Cato CTRLが新たなSASE脅威レポートを発行

脅威の行為者は常に進化しています。国家主体であれ、... 詳しくはこちら ›
Cato CTRLが新たなSASE脅威レポートを発行 脅威の行為者は常に進化しています。国家主体であれ、サイバー犯罪グループであれ、ランサムウェア・ギャングであれ、特定のシステムを狙うニッチなチームであれ、攻撃者は常に新しいツール、テクニック、手順を導入しています。主な理由は、サイバー脅威インテリジェンス (CTI) が断片的なままであることであり、これらの脅威を阻止することは困難です。多くの場合、脅威を示す指標は入手可能ですが、インバウンド(およびアウトバウンド)のインターネットトラフィック、WANトラフィック、クラウドトラフィック、リモートユーザートラフィックなどの脅威情報やネットワークアクティビティに分散しています。 Cato SASE Cloud プラットフォームの登場以前は、ほとんどの企業にとって、360度の可視性を得ることは不可能ではないにせよ難しいことでした。だからこそCatoは、CatoのCTIグループであるCato CTRLを立ち上げたのです。Catoのすべての能力を活用することで、Cato CTRLは、SOCのための戦術的データ、管理者のための運用脅威インテリジェンス、経営陣や取締役会のための戦略的ブリーフィングにより組織を支援します。 その一環として、Cato CTRLはセキュリティ業界を取り巻くトレンドや重要な出来事を定期的に報告しています。Cato CTRL はこれらの目的のために、刷新された最初のCato CTRL SASE 脅威レポートをご紹介できることを嬉しく思っています。このレポートは、2024年第1四半期に Cato CTRLが顧客の2,200を超えるCato トラフィックフロー、1兆2,600億のネットワークフロー、およびブロックされた 214億5,000万の攻撃から収集した調査結果をまとめています。(文脈を整理すると、これは我々が分析した2022年第1四半期の3500億フローより4倍近く多くなっています)。  Cato SASE CloudがCTIに最適な理由は? 感の良い読者は、我々が「レポートを刷新した」と表現したことにお気づきでしょう。Catoは長い間、業界の脅威の動向を収集し、報告してきました。しかし、私たちは調査範囲を広げ、Cato SASE Cloudのすべての能力を活用したいと考えました。 Cato SASE Cloudプラットフォームは、2,200社以上の企業のグローバル・ネットワークとして、様々な業界や国の企業ネットワークで何が起きているのかについての洞察を収集します。Catoは、Cato SASE Cloudプラットフォーム上で通信するすべてのエンドポイントからのすべてのトラフィックフローのメタデータを巨大なデータレイクに保存し、さらに何百ものセキュリティフィードで強化され、独自のML/AIアルゴリズムとヒューマンインテリジェンスによって分析されます。 その結果、サイト、リモートユーザー、クラウドリソースのすべてのエンドポイントについて、インターネットまたはWANから発信されるか、またはWANに送信されるかにかかわらずすべてのトラフィックに関して、セキュリティ脅威とその特定ネットワーク特性に関するCato CTRLの洞察を提供する独自のデータリポジトリが得られます。Catoの多層防御戦略が攻撃をブロックした場合でも、脅威はログに記録され、特定されるため、このような分析が可能になります。   この新しいレポートには、緩和されたCVE、注意すべき不審なイベント、一般的な企業のセキュリティ行動など、企業や関連業界が置かれる状況についての傾向と洞察が含まれています。また、ダークウェブやハッキング・コミュニティから、特に脅威行為者によるAIツールの使用に関する洞察を収集しました。最後に、脅威を軽減し、報告書で議論された限界に対処する方法について、実践的なアドバイスを提供します。 主な調査結果 この30ページを超える報告書の主な発見には、以下のようなものがあります: AIが企業を席巻しています。企業で最もよく使われているAIツールは、マイクロソフトのCopilot、OpenAIのChatGPT、そしてもう1つ。 ハッカーのアンダーグラウンドを覗いてみましょう。研究の一環として、Cato CTRLはさまざまなハッカーフォーラムにおいて魅力的な議論をモニターしています。