This post is also available in: English (英語) 简体中文 (簡体中国語) 繁體中文 (繁体中国語) Français (フランス語) Deutsch (ドイツ語) Italiano (イタリア語) 한국어 (韓国語) Português (ポルトガル語(ブラジル)) Español (スペイン語)
2024年のMITRE ATT&CK Evaluationsにて、Cortex XDRが歴史的な結果を収めました。すべての模擬攻撃ステップをテクニックレベルの詳細さで検出することに、史上初めて成功したのです。テクニックレベルの検出とは、攻撃の特定に必要な正確な情報をセキュリティ アナリストに提供できたことを意味する、最も質の高い検出結果です。その上、Cortex XDRは設定変更と遅延検出を伴わずに2年連続で検出率100%を達成し、比類のない一貫性を実証しました。
Cortex XDRが達成した防御率は、誤検知ゼロのベンダーの中で最高です。エンドポイント セキュリティに関して、誤検知の有無は重要な差別化要素となります。防御段階では、一件の誤検知でも正当なビジネス プロセスを妨げ、生産性を低下させるおそれがあるためです。
誤検知テストとmacOSのサポートが新たに追加され、Linuxシナリオが拡張された今年の評価は、過去になく厳しい難易度となりました。特筆すべき点として、大手ベンダーを含む参加辞退により、参加ベンダーが29社から19社に減少しました。攻撃ステップの半数未満しか検出できないベンダーが2/3に達した事実は、今年の評価の高難度化を反映しています。
弊社は卓越したエンドポイント セキュリティの提供を通じて、今年の評価で模擬された攻撃等への先手の対策を実現します。その原動力となった世界レベルの脅威リサーチ チームとエンジニアリング チームは弊社の誇りです。
Cortex XDR: MITRE ATT&CK第6ラウンドで、業界最高クラスのエンドポイント セキュリティ成績
Cortex XDRは検出と防御両方のシナリオで優れた成績を収めました。この結果は、エンドポイント セキュリティの新基準を確立し、サイバーセキュリティ ソリューションにユーザーが期待すべき性能を再定義します。
Cortex XDRが3つの検出シナリオで、設定変更と遅延検出を伴わずにすべての攻撃ステップのテクニックレベル検出に成功したことは、史上初の偉業です。この結果は、すべての主要OS (Windows、macOS、Linux)をカバーする最も包括的な防御を目指す弊社の努力の正しさを改めて例証するものです。
MITRE ATT&CK Evaluationsには、被害が発生する前に攻撃をブロックする能力を評価する防御試験も含まれます。これは、できるだけ多くの攻撃を防御した上で、防御できなかった攻撃を可能な限り迅速かつ正確に検出するという、現実世界のエンドポイント セキュリティの本質を反映しています。
第6ラウンドにおいて、Cortex XDRは誤検知ゼロで10攻撃ステップ中8ステップの防御に成功しました。防御段階における誤検知は、重要なビジネス活動を妨げ、著しい財務損失をもたらす可能性があります。Cortex XDRは比類のない防御精度によって業務への影響を防ぐ、非常に要件が厳しい世界最大級の組織にも最適なエンドポイント セキュリティ ソリューションです。
防御試験では、MITREの基準でブロックにカウントされなかった攻撃ステップが2つありますが、これらのステップでの実際のアクションは、お客様を保護し侵害を阻止するうえでは機能していたと考えられます。
- ステップ3では、おそらくMITREの攻撃ステップに従って、攻撃側が中国の疑わしいホストからのSSH接続を試みました。弊社はこの疑わしいSSH接続をブロックし、早期段階で攻撃を阻止しています。
- ステップ5では、攻撃側がデータ暗号化を試みましたが、Cortex XDRエージェントが即座に暗号化アクションを無効化しました。弊社は攻撃を阻止し、お客様の安全維持という最も重要な成果だけを達成しています。
MITRE ATT&CK Evaluationとは?
