ロシア・ウクライナのサイバー活動によりサイバーセキュリティのベストプラクティス見直しは不可避に

By 
Mar 29, 2022
1 minutes
... views
Must-Read Articles
Next-Generation Firewalls
Products and Services
Public Sector
Zero Trust Security
視点
best practices
Cortex XDR
Incident Response
Phishing
Russia
Spear Phishing
threat prevention
Ukraine
Unit 42
URL filtering
WildFire

ホワイトハウス米国サイバーセキュリティ・インフラストラクチャ安全保障局(CISA)は最近、「ロシアが米国、NATO加盟国、ウクライナを支援する同盟国の組織に対し、破壊的なサイバー攻撃を行う可能性がある」と警告しました。

Unit 42でもここ1ヶ月、ウクライナで発生している関連サイバー攻撃を文書化してきました。米国当局がインテリジェンスの進展にともなう破壊的サイバー攻撃の可能性を示唆したことから、すべての組織ができるだけ早く、サイバーセキュリティポリシーとインシデント対応計画を見直し、セキュリティ体制を強化することが重要であると考えられます。

以下は、組織が今すぐ保護対策を講じるための推奨事項と、長期的に継続して実施するサイバー衛生のベストプラクティスです。

組織のニーズと潜在的なサイバーリスクのバランスを取るにはどうすればよいかを検討する必要があります。ビジネスの中断を避けるとともに、組織の警戒態勢や回復力を高めるため、セキュリティツールやセキュリティ慣行を取り入れることが重要です。そうすることが、報復的サイバー攻撃の可能性を回避し、その他の攻撃活動を防止することにつながります。

フィッシング攻撃

フィッシングやスピアフィッシングでは、脅威アクターが話題性のあるイベントを話題や誘い水に利用することが多く、Unit 42でも、ウクライナでの軍事行動が始まるまでの間に、マルウェア配布のためにウクライナの組織に対してスピアフィッシング攻撃が行われていた様子を観測しています。

防御増強のために今すぐできること