デジタル化が急速に進む現代において、サイバーセキュリティは組織と個人双方にとってますます重要な課題となっています。脅威はかつてない複雑さと頻度で増加し続けており、システムとデータの保護には迅速な対応がこれまで以上に求められています。従来の攻撃検知手法の多くはIOC(攻撃の指標)に依存しており、しばしば手遅れになるか、被害が発生した後にしか対応できません。サイバーセキュリティ専門家は近年、脅威にさらに先んじるため、攻撃の指標(IOA)の特定と理解へと注力しています。
サイバー攻撃の複雑さと頻度の増加はにより、IOAの重要性はますます高まっています。2023年の被害額は125億ドルを超え、2022年から22%増加し、過去最高を記録しました。FBIが報告したこの数値は、サイバー犯罪による被害の拡大を反映している。例えば投資詐欺は、2022年の33億1000万ドルから2023年には45億7000万ドルへと38%急増した。こうした驚異的な数字は、IOCに依存する従来の事後対応型アプローチでは重大な損害が発生した後に脅威を特定することが多いため、IOAのような予防的対策の必要性を浮き彫りにしている。攻撃行動の早期検知と理解に焦点を当てることで、IOAは急速に進化する脅威環境において組織がサイバー犯罪者に先んじることを支援します。
本稿では、現代のサイバーセキュリティ運用におけるIOAの重要性を探ります。IOAの定義、従来のIOCとの相違点、一般的に観察されるIOAの種類、そして予防的サイバーセキュリティ強化におけるその役割について掘り下げます。また、IOAの検知と対応における主要な課題について議論し、効果的に監視するためのベストプラクティスを提供します。最後に、IOAがサイバー脅威がエスカレートする前に防止するのにどのように役立つかを示す実例を強調します。
攻撃の兆候(IOA)とは何ですか?
攻撃の兆候(IOA)とは、攻撃が発生している、または進行中であることを示す可能性のある行動パターンや動作を表します。マルウェアのシグネチャなど、侵害の兆候を探すIOCとは異なり、IOAは攻撃者の行動に焦点を当てます:不審な行動、通常のトラフィックパターンの異常、組織のベースラインからの逸脱を示すあらゆる事象です。
例えば、従業員のアカウントが勤務時間外に大量の機密情報にアクセスし始めた場合、潜在的な内部脅威やアカウント侵害の兆候を示すIOAと見なされる可能性があります。同様に、ネットワークエンティティが異常なC2トラフィックを検知した場合、攻撃の初期段階を示している可能性があります。セキュリティチームは、攻撃者が情報窃取、ランサムウェア展開、IOAによる混乱発生などの目的を達成する前に介入できます。
サイバーセキュリティにおいてIOAが重要な理由とは?
サイバーセキュリティ領域におけるIOAの価値は、攻撃を可能な限り早期に検知・無力化できる点にあります。IOCに基づく従来の検知システムは既に生じた損害に対応するのに対し、IOAは組織が異常行動を能動的に検知することを可能にし、実際の損害が発生する前に攻撃を無力化する機会を提供します。
攻撃者は、対応するIOCがまだ存在しない未知の脆弱性や新規手法を数多く試す。攻撃者が達成しようとしている目的に焦点を当てることは、従来のシグネチャベース検出手法が失敗した場合でも、セキュリティ専門家が脅威を予測し阻止する手段となり得る。
攻撃の指標(IOA) 対 侵害の兆候 (IOC)
サイバー空間における脅威の検知と対応が迅速であればあるほど、被害は最小限に抑えられ、システムの完全性が確保されます。この要望の一部が、2つの検知機能の概念として形になりました:攻撃の指標(IOA)と侵害の指標(IOC)(IOC)という検出機能の概念として現れました。これら二つの概念は、その焦点と適用範囲において明らかに大きく異なります。
IOAとIOCの違いにより、セキュリティチームは適切なタイミングで、つまり攻撃中または発生後に適切な対応を取ることが可能になります。
- 攻撃の兆候(IOA): 攻撃指標(IOA)は、攻撃者が攻撃の初期段階で実行する戦術、技術、手順((TTPs)を特定することに焦点を当てています。IOAは、攻撃が進行中であることを示す不審な行動のリアルタイム検知と監視を重視します。侵害の証拠を待つ代わりに、IOAは異常なアクセスパターン、権限昇格の試み、正当なツールの悪用など、悪意のある意図を示す能動的なシグナルを発信します。この攻撃行動への重点化により、セキュリティチームは脅威が実際に侵入したり重大な損害を引き起こしたりする前に、脅威を特定し対応することが容易になります。これは進行中の攻撃の防止において最も重要な応用となり、早期検知を可能にし、攻撃者が目的を達成する前に攻撃チェーンを断ち切ることを可能にする。