報告書によると、攻撃者はLLMを使ってSQLMapのような既存のツールを強化し、脆弱性の発見と悪用をより効率的に行っています。私たちは、偽の認証情報を生成し、ディープ・フェイクを作成するサービスの広告を見つけました。また、悪意あるChatGPTを作成する募集も監視し続けました。   買い物をする場所にも気をつけましょう。 脅威の行為者は、有名ブランドを模倣したドメインを設定しています。最もなりすましの多いブランドの特定に成功したので、適切なフィルターを設定してユーザーを保護することができます。 企業は自社のネットワーク内において過信しています。多くの企業は、WAN上で安全でないプロトコルを実行し続けています。全てのウェブトラフィックの62%が HTTP、全てのトラフィックの54%がTelnet、全てのトラフィックの46%がSMB v1またはv2です。脅威の行為者は通常、いったんネットワークに侵入してしまえば、ネットワーク上を流れる重要なデータをさほど困難なく覗き見ることができます。ラテラルムーブメント(攻撃者がネットワーク内を横移動していくこと)が最も頻繁に検知されたのは、農業、不動産、旅行・ツーリズム業界です。  ゼロデイの問題はあまり心配していません。私たちのように、この業界にいる者はゼロデイ脅威に多くの注意を払っていますが、実際には脅威の行為者は最新の脆弱性の使用を避け、パッチが適用されていないシステムをしばしば悪用しようとしています。発見から 3 年が経った今でも、最もよく使用されているエクスプロイトの1つにCVE があります。詳細は、レポートをチェックしてください。   DNSSEC の「非」採用。DNS トラフィックのわずか1%だけが、Secure DNS を利用していることを私たちのデータは示しています。これは主に、DNS がインターネットと組織運営の両方にとって重要なコンポーネントであるためであると私たちは考えています。組織は、実装の複雑さによって構成ミスが発生し、アプリケーションやサービスが中断される可能性を懸念しています。    レポートを入手し、詳細をご確認ください 読んで分析すべきことはまだまだたくさんあります。しかし、私たちの言葉を鵜呑みにせず、ご自分でレポートを読んでください。ここからコピーを無料で入手できます。Cato SASE CTRL の詳細については、 以下をご覧ください:https://www.catonetworks.com/cato-ctrl/

製造業におけるSASE:セキュリティとコネクティビティの課題解決へ

製造業のサプライチェーン、物流、生産ラインの強化を... 詳しくはこちら ›
製造業におけるSASE:セキュリティとコネクティビティの課題解決へ 製造業のサプライチェーン、物流、生産ラインの強化を支援するAIやIoT、ロボティック・プロセス・オートメーション(RPA)など、多くの革新的なテクノロジーによるインダストリー4.0は製造業に革命をもたらしています。業務自体はスマートファクトリーへと進化している一方、依然として製造業界は、インダストリー4.0の可能性の最大化へ悪影響を与える可能性のある課題に直面しています。 製造業のデジタル変革における課題 デジタルトランスフォーメーションにより、製造業界にもたらされた多くの課題には、次のようなものが挙げられます。 サイバーセキュリティの脆弱性 - 製造業は特にサイバー攻撃に対して脆弱です。従来の製造システムは、現代のサイバー攻撃を防御するために設計されていませんでした。従来のアーキテクチャでは、ソフトウェアのパッチや修正を最新の状態に保つことが困難であり、セキュリティ侵害のリスクが増大します。  さらに、トラフィックフローのすべてを適切に可視化・制御することができないため、環境に対する脅威に対して迅速な対応と修復を行うことは事実上不可能となっています。  柔軟性、拡張性、信頼性の高いアーキテクチャの欠如 - 製造業者は、ビジネスの成長に合わせて簡単かつコスト効率よく拡張できる、柔軟性、拡張性、信頼性の高いアーキテクチャを必要としています。これは、製造業が経験しているクラウドの進化に対応できないMPLSには提供できません。また、特に通信事業者がMPLSを提供・サポートするのが難しい地域では、新しい拠点立ち上げのためのコストと複雑さが、グローバル展開を阻む大きな障壁となっています。