ポッドキャストすべてを管理する管理者は 1 人ではなく、少数です。これは、ハッカーにとって魅力のない企業になりたい企業に、経験豊富な侵入テスト担当者である Aaron Beuhring 氏と Kyle Salous 氏が与えるアドバイスです。
ワシントンで開催されたMIRCon 2014カンファレンスでのプレゼンテーションで、この2人は、アクセス制御、ホワイトリスト、グループポリシーに対する一連の低コストの変更を挙げ、これにより企業を強化でき、標的型マルウェア攻撃のコストを非常に高く、できれば法外な額にまで高めることができると述べた。
Beuhring (@aaronbeuhring) と Salous (@KyleSalous) のユーザーは、マルウェアの実行を決してやめません。
「ユーザーをいくらトレーニングしても、リバースエンジニアリングができないかぎり、クリックをやめることはないだろう」とビューリング氏は語った。
「ホワイトリスト化が簡単だと言っているのではありません。実行するプログラムのインベントリを作成し、それらが実行されるプロトコルを理解する必要があります。」
ホワイトリストを実装するためのコストはほとんどかからない可能性があるとビューリング氏は述べ、コストはキットを購入する必要性ではなく、組織の要件を判断するのに必要な時間によって決まると述べた。
ホワイトリストは新たなトレンドであり、企業は何が使用されているかを把握するためにアプリケーション制御システムをリスニングモードにする必要がある、と彼は述べた。
カイル・サルース(左)とアーロン・ビューリング。
もう一つのヒントは、ユーザーに管理者権限を付与すべきではないというものでした。ゴッドモードは、すべての技術スタッフに付与すべきではありません。
「ユーザーは誰も管理者としてログインすべきではありません」とサルース氏は述べた。「技術部門の全員に個別の管理者アカウントを作成してください。」
「攻撃者に苦労をかけるたびに、彼らの活動を検知するチャンスが生まれる」
このアプローチにより、攻撃者がネットワーク内で方向転換することがより困難になり、IT スタッフ以外のマルウェア フィッシングがほぼ排除されるだけでなく、ログ記録によって、高額な侵害フォレンジック専門家に支払われる作業時間も大幅に削減されました。
これらの構造を導入することで、組織は通常のマルウェアの脅威によるノイズを減らし、高度な持続的脅威のみに集中できるようになります。
二人のアドバイスはベストプラクティスだが、実際に採用されることは稀だ。例えば、オーストラリア通信信号局が推奨する上位4つの防御戦略をざっと見てみると、セキュリティチームの最優先事項としてホワイトリスト化が挙げられている。同局のリストの22番目にウイルス対策ソフトウェアの導入があるが、それでも必須とはみなされていない。
両氏はまた、組織は可能な限り、Shockwave、Autolt、Python、Perlなどのスクリプト、および「Appleが作成したものすべて」をブロックする必要があるとも述べた。®
研究者のプレゼンテーションに関するこのポッドキャストを聞いたりダウンロードしたりしてください。
Darren Pauli 氏は、FireEye のゲストとしてワシントン DC を訪れました。