- 侵害の兆候(IOC):侵害の兆候(IOC)は、攻撃が既に発生した、あるいはシステムが侵害されたことを示す兆候を提供します。IOCは通常、事後調査時や侵害発生後に発見されます。異常なファイルハッシュ、悪意のあるIPアドレス、不正なシステムファイル改変、さらには異常なネットワークトラフィックなど、侵入が実際に発生したかどうかを確認する特定のインシデント証拠が存在します。IOCはフォレンジックにおいて極めて重要であり、侵害の範囲と内容、攻撃者の侵入経路、標的となった対象を調査担当者に伝えます。これにより、IOCの分析を通じて組織は特定の攻撃の規模を把握し、被害を軽減できるため、将来の関連インシデントを回避するための防御体制強化が可能となります。ただし、事後的なIOCは将来の脅威を予防するよりも、既に生じた損害からの保護に重点が置かれます。
攻撃の兆候(IOA)の種類
攻撃の兆候(IOA)は、攻撃者がシステムを乗っ取ったり悪用したりする様々な戦術を表すため、多様な形態で現れる可能性があります。一般的なタイプには以下が含まれます:
- 不正な特権昇格: 通常は通常の目的で使用されるユーザーアカウントが、突然昇格された権限を取得したり、許可なくネットワークの機密領域にアクセスしようとする場合です。攻撃者は通常、重要なシステムを操作したりセキュリティ制御を無効化するために、システムへのアクセス権を昇格させる手段を提供する脆弱性を悪用します。例えば、通常は非特権レベルで動作するアカウントが管理者権限でシステムにアクセスした場合、攻撃の兆候である可能性があります。正当な理由なく発生するこのような権限変更は、攻撃者が昇格した権限と環境の制御権を獲得したことを示すため、検知する必要があります。
- 横方向移動: 横方向移動とは、攻撃者が貴重なデータやより高い特権を見つけるために、侵害されたシステムから別のシステムへとネットワーク内を移動する試みを指します。この移動は、攻撃者が足場を拡大しながら静かに行動するため、ひそかに行われます。IOA(異常な内部操作)には、内部システム間の異常な接続や未知のマシンへのアクセス試行が含まれます。横方向移動の検知は極めて重要です。これは攻撃者がネットワーク内で存在を拡大していることを意味するからです。
- 情報漏洩の試み: これはシステムからの不正なデータ転送を指します。攻撃者は知的財産や個人情報などの機密情報を外部へ送信しようとする可能性があります。この種の攻撃の兆候としては、未知のサーバーへの大規模かつ予期せぬデータ転送や、システム外へ流出する異常な通信パターンが挙げられます。データ漏洩を防ぐには、初期段階で情報流出の試みを検知・遮断することが極めて重要です。
- 異常なログイン: 特に未知または不慣れな場所、デバイス、あるいは不自然な時間帯からの異常なログイン試行は、認証情報の侵害やブルートフォース攻撃の兆候となる可能性があります。例えば、特定の地理的位置からのログインに慣れていたユーザーが、突然世界の他の地域からログインを試みるケースが挙げられます。異常なログインパターンは、不正アクセスを事前に阻止するのに役立ちます。
- コマンド実行: これは、通常のユーザー活動とは無関係な、未知または許可されていないコマンド、スクリプト、プロセスの実行を指します。攻撃者は通常、マルウェアの展開や設定更新時にカスタマイズされたスクリプトを使用します。ユーザーアカウントが通常実行しない管理者コマンドを実行し始めた場合、これはアクティブな攻撃を示している可能性があります。不正なコマンド実行の検知は、マルウェア感染や設定変更が発生する前の予防段階において活用できます。
サイバーセキュリティ運用におけるIOAの導入
組織は、異常な行動や潜在的な脅威をリアルタイムで特定することに焦点を当てた高度なツールと戦略を採用する必要があります。IOAを効果的に導入する方法は以下の通りです:
- 高度な監視ツールの導入:組織は、ネットワークトラフィック、ユーザー行動、システム活動を継続的に検査し、異常なパターンを特定する複雑な監視ツールを開発する必要があります。これらのツールは、セキュリティチームに攻撃の可能性を即座に警告するため、IOAの早期発見に不可欠です。理想的には、既知の脅威だけでなく、関連するシグネチャのない新興・進化する攻撃も検出できるべきです。
- 機械学習とAIの活用: 機械学習と人工知能は、大規模データセットにおける異常検知に非常に強力であり、したがって、IOA検知に不可欠なツールです。AIベースのツールは膨大な量のデータを分析し、正常な行動パターンを学習し、逸脱を潜在的な脅威としてマークできます。これは、横方向の移動や特権昇格など、従来のセキュリティシステムでは警報を発するのに時間がかかりすぎるような、より洗練された攻撃戦略の検知にも効果的です。
- SIEMシステムとの統合: 既存のセキュリティ情報イベント管理(SIEM)システムとの統合は、検知と対応のサイクルを短縮します。SIEMツールは様々なソースからのデータを集約し、すべてのセキュリティイベントを一元的に可視化します。統合後は、セキュリティチームがIOAからの攻撃の兆候を他のセキュリティデータと相関分析することで、検知プロセス全体を強化し、脅威に対してより迅速かつインテリジェントに対応できます。
- 行動分析: 行動分析によるIOA検出は今後の主流となる手法であり、正常なユーザーおよびシステム活動の基準値を確立することを基盤としています。組織は、どの逸脱が悪意を示すかを容易に判断できます。行動分析は、異常なファイルアクセス、不審なログイン試行、疑わしいデータ転送などの行動を追跡するだけで、リアルタイムの脅威軽減を可能にします。
攻撃指標(IOA)の検知と対応における主な課題
攻撃指標(IOA)は脅威の早期検知に大きな利点をもたらしますが、組織が効果的に活用する上でいくつかの課題が存在します。これには以下が含まれます:
- 誤検知: 異常検知システムは異常の検出に有効である一方、誤検知を多数発生させる場合があります。正当な活動が確立された基準から外れた場合に、実際の攻撃ではない不要なアラートが発生することがあります。例としては、出張中の従業員がログインを試みた際の異常が挙げられます。誤検知はアラート疲労を引き起こします。誤検知が多すぎると、セキュリティチームはそれらを無視する傾向があり、その結果、潜在的な脅威を見逃す可能性があります。組織は誤検知を最小限に抑え、高い精度を維持するために検知システムを微調整する必要があります。
- 熟練した攻撃者: 熟練した攻撃者は、典型的なネットワークトラフィックに偽装した攻撃を設計しており、ほとんどのセキュリティツールでは正常な活動と悪意のある活動を区別できない可能性があります。高度な攻撃者は、通常のユーザー行動を模倣したり、暗号化を使用して活動を隠蔽したりするように設計されている場合があり、IOAの有効性を低下させます。攻撃者は、明らかに不審と見なされる特定の行動を避けるため、しばしばゆっくりとしたステルス的な手法で活動します。このような高度な攻撃者は検知が困難であり、指標やパターンの微妙な差異を理解する熟練したアナリストと、高度なツールを必要とする。
- リソース集約性: ネットワーク全体を継続的に監視してIOAを検知するには、高い計算能力が必要です。行動分析はデータ集約型であり、数十万件のイベント処理を要します。これによりシステムに負荷がかかり、アラート生成が遅延する可能性があります。また、IOAアラートの解釈には、これらのアラートを文脈化して行動が実際に悪意あるものか判断できる経験豊富なサイバーセキュリティ専門家が必要です。これは非常にコストがかかり、特にリソースが少ない小規模組織にとっては課題となります。
より深い脅威インテリジェンスを得るIOA監視のベストプラクティス
IOA監視の効果を最大化し、一般的な課題を克服するためには、組織は以下のベストプラクティスに従うべきです:
- 脅威検出の自動化: 人工知能(AI)と機械学習により、異常行動の検出を自動化でき、セキュリティチームの作業負荷を軽減できます。これらのツールはテラバイト規模のデータをリアルタイムでスキャンし、潜在的な脅威を示す可能性のあるパターンを、検出と対応が可能な十分な時間的余裕をもって検知します。これにより、脅威探索における人的ミスを低減できます。AIは過去のインシデントから学習し、通常の逸脱と実際の攻撃試行を区別する方法を習得します。