これに対する対処としてSD-WANを導入したとしても、業界が求めるグローバルなユースケースには適していません。 クラウドパフォーマンス - MPLSは次の2つの重要な理由により、サードパーティのSaaSアプリケーションへの直接接続が不可能です:ポイントツーポイントの技術であるMPLSに対し、SaaSのトラフィックはクラウドプロバイダー間を流れるため、クラウド利用には向いておりません。また、Microsoft 365、FactoryTalk、SAPなどのSaaSアプリは高性能なインターネットアクセスが必要ですが、これはMPLSでは提供できません。 複雑なツール管理 - 複数のMPLS接続、通信ベンダー、レガシーツールの維持と監視は非常に複雑で、ストレスが貯まるばかりかエラーも起こりやすくなります。例えば買収した企業の技術を統合しなければならない場合、さらに困難となります。 グローバルの断絶 - ほとんどの製造業者は、本社、生産、エンジニアリング、サプライヤー、セールスそれぞれの部門が世界中に散らばっており、グローバルな事業展開をしています。ユーザーは安全で高性能なローカル、リモート、グローバルアクセスをビジネスのために必要としますが、MPLSではそれらを実現するのは困難です。 [boxlink link="https://www.catonetworks.com/resources/firsthand-perspectives-from-5-manufacturing-it-leaders-about-their-sase-experience/"] Firsthand Perspectives from 5 Manufacturing IT Leaders about their SASE Experience | Download the eBook [/boxlink] 製造業の課題に対するソリューション:SASE SASE(Secure Access Service Edge)は、ネットワークとセキュリティに対する革新的なアプローチです。こうした技術を単一のグローバルなクラウドネイティブサービスに集約し、セキュリティ強化、一貫性のあるポリシー実施、脅威への対応時間の短縮を実現します。製造業界は前述のような工場を悩ませるデジタル・トランスフォーメーションに伴う多くの課題克服が、SASEを利用することで実現できます。 デジタル・トランスフォーメーションをサポートするため、製造業者はSASEという新たなソリューションを必要としています。SASEは、企業のネットワークとセキュリティ技術を単一のクラウドネイティブソフトウェアスタックに統合し、すべての機能が一体となって動作するグローバルバックボーン上で提供されます。製造業者は、SASEを使うことでサイバーセキュリティ侵害のリスクを低減しながら、アプリケーションやシステムへの信頼性の高い低遅延のグローバルアクセスの提供が可能となります。それらの実現のため、SASEは次のような能力を備えています: シングルネットワークアーキテクチャ 独自のグローバルバックボーンを持つSASEは、許可されたユーザー、拠点、クラウド、アプリケーションを、いつでも、どこからでも、確実かつ安定的に接続します。 高パフォーマンス SASEクラウドは、ITチームがビジネス要件に応じたネットワークの拡張、最適化、強化を直ちに行うことを可能とします。これによりアプリケーションの信頼性と予測可能なパフォーマンス、すべてのユーザーの豊かなエクスペリエンスが確保されます。 クラウドデータアーキテクチャ SASEは、WAN最適化とダイナミックルーティングポリシーに基づいてトラフィックを最適化し、目的地までの最良の経路でルーティングします。これにより、すべてのユーザーが低遅延でクラウドにアクセスできるようになります。 カスタマイズされたセキュリティ SASEは、Zero Trust Network Access(ZTNA)、Firewall-as-a-Service(FWaaS)、Cloud-Access Security Broker (CASB)、DLP、secure web gateway (SWG)などの必要なすべてのセキュリティ機能を提供し、セキュリティ態勢を強化します。 全体的な保護 SASEに組み込まれたZTNAは、認証・許可されたユーザーとデバイスのみを、重要なエンタープライズ・ビジネス・アプリケーションにアクセスできるようにします。