カスペルスキー、インシデントレスポンス対応したサイバー攻撃を分析した結果を公開
- 2021/11/15 10:30
- SecurityInsight
カスペルスキーは11月11日、インシデントレスポンス対応したサイバー攻撃を分析した結果を公開した。「Incident Response Analyst Report(インシデントレスポンス分析レポート:英語)」は実際のインシデントレスポンスを基にした分析の詳細を報告しており、日本語版も見ることができる。その概要は以下のとおり。
カスペルスキーのグローバル緊急対応チーム(GERT)が2020年にインシデントレスポンスを実施したサイバー攻撃を分析したところ、企業ネットワーク環境への初期の侵入経路は、パスワードの総当たり攻撃と外部公開されたアプリケーションの脆弱性の悪用が最も多く、この二つで全体の63%を占めていることが判明した。強固なパスワードポリシーと適切なパッチ管理ポリシーを組み合わせることで、サイバー攻撃を受ける確率が最大63%減少する可能性がある。
2020年にGERTがインシデントレスポンス(IR)を実施した際の匿名化されたデータを分析したところ、企業ネットワークへの初期侵入方法として最も多かったのは総当たり攻撃だった。2019年の13.3%から31.6%に急増したが、これは新型コロナウイルスの感染拡大とそれに伴うリモートワークの普及によるものと思われる。
2番目は外部公開されたアプリケーションの脆弱性の悪用で、31.5%を占めていた。2019年は37.8%だった。2020年以降に見つかった脆弱性が悪用されたインシデントはごくわずかで、大半のケースでCVE(共通脆弱性識別子)識別番号CVE-2019-11510、CVE-2018-8453、CVE-2017-0144といった、比較的古い脆弱性へのパッチ未適用の状態が悪用されていた。
初期の侵入から攻撃発見までの期間はそれぞれ、総当たり攻撃は数時間後(18%)、数日後(55%)、外部公開アプリケーションの脆弱性の悪用は数時間後(33%)、数日後(22%)、悪意のあるメールは数時間後(43%)数日後(29%)となり、ほぼ半数以上が数日以内に検知されていた。
また、一部の攻撃は数か月以上継続することがあり、その平均攻撃期間は90.4日間だった。理論上、初期侵入経路が総当たり攻撃である場合は検知されやすいものの、実際には影響を及ぼす前に特定できた攻撃はごく一部にすぎなかった。