- ベースラインの定期的な更新: 攻撃者は絶えず戦術を進化させ、ネットワークの使用パターンも時間とともに変化します。そのため、ユーザー、システム、ネットワークの正常な動作に関するベースラインの継続的な更新が不可欠です。現在のベースラインにより、システムは攻撃を示すより正確な逸脱を検知できます。例えば、機密情報を時折閲覧する新入社員はベースラインに組み込まれ、不必要な警報を発生させる可能性があります。ベースラインは定期的に見直して更新し、新しい状況へのシステムの適応性を高め、誤検知を減らすべきである。
- アラートの文脈化:セキュリティアナリストにイベントを警告する決定を下す前に、システムはその深刻度と関連性について十分な文脈情報を提供すべきである。コンテキスト情報は、アナリストがアラートが実際の攻撃に対応するものか、あるいは良性の異常であるかを迅速かつ情報に基づいた判断を下すのに役立ちます。これにより、調査に必要な時間も短縮され、実際の脅威への対応時間も改善されます。
- SIEMシステムとの統合:IOA監視ツールをSIEMシステムと統合し、すべてのIOAを監視・収集する。究極のベストプラクティスは、SIEMシステムを介して様々なソースから収集したログデータを統合することです。SIEMシステムは様々なソースから見つかったログを集約し、ネットワーク活動の集中管理ビューを提供します。これにより、統合されたIOA検知の助けを借りて、組織の脅威検知能力は異なるシステムからのデータを相互相関させることができます。セキュリティチームは、潜在的な攻撃ベクトルを包括的に把握でき、アラートの優先順位付けや脅威への効果的な対応が可能になります。
- 特定の脅威に合わせたIOA検知の最適化: 組織は業界、規模、露出度によって通常異なります。ある組織に影響を与える脅威が別の組織に影響を与えない場合もあります。したがって、アラートの関連性を高め誤検知を減らすためには、組織固有の脅威環境に合わせてIOA検知を調整することが極めて重要です。例えば銀行では、不正な取引や権限昇格の試みを検知する必要があります。医療組織にとって、悪意はないが有害なIOAは、おそらく患者記録への不正アクセスとなるでしょう。IOA検知を組織固有のリスクプロファイルと脅威モデルに紐付けることで、セキュリティチームは最も関連性が高く危険な脅威に集中できるようになります。
サイバーセキュリティにおける攻撃指標(IOA)の事例
実例は、攻撃指標(IOA)が深刻なサイバー脅威の防止に重要な役割を果たしてきたことを示しています。
以下に、重大な損害をもたらす前に攻撃を阻止する上でIOAが決定的な役割を果たした主な事例をいくつか示します:
- 高度持続的脅威(APT):ある事例では、組織がネットワーク内で不正な横方向移動を検知しました。これはシステム深部への侵入を試みる潜在的なAPTの存在を示していました。APTとは、攻撃者が不正アクセスを得て、疑いを招かないようゆっくりと移動する長期的なステルス攻撃である。セキュリティチームは、こうした稀な内部通信フローや特別に制限されたサーバーへのアクセス試行を特定することで、APTが機密データの流出という目的を達成する前に攻撃を阻止し、この組織を壊滅的なデータ侵害から救った。&
- ランサムウェア対策: 悪意のある活動によるファイル暗号化を早期に検知することで、ランサムウェア攻撃の拡散を防止できます。ある事例では、ある組織において通常予想される動作範囲を超えた急激なファイル暗号化処理の増加が確認されました。これによりセキュリティチームは、これがランサムウェアのIOA(異常なオペレーティングアクティビティ)であると判断し、影響を受けたシステムを隔離することでランサムウェアのさらなる拡散を阻止しました。この指標にタイムリーに対応したことで、組織はランサムウェア攻撃による大規模なデータ損失と高額な復旧作業を回避しました。
- 内部者脅威の検知: 別の事例として、従業員のユーザーアカウントが、不審な時間帯に未知のマシンから機密データにアクセスしたケースがあります。これはIOA(異常な操作)と見なされますが、内部脅威か、外部者によるアカウント侵害のいずれかの可能性があります。組織のセキュリティチームは迅速に対応し、アカウント乗っ取り事件であることを突き止めました。この異常を早期に特定したことで、機密データの不正転送を防ぎ、脅威が拡大する前に無力化することに成功しました。
