執筆:Gergana Karadzhova、Joe Schumacher、Pawel Bosek このブログ記事では、Talos インシデント対応チーム(Talos IR)がリモートでのインシデント対応サポートの主な利点を紹介し、リモートでインシデント対応にあたる際の推奨事項をまとめています。
スポーツ大会、専門家のカンファレンス、展示会といった大規模なイベントでは、サイバーセキュリティを確保するために複雑で手間のかかる作業が必要になることがあります。イベントのエコシステム全体で一貫性のあるサイバーセキュリティを実現するには、多面的なアプローチと、ベンダー、ホスピタリティチーム、サービスプロバイダーなどのさまざまな組織の参画が必要になります。
今四半期確認された脅威の 40% を、ランサムウェアとランサムウェア感染前のインシデントが占める結果に。 四半期レポートをまとめるようになって以来初めて、Cisco Talos インシデント対応チーム(以下、Talos IR)が対応したランサムウェアの件数とランサムウェア感染前のインシデントの件数が同数となりました。今四半期に確認された脅威のほぼ 40% をこの両者が占めています。
概要 Cisco Talos インシデント対応チーム(CTIR)は、Qakbot というバンキング型トロイの木馬を配布している最近のスパム攻撃において、複数の組織から収集された古い電子メールスレッドが利用されていることを確認しました。それらのスレッドは、脆弱な Microsoft Exchange Server を標的とする 2021 年の ProxyLogon 関連の侵害において収集された可能性があると CTIR では考えています。
「会社がサイバー攻撃を受けています」という電話がいつかかってくるかと怯えながら日々を送っている経営幹部が増えています。有名な企業がサイバー攻撃を受けてメディアの注目を集め、広報チームが被害状況や消費者の信頼回復に向けた対応策の説明に追われる事例が 2021 年から 2022 年初頭にかけて毎週のように発生しています。最近の調査によると、調査対象組織の 37% が昨年ランサムウェア攻撃の影響を受けています。
Cisco Talos インシデント対応チーム(CTIR)はこのたび、Bundesamt für Sicherheit in der Informationstechnik(BSI)Advanced Persistent Threat(APT)対応サービスプロバイダーのリストに承認済みベンダーとして掲載されました。Talos インシデント対応チームは、BSI のプロセスレビューやテクニカル パネル インタビューを受けた結果、ドイツ国内の APT 攻撃者が関与するサイバーセキュリティ インシデントに対応できることが BSI によって認められました。
今四半期も、Cisco Talos インシデント対応チーム(CTIR)が対応に当たった最大の脅威はランサムウェアでした。この傾向は 2020 年から続いています。2021 年の総括レポートでも紹介していますが、CTIR は、増大するランサムウェア攻撃者や、世界中の組織に被害を与える主要なサイバーセキュリティ インシデントに継続的に対応しています。
以前のケーススタディでも述べましたが、インシデント対応ではお客様との信頼関係が試されます。あるお客様から自社の公開 Web サイトについて懸念があると Cisco Talos インシデント対応チーム(CTIR)に連絡があったときも、この信頼関係のおかげですぐに行動を起こしてペネトレーションテストを実施することができました。
Cisco Talos インシデント対応チーム(CTIR)が今四半期に確認した脅威の中で最も猛威を振るったのは、前四半期に引き続きランサムウェアでした。
はじめに 私はインシデント対応担当者として経験を積み、現在は Cisco Talos インシデント対応チーム(CTIR)の IR ビジネスリーダーを務めていますが、これまで、インシデント対応は究極のチームスポーツだと言い続けてきました。