また、セキュリティ保護とカバー範囲をさらに拡大するため、MDR(Managed Detection and Response)の利用も可能です。 一貫性のあるモバイルユーザーとサプライヤーのためのアクセス あらゆる正規ユーザーは、どこにいても一貫性のあるアクセス、パフォーマンス、セキュリティが保証されます。  製造業者の次なる課題とは? 製造業者はSASEを使うことで、ITやセキュリティを心配する必要がなくなり、グローバル展開や工場運営の強化など、ビジネスの重要な優先事項に時間とリソースを集中させることが可能となります。これにより、ネットワークとセキュリティのニーズが満たされている安心感を得ることができ、自分たちの仕事に特化することができます。  SASEと製造業についてもっと知りたい方は、次のポッドキャストのエピソードをお聞きください「製造業においてSASEを導入する方法:PlayPower社との対談」

3CX社のサプライチェーン攻撃 – 古典的な脆弱性の利用

組織間で受け継がれてきた信頼関係を悪用するサプライ... 詳しくはこちら ›
3CX社のサプライチェーン攻撃 – 古典的な脆弱性の利用 組織間で受け継がれてきた信頼関係を悪用するサプライチェーンへの攻撃は、あらゆる組織にとって最大の懸念事項の一つです。SolarWinds社 や Kaseya社 も最近、最近、同様の攻撃を受けました。3月29日、VoIP IPXSを開発する3CX社を標的とした新たなサプライチェーン攻撃が確認され、北朝鮮の国家的な行為である可能性が高いとされています。 3CX社への攻撃 は、10年前のマイクロソフトの脆弱性(CVE-2013-3900)を悪用することで、実行ファイルがマイクロソフトによって正規に署名されているように見せかけながら、実際にはマルウェアを配布するために使い、破壊的な効果を生み出しました。この脆弱性が悪用されたのは今回が初めてではなく、今年初めにはマルウェアZloaderの感染キャンペーンにおいて同じ手口が使われています。3CX社のケースでは、2つの悪意ある「署名付き」DLLを使用してC&C(コマンド&コントロール)サーバに接続し、最終的にGitHubリポジトリに接続し、ユーザーがブラウザに入力する機密データを狙う情報窃取型マルウェアをダウンロードしました。 [boxlink link="https://www.catonetworks.com/resources/cato-networks-sase-threat-research-report/"] Cato Networks SASE Threat Research Report H2/2022 | Download the Report [/boxlink] Cato Networksのセキュリティグループは、この脅威に対して即座に対応しました。2ステージのペイロードサーバと通信しているシステムを所有する顧客に連絡を取り、どの機器が侵害されたかをお知らせしました。このキャンペーンに関連するすべてのドメインとIPをブロックし、この脅威にさらされることを制限しました。 このような脅威に対してCatoは、複数の監視ポイントを持つアプローチにより、脅威が攻撃経路全体で検出、緩和、防止されることを保証します。これは、各PoPがセキュリティスタック全体を共有し、各ネットワークフローのデータをコンテキスト化するプライベートクラウドバックボーンを活用することによってのみ実現が可能となります。Catoの3CX社の脅威に対する低減策は以下の通りです。 悪意のあるドメインをタグ付けし、ブロック。悪意のあるドメインをブロックするためのファイアウォールルールは、デフォルトで有効になっています。 IPS(不正侵入防止システム) – ペイロードサーバをドメインブロックリストに追加。これはファイアウォールルールを補完するものであり、ファイアウォール ルールが有効になっているかどうかには依存しません。 マルウェア対策 - 3CX社に関連するトロイの木馬をすべてブロック。 MDR(Managed Detection and Response):MDRチームが、顧客のシステムに不審な動きがないかを監視し続けます。 Cato Networksのセキュリティグループは、この脅威の動向を引き続き監視しています。 攻撃に関する詳細なテクニカル分析については、Cybleのブログをご覧ください。