- フィッシング攻撃の検知: フィッシング攻撃は、攻撃者が企業ネットワークへの足掛かりを得るために使用する一般的な手法の一つです。ある時、組織全体に散在する従業員宛に不審な添付ファイルを含む大量のメールが送信されたため、セキュリティシステムが警報を発しました。セキュリティチームは、これがログイン認証情報を盗むためのフィッシングキャンペーンである可能性が高いと判断し、IOAを特定しました。チームは、これらのメールにログイン情報を盗むために設計された悪意のあるサイトへのリンクが含まれていることを発見しました。フィッシングの試みが時間内に検出されたため、組織は従業員に通知し、またサイトへのアクセスを遮断できるため、誰も認証情報を失うことはありません
- 分散型サービス拒否(DDoS)攻撃の緩和策:ある組織は、サーバーを標的としたネットワークトラフィックの急激な増加を検知しました。これはおそらく分散型サービス拒否(DDoS)(DDoS)攻撃によるものと考えられる。IOAがセキュリティチームに異常なトラフィック急増を通知したため、チームはトラフィックを迂回させ、トラフィックフィルタリング機能を起動して攻撃を軽減できた。これによりサービス停止時間は最小限に抑えられ、重要サービスの継続的な可用性が確保された結果、金銭的損失と顧客の信頼も守られた。
攻撃指標(IOA)がサイバーセキュリティの予防的対応を強化する方法
攻撃指標(IOA)は、組織がサイバーセキュリティ問題に対して事後対応ではなく事前対応の観点から対応することを可能にし、攻撃が発生する前に防止する上で多くの利点を提供します:
- 攻撃者の行動に焦点を当てる:IOAは、単に何らかの攻撃が発生している証拠ではなく、攻撃者が何を達成しようとしているのかを理解することに焦点を当てます。これにより、セキュリティチームは、攻撃者が権限昇格、ネットワーク内での横方向移動、データ窃取など、悪意のある目的を達成する前に、その行為を現行犯で捕捉できます。ここで重要なのは、非常に早い段階での行動検知であり、それによって攻撃が甚大な損害をもたらす前に阻止することです。
- 迅速な検知と対応: IOAにより、組織は脅威環境を検知し対応することが可能となり、攻撃の最初の行動からセキュリティチームの介入までの時間を劇的に短縮します。これは、APT やランサムウェアなどの多段階攻撃において、被害を最小限に抑えるために特に有用です。
- 進化する脅威に対する防御: サイバー脅威の性質は絶えず進化しており、攻撃者は従来の侵害の兆候には見られないような新しい手法や戦略を絶えず採用しています。そこで有用となるのが IOA です。既知のマルウェアの有無にかかわらず、攻撃者が採用する行動や戦術の手法、そして革新的な攻撃手法を観察します。これにより、組織は機敏で革新的な脅威に対抗する上でより有利な立場に立つことができます。
- 多段階攻撃の軽減: 現在、高度なサイバー攻撃の大部分は多段階です。これらは、初期段階の侵害から始まり、横方向に移動し、最終的には データ流出。 IOA は、セキュリティチームが攻撃者の攻撃チェーンのさまざまな段階で攻撃者を検出して阻止することを可能にします。攻撃者が目的を達成する前に早期に捕捉することで、組織全体へのリスクを低減し、複雑な多段階脅威による潜在的な被害を制限します。
- 攻撃の滞留時間短縮: 「潜伏時間」とは、攻撃者が特定のネットワーク内に潜伏し続ける時間を指します。潜伏時間が長ければ長いほど、データ窃取やシステム操作の可能性が高まります。IOAは、攻撃が完了した後に事象を監視するのではなく、セキュリティチームがこれらの異常活動を早期に把握できるようにするため、潜伏時間を短縮します。ドウェルタイムが短縮されることで、攻撃者がネットワークから情報を悪用・侵害・流出させる時間枠が減少するため、影響を最小限に抑えられます。
- インシデント対応効率の向上: IOAが提供するアラートは明確で実行可能なため、インシデント対応の取り組みを促進します。これにより、セキュリティチームは誤検知に時間を取られることなく、真の脅威を示す高優先度アラートに注力できます。IOAアラートに付随するコンテキストデータ(関連デバイス、地理的位置、特定された異常行動など)は、アナリストの迅速な意思決定をさらに支援します。これら全てが相まって、インシデント対応プロセスの全体的な効率が向上し、脅威の封じ込めと解決を迅速化します。
SentinelOne はどのように役立つのか?
