システム管理者、データ サイエンティスト、アナリスト: 攻撃者のターゲットはどのようにしてテクノロジーに精通したユーザーに移ったのか

  • Sep 03, 2023

機密データへのルートが非常に多くなったことで、コンピューター犯罪者の潜在的なターゲットが拡大しました Darktrace のテクノロジー担当ディレクター、Dave Palmer 氏によると、IT に関する相当な専門知識を持つ人材も受け入れる必要があるとのことです。

デイブパーマーダークトレース2015janb620x377.jpg

Dave Palmer: 新しいタイプのソフトウェアを頻繁に試しているシステム管理者がさらにターゲットにされることになるでしょう。

画像: ダークトレース

かつては、どのようなビジネスにおいても、ハッキングされてほしくない人物は CEO であると考えられていました。 確かに、経営トップのメールがどのように侵害されたのかを説明するのは、今でも不快な経験だろう。

しかし、真実は、ターゲットにすべきもっとやりがいのある個人がいるかもしれないということであり、その事実は、組織によって無視されていません。 機械学習セキュリティ会社のテクノロジーディレクター、デイブ・パーマー氏によると、犯罪友愛団体だという。 ダークトレース。

「システム管理者をターゲットにすることについては多くの議論が行われてきました。 実際、スノーデン資料の一部には、GCHQ がシステム管理者に関連して興味を持っていたという報道がありました。 ベルガコム疑惑事件、" 彼は言った。

「さて、それが真実かどうかはわかりません。 確かにそれは私が知りたいことではありません。 しかし、私たちは特権ユーザーと呼ばれるもの、つまり彼らが管理者なのか、それとも特権データにアクセスできるだけなのかについて非常に心配しています。」

英国政府通信局 GCHQ で 7 年間、MI5 で 7 年間勤務したパーマー氏は、現在、ダークトレースで使用されているベイジアン数学ベースのテクノロジーの顧客対応面を担当しています。

こちらも参照

クラウド セキュリティ: 特定のサイトへのスタッフのアクセスをブロックしていると思いますか? もう一度考えて

今すぐ読む

「企業が儲かっているのは、CEOの発言や今日送ったメールのせいではない。 彼らが儲かっているのは、専門分野が何であれ、私たち全員のような普通の人々が私たちのデータを操作し、顧客やサプライヤーとやり取りしているからです」と彼は語った。

「特権ユーザーは企業や組織ごとに異なり、これは私たちがコンテキストを理解する上で非常に初期段階の会話です。 何があなたにお金をもたらしますか? これらの車輪は毎日どのように回転しているのでしょうか? 何が CEO の辞任を引き起こすのでしょうか?

「ヘッジファンドのデータサイエンティストは、多くの場合、ヘッジファンドにとって最も関心のある人物です。 彼らはどのようなデータを使用しているのでしょうか? データを入手したら、それをどうするのですか?」

データ サイエンティストやセキュリティ研究者自身と同様に、システム管理者も、特権アクセスと新しいツールを試す必要性が組み合わさっているため、ますます標的にされています。

「システム管理者は新しいタイプのソフトウェアを頻繁に試しますが、部分的には予測可能です。 彼らがどのような種類のメディアを消費し、どのような Web サイトにアクセスし、どのようなソフトウェアをダウンロードするのかを推測することができます。 彼らをターゲットにすることは、今後さらに多く起こるだろう」とパーマー氏は語った。

攻撃者は、そのような個人を特にターゲットにするだけでなく、正規のオンライン広告ネットワークや Web ページをマルウェアを含む広告で汚染するマルバタイジングも利用しています。

ある Darktrace 顧客では、セキュリティ スタッフが最近、システム管理者の 1 人にほぼ確実に問題があることを自社の IT チームに納得させるのに苦労しました。

「彼らは私たちに助けを求めました。 システム管理者に最近どこにいたのかと尋ねると、「そうですね、今飛行機に乗っているところです」とのことでした。 私たちは「素晴らしいね」と言いました。 みてみましょう。 ああ、彼は現在 4 台のコンピューターを再プログラムしているところです。 つまり、彼は空を飛んでいるかもしれないが、世界最高のWi-Fiを持っているか、コンピューターに問題があるかのどちらかだ」とパーマー氏は語った。

Darktrace は通常、ユーザーにアプライアンス、つまり高機能に最適化された標準ハードウェアのボックスを提供します。 パフォーマンス、企業ネットワークを調査する機械学習アルゴリズムとベイジアン ソフトウェアの実行 渋滞。 収集されたネットワーク データのすべてから、最大 300 の異なる測定値を抽出しようとします。

こちらも参照

クラウド セキュリティ: 企業は依然として間違った問題について悩んでいますか?

今すぐ読む

「私たちが本当にやりたいことは、エッジではなくネットワーク内で、顧客のネットワーク トラフィックを可能な限り吸収することです。 これにより、全員がどのように相互に通信し、全員がデータセンターとどのように通信するのかがわかります」と彼は言いました。

「企業環境では非常に予測可能ですが、企業の IT を使用している場合はさらに予測可能です。 あなたではない誰かによって、標準的な方法で設定されます。 毎日の情報の使い方は人それぞれですが、時間が経っても大きく変わることはありません。」

したがって、個人は独自のパターンを持っていますが、同様の役割を果たす人々のグループにも属しており、共通の行動を共有しています。

「あなたの仕事が何であろうと、コールセンターで働いていても、営業マンであっても、弁護士であっても、裁判官であっても。 あなたは非常に特殊なパターンを共有しています」とパーマー氏は語った。