MITRE ATT&CK Evaluationは、現実の脅威に対するエンドポイント セキュリティ ソリューションの検出能力と防御能力を評価する、サイバーセキュリティ分野で最も厳しい試験です。巧妙な攻撃グループが行う攻撃を調査し模擬することで、セキュリティの有効性に関する確かなベンチマークの地位を確立しています。
2024年の評価の中心は、特に重要で関連性の高い2つの攻撃シナリオです。
- ランサムウェア: 合法的ツールの悪用、データ暗号化、重要サービス/プロセスの無効化など、ランサムウェアキャンペーンに共通する活動を調査します。MITREが模擬したのは、悪名高いRaaS (サービスとしてのランサムウェア)脅威グループである「CLOP」と「LockBit」が用いるテクニックです。
- 北朝鮮(DPRK): 北朝鮮が権限昇格攻撃と認証情報攻撃に用いるモジュール型マルウェアをモデルとし、macOSシステムへの攻撃を模擬します。
ランサムウェアや北朝鮮などの重大脅威に対するパロアルトネットワークスの監視活動
弊社のCortex脅威リサーチ チームは、Unit 42との連携を活かして絶えず進化する脅威環境を監視し、調査結果から実用的なインテリジェンスを引き出すことで、Cortex XDRの検出機能と防御機能を直接強化しています。
過去1年、脅威アクターのTTP (手法、戦術、手順)を調査する日常業務の一環で、北朝鮮系APTグループに焦点を当て、世界各国の組織への侵入に使用されたマルウェアと新規キャンペーンを分析しました。
北朝鮮は、体制維持に必要な収入源としての大規模サイバー犯罪活動と偵察活動を軸とする、二刀流のサイバー戦争戦略で知られます。注目すべき調査結果として、macOSのユーザーとエンドポイントを重点的に狙う傾向が強まっているほか、世界中の多様な業種を狙って暗号資産と機密情報を盗み出す持続的な活動も見られます。
調査結果の要約はUnit 42脅威リサーチ センターとコミュニティで公開されています。以下の調査記事はその例です。
- 脅威の評価: 北朝鮮系脅威グループ
- 採用面接を装った攻撃: テクノロジ業界の求職者を騙してBeaverTailマルウェアとInvisibleFerretマルウェアの新規亜種をインストールさせる北朝鮮系脅威アクター
- Gleaming Piscesに感染したPythonパッケージを通じてLinuxとMacOSにPondRATバックドアを展開する攻撃キャンペーン
- Sparkling Piscesのツール セットを分析: KLogEXEとFPSpy
2024年に活動した非常に危険性が高いランサムウェア ギャングに関する調査記事も公開中です。調査からは、ランサムウェア グループが進化し、巧妙さと攻撃性を増していることが確認されています。調査内容に加え、記事ではこうしたグループの活動と機密情報の暗号化を自動的に阻止する、Cortex XDRの検出機能と防御機能の解説もご覧いただけます。
ランサムウェア グループへの理解を深めるには、下記の記事をご参照ください。
- 脅威の評価: Howling Scorpius (別名: Akiraランサムウェア)
- RA GroupからRA Worldへ: ランサムウェア グループの進化
- 脅威の評価: BianLianランサムウェア
今年の試験の変更点
2024年のMITRE ATT&CK Evaluationでは、脅威環境の変化を反映しエンドポイント セキュリティの有効性をより適切に評価するため、大きな変更が加えられました。
- 試験対象エンドポイントの追加: 今年から、多様なエンドポイント プラットフォーム(Windows、Linux、macOS)が試験対象となりました。これにより、様々なOS環境でソリューションを試験し、防御機能をより包括的に評価をできるようになりました。
- 誤検知試験の追加: もう1つの大きな変更点が、現実世界での導入時に重要となる誤検知の試験です。脅威検出能力に加えて、セキュリティ チームの過負荷や重要ビジネス プロセスの混乱を引き起こす不正確な検出を防ぐ能力が評価されます。
これらの変更により、この度実施されたMITREは過去最も厳しく現実的な評価試験となっています。
大切なのは一貫性: 毎年優れた成績を収めるCortex XDR
パロアルトネットワークスは最高品質のサイバーセキュリティ テクノロジの提供に尽力しています。そのためには、研究とエンジニアリングに多額の投資を行い最高の人材を集めることが必要です。毎年の厳しいMITRE ATT&CK Evaluationsで努力の成果を試し、その実力を世界に証明できることを、弊社のチームは光栄に思っています。
Cortex XDRは2022年からMITREの評価に参加し、検出成績で業界をリードしてきました。毎年実施される模擬攻撃は、世界の脅威アクターとその対策に向けたサイバーセキュリティ業界のスタンスを理解する、またとない機会だと考えます。そのため、年ごとの結果を簡単に比較できるインタラクティブなダッシュボードで、MITRE ATT&CK Evaluationsの結果をすべて公開しています。
エンドポイントの防御にCortex XDRを利用されているお客様とMITREに、この場を借りて感謝申し上げます。弊社はサイバーセキュリティ パートナーとして選ばれることを誇りに思います。
Cortex XDRの実際の動作を体験するには、こちらから製品デモをお申込みください。