SentinelOne のプラットフォーム は高度な行動分析に基づいています。エンドポイントの活動を監視し、IOA(異常な行動の兆候)を探します。プロセス実行、ネットワーク通信、システム相互作用のリアルタイム分析により、SentinelOneは侵入中または進行中の攻撃を示す異常な行動を発見できます。既知および未知の脅威の検出を支援します。
SentinelOneは高度なAIエンジンでIOAを特定します。攻撃行動に関連するパターンや異常を発見できます。その範囲は、既存リソース悪用型攻撃(LOAL)から、ファイルレスマルウェアの試行、システムにおけるゼロデイ脆弱性の悪用まで多岐にわたります。SentinelOne AIは攻撃の進行に伴い生じるわずかな兆候を検知し続け、攻撃経路をグラフィカルに可視化してセキュリティチームに警告します。
SentinelOneは自律的なインシデント対応機能を提供します。影響を受けたエンドポイントの即時封じ込めと脅威の隔離を可能にします。SentinelOneは人的介入なしに攻撃の進行を阻止し、平均復旧時間(MTTR)を大幅に短縮します。
SentinelOneのプラットフォームは脅威ハンティングとフォレンジック分析のための豊富なデータセットを提供し、IOA(攻撃の痕跡)を特定します。セキュリティチームは検知された脅威を調査し、攻撃者のTTP(戦術・技術・手順)に関する貴重な知見を得られます。SentinelOneのIOA脅威インテリジェンスはセキュリティ戦略を最適化し、防御を強化するとともに組織の攻撃対象領域を縮小します。
SentinelOneのIOAインサイトを包括的なセキュリティ体制に組み込むことで、チームはポリシーを更新し、検知ロジックを強化し、変化する脅威への確実な対応を実現できます。無料ライブデモを予約して詳細を確認。
結論
攻撃の指標(IOA)は、サイバーセキュリティにおけるパラダイムシフトの一つであり、攻撃ベースの防御により、組織は重大なインシデントに発展する前に脅威を特定し、対処することができます。この観点から、攻撃者の行動や戦術に焦点を当てた組織は、潜在的な脅威を迅速に認識し、サイバー攻撃の成功リスクと最終的な影響を低減できる可能性があります。
従来のIOC(侵害の指標)と組み合わせて使用されるIOAは、組織のサイバーセキュリティフレームワーク全体を強化します。この統合的なアプローチにより、多くの現行検知手法では見逃されがちなAPTや内部者攻撃といった高度な脅威の検知能力が向上します。
サイバー脅威が進化し続ける中、IOAを活用することは組織に重要な手段を提供し、敵対者に先んじてデータ侵害やそれに伴う財務的・評判的損害の可能性を最小限に抑えます。結局のところ、今日の動的な脅威環境において強固なセキュリティ態勢を維持するには、IOAの先制的な性質が不可欠です。
FAQs
ほとんどの攻撃の兆候(IOA)は、環境内での時期尚早なファイルコピー、不正なデータアクセス、権限昇格などの異常を示します。こうした活動は既知の攻撃モデルに該当しないため脅威と見なされ、予防的防御策を考案することが可能です。
IOAは、攻撃者が悪意のある操作を実行するために使用する手段の定義であるTTP(戦術・技術・手順)を伴う高度な攻撃の特定を可能にします。これにより脅威の早期検知が可能となります。
被害が発生する前に攻撃を阻止します。高度な脅威環境において、このような利点は極めて重要です。
侵害の兆候(IOC)がマルウェアのシグネチャなど過去の侵害の証拠を探すのに対し、攻撃の兆候(IOA)は攻撃者の戦術を示す行動パターンを探します。この行動に焦点を当てることで、たとえ新規で特定可能なシグネチャがない脅威に対しても、より迅速な対応が可能になります。
攻撃指標(攻撃の兆候)とは、攻撃者のリアルタイムの行動や意図を明らかにするシグナルです。損害をもたらす可能性のある、進行中または潜在的な脅威を特定するのに役立ちます。
説明のつかないファイルアクセス行動、失敗したログイン試行、またはデータ転送の監視が攻撃指標(IOA)の特定につながります。攻撃前の脅威検知には、これらの攻撃指標に基づくSIEMシステムやEDRソリューションが使用されます。
特定された場合、攻撃の兆候(IOAs)への対応策には、侵害されたシステムの隔離、脅威の発生源への追跡、リスクの管理や遮断が可能なセキュリティ設定の構築、防御策の検証と更新が含まれます。
IOCリストとは、過去の攻撃から得られた痕跡、悪意のあるIPアドレス、ファイルハッシュ、ドメインの集合体です。既知の脅威を特定し、発生した潜在的なセキュリティ侵害を追跡するために使用されます。