「あなたの行動には、さまざまな側面が大きく変化する可能性があります。 しかし、初めてあなたがシステム管理者のように振舞って他の人のコンピュータを変更したり、あなたのラップトップがあなたが使ったことのないソフトウェアを宣伝し始めたりしたときは、 以前は - 社内で誰も使用していませんでしたが、あなたの行動が変化し、組織のセキュリティ慣行に従わなくなった場合、それらは私たちが取り組んでいる合図です。 探している。"

個人の行動を記録することと、同様の仕事をしている人々のクラスの行動を記録することを組み合わせると、フラグを立てるのに役立ちます Darktrace テクノロジーが最初にトラフィックの監視を開始して以来、セキュリティの問題が存在していたとしても。

「数学的な観点から言えば、初期の頃は『このマシンはポーランドのこのサーバーに対して 1 日あたり 13,000 件のクエリを実行している』と思われるかもしれませんが、 そしてエミリーにとっては普通のことだが、後になって『エミリーは他の似た者たちとは根本的に違う』というヒントが得られることを知ることになる」とパーマー氏は語った。 言った。

このテクノロジーは、セキュリティ スタッフが調査すべき潜在的な問題を指摘します。

こちらも参照

Linux の重大なセキュリティ ホールである GHOST が明らかに

今すぐ読む

「私たちは、人間が最も重要だと信じているものに目を向けられるようにすることに全力を尽くしています。 これは、『この日付にエミリーのラップトップがこのマルウェアによって侵害され、これが何をしているか』という魔法の箱ではありません」と彼は語った。

「私たちはその行動を説明し、なぜ人や機械の行動が心配なのかを説明します。 私たちはそれを他のマシンや他の人々、そして彼らの過去の行動と何が変わったかという文脈に置きました。」

ダークトレースは、そのような変化を検出するために多くの数学的手法を使用します。 ベイジアン分析を採用して、すべて並行して実行される多くの数学および機械学習アルゴリズムを調整します。

「エミリーのモデルを 1 つ用意するのではなく、人間としてのエミリーに関連するモデルを少なくとも 6 ~ 7 つ用意し、各デバイスに関連するモデルはさらに多く用意するつもりです」とパーマー氏は述べました。

「ベイズとその信念モデリングの一部が[登場する]場合、これらの手法のどれが適切であるかを判断するための、よりスマートなフィルタリングではなく、完全に調停することはできません。」 ここでは仕事ができません。そして、たった今見つけた証拠に照らして、昨日知っていたことについての自分の仮定を再考したいですか、それとも 以前? ここで、機械学習に加えて、確率論のかなり多くの力が発揮されます。」

特権を持つ従業員のターゲット設定は非常に洗練され、巧妙である場合もありますが、その後に起こることは多くの場合そうではありません。

「率直に言って、ほとんどのことは非常に騒がしいです。 エミリーのマシンに初めて新しいソフトウェアが表示され、1,000 個をダウンロードしようとしたとき または 500 個のファイル、それが通常の不格好なマルウェアであり、たとえそれが標的になったものであっても、そのようなものです」と彼は言いました。 言った。

「私たちが取り組んだスピアフィッシングキャンペーンの 1 つで、管理者の秘書のコンピュータが侵害されました。 ファイル サーバーがどこにあるかを検出するのは非常に困難でした。 しかし、最終的にそれらを検出すると、会社全体のすべてのファイルを読み取り、対象物を探し、興味のある特別な単語やフレーズ、ファイル名を検索しました。」

なぜなら、特権的で潜在的に貴重なデータへのアクセスは、直接の境界を超えて人々に及ぶ可能性があるからです。 組織自体、Darktrace ネットワーク監視にはパートナー ビジネスの個人を含める必要がある場合があります。 外注業者。

「顧客が関心を持っている情報やシステムに誰が触れているかまで、私たちは徹底的に調査する必要があります。 当社の最大の顧客の 1 つは、世界中でアウトソーシングを行っています。 彼らはスコットランドにあると思っていたアウトソーシングをインドに行っていた。 インドだと思っていたアウトソーシングがスコットランドにあったのだ」とパーマー氏は語った。

「ここでは本物のカップ戦が行われている。 あなたが毎日会っているかもしれないその人は、同じ国出身で、あなたの言語を話し、文化的な絆を共有している、礼儀正しい人かもしれません。 それで仕事が終わるという意味ではありません。」

現在、東ヨーロッパではデータに関する高度な技術と機密性を備えた大量の作業が行われており、 インドでは開発、サービス、コールセンターが確立されているため、監視は非常に厳しくなる可能性があります。 広い。 特に、企業は機密データやシステムがどこにあるのかさえわからない可能性があるためです。

「企業はこのことを知りません。 これは当社の顧客ではありませんでしたが、最近別の会社の友人と話していて、彼らはデータセンターを訪れました。 CIOに代わっていくつかの検査を行ったところ、その会社が何年もそこにデータセンターを持っていないことが判明した」とパーマー氏は語った。

「CIOは彼らをその方向に派遣したが、彼らは何年もそこにいなかった。 それは違う国にありました。 郵便番号が違うだけではありませんでした。 クラウドの普及が進んでいる今では、それほどおかしなことではありません。 自分のものがある場所と従業員がいる場所の周りに輪を描くことができると想像していますか? ごみ。"

セキュリティの詳細

  • クリック詐欺の ZeroAccess ボットネットが灰の中から復活
  • ボーダフォン、企業向けの覗き見防止アプリを公開
  • AirWatch ユーザー指定入力セキュリティ ホールの詳細が明らかに
  • IT セキュリティ サポートのためにマネージド サービスに注目する企業
  • モノのインターネット: 政府は詳細な調査を開始
  • NSA、ファイブ・アイズ諜報機関が使用するスパイツールに関連した悪名高いReginマルウェア