自のML/AIアルゴリズムとヒューマンインテリジェンスによって分析されます。

その結果、サイト、リモートユーザー、クラウドリソースのすべてのエンドポイントについて、インターネットまたはWANから発信されるか、またはWANに送信されるかにかかわらずすべてのトラフィックに関して、セキュリティ脅威とその特定ネットワーク特性に関するCato CTRLの洞察を提供する独自のデータリポジトリが得られます。Catoの多層防御戦略が攻撃をブロックした場合でも、脅威はログに記録され、特定されるため、このような分析が可能になります。  

この新しいレポートには、緩和されたCVE、注意すべき不審なイベント、一般的な企業のセキュリティ行動など、企業や関連業界が置かれる状況についての傾向と洞察が含まれています。また、ダークウェブやハッキング・コミュニティから、特に脅威行為者によるAIツールの使用に関する洞察を収集しました。最後に、脅威を軽減し、報告書で議論された限界に対処する方法について、実践的なアドバイスを提供します。

主な調査結果

この30ページを超える報告書の主な発見には、以下のようなものがあります:

AIが企業を席巻しています。企業で最もよく使われているAIツールは、マイクロソフトのCopilot、OpenAIのChatGPT、そしてもう1つ。

研究の一環として、Cato CTRLはさまざまなハッカーフォーラムにおいて魅力的な議論をモニターしています。報告書によると、攻撃者はLLMを使ってSQLMapのような既存のツールを強化し、脆弱性の発見と悪用をより効率的に行っています。私たちは、偽の認証情報を生成し、ディープ・フェイクを作成するサービスの広告を見つけました。また、悪意あるChatGPTを作成する募集も監視し続けました。  

買い物をする場所にも気をつけましょう。 脅威の行為者は、有名ブランドを模倣したドメインを設定しています。最もなりすましの多いブランドの特定に成功したので、適切なフィルターを設定してユーザーを保護することができます。

企業は自社のネットワーク内において過信しています。多くの企業は、WAN上で安全でないプロトコルを実行し続けています。全てのウェブトラフィックの62%が HTTP、全てのトラフィックの54%がTelnet、全てのトラフィックの46%がSMB v1またはv2です。脅威の行為者は通常、いったんネットワークに侵入してしまえば、ネットワーク上を流れる重要なデータをさほど困難なく覗き見ることができます。ラテラルムーブメント(攻撃者がネットワーク内を横移動していくこと)が最も頻繁に検知されたのは、農業、不動産、旅行・ツーリズム業界です。 

ゼロデイの問題はあまり心配していません。私たちのように、この業界にいる者はゼロデイ脅威に多くの注意を払っていますが、実際には脅威の行為者は最新の脆弱性の使用を避け、パッチが適用されていないシステムをしばしば悪用しようとしています。発見から 3 年が経った今でも、最もよく使用されているエクスプロイトの1つにCVE があります。  

DNSSEC の「非」採用。DNS トラフィックのわずか1%だけが、Secure DNS を利用していることがデータにより明らかになっています。これは主に、DNS がインターネットと組織運営の両方にとって重要なコンポーネントであるためであると私たちは考えています。組織は、実装の複雑さによって構成ミスが発生し、アプリケーションやサービスが中断される可能性を懸念しています。

当記事は、Cato Networksのウェブサイトでブログとして投稿された記事の抜粋です。全文はこちらで閲覧いただけます。


この記事が気に入ったらサポートをしてみませんか?