オーストラリアの組織は基本的な間違いをしているため、

それは驚くべき答えであり、恐ろしいものです。我々は、CERTオーストラリア(CERT-AU)の上級技術者、スコット・ブラウン(Scott Brown)によると、最近12ヶ月間で、「大規模に」ransomware攻撃が増加していることを知っています。だから、最も一般的な攻撃ベクトルは何ですか?

オーストラリアの研究資金調達ラウンドで量子コンピューティングが成績を上げている可能性があります。ANZ Bankがハイテクエグゼクティブデッキをシャッフルしています。Telstraがコンテンツ配信のためにグローバルメディアネットワークを発表しました; TelstraはSDN再償却による120件の自発的冗長化を求めています。

ブラウン氏は、オーストラリアのサイバーセキュリティセンター(ACSC)カンファレンスで、「第1位はまだMicrosoftのWordとExcelの文書で電子メールに添付されたマクロだ」と語った。

先月、ZIPやRAR(JavaScriptを含む)に少し変わったことがありましたが、あなたのほとんどがこれを見ていると確信しています。私たちは、エクスプロイトキットによっていくつか落とされているようです。私はここで(オーストラリアでは)他の国々の一部に見られる悪用キットと同じパーセンテージを見ていないようだと私は思うだろう。

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

カナダでは、ランサムウェアの約50%がエクスプロイトキットを介して提供されているとブラウン氏は言いますが、オーストラリアでは約95%がまだ電子メールで届いています。また、過去2〜3ヶ月間にメールの量が急増しています。

現在、CERT-AUは主に大規模で重要な組織を扱っていますが、すべてのニッケルとダイムの小規模ビジネスではありません。

Pwned。 MS Officeマクロ。電子メールで到着。 2016年

自分の偏った視点を脇に置いてください。誰がなぜその奇妙な技術を使っているのか疑問に思っています。どのような自己尊重の電子メールアンチマルウェアシステムは、組織の外から来るマクロを含む文書を見つけたり隔離したりしないでしょうか?そのような技術は10年以上にわたって存在しており、無料です。

同じことがZIPファイルとRARファイルにも当てはまります。 2011年にはSourcefireのVulnerability Research Team(VRT)のAlex Kirk氏によると、RARファイルの11%にマルウェアが含まれていました。

「私はいつも、RARファイルに触れないで、マルウェアでいっぱいだという友人に語った」と彼は当時この作家に語った。

ransomwareではあまり変わっていないとBrown氏は述べている。確かに、いくつかのバリエーションがあり、より多くのボリュームがありますが、防御は同じです。

Brown氏は、去年と同じようにマルウェア対策のスライドを示しています:ゲートウェイ経由で許可されているファイルタイプを制限する、管理者権限を制限する、EXEだけでなくDLL、スクリプト、およびアプリケーションのホワイトリストを設定するマクロ。

ああ、すべての現在のバックアップを保ち、それらが動作することをテストします。したがって、あなたがransomwareでヒットしたら、感染したマシンをワイプして再起動するだけです。

Ransomwareは組織がレッスンを習得していない唯一の指標ではありませんでした。

CERT-AUが調査した標的型侵入に関して、攻撃者は被害者のネットワークに「6ヶ月から12ヶ月間」存在していました。

この数字は、Verizonの毎年のデータ侵害調査報告書(DBIR)で毎年報告されている世界の数字と一致しています。侵入者は数時間から数日ではなく数週間から数か月で検出されます。

調査は、ほとんどの組織がそれまでのログを維持しないため、常に困難になっています。しかし、企業が存在するログにアクセスすることさえできないクラウドプロバイダに電子メールを委託すると、調査はさらに困難になる。

もちろん、同じ問題が地球上の他の場所にも存在します。

米国国土安全保障省産業制御システムCERT(ICS-CERT)のディレクターであるMarty Edwardsは、US-CERTが調査したより一般的なデータ侵害から学んだ教訓をスライドに掲載しました。

これらのレッスンは、ネットワークセグメント化の欠如、管理者の代わりに一般的なユーザーアカウント、2要素認証の欠如、ロギングとネットフローの不足、サーバー規律の貧弱、つまり強化されていない、または不要なアプリケーションの実行、システム、労働力の不十分な教育。

「おなじみの音ですか?」とスライドは言いました。

かなり。

ICSのセキュリティに関しては、一般的な情報セキュリティの10年後に実行されていると、エドワーズ氏は述べています。医療機器のセキュリティは10年遅れている。

これまで私が会議で見てきた “おなじみの”メッセージはこれ以上記載しません。本当のメッセージははっきりしています。

企業は基本的なサイバーセキュリティレッスンをまだ学んでいません。それは変わらなければならない。

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ChromeがHTTP接続に安全でないとラベル付けを開始する

Hyperledgerプロジェクトはギャングバスターのように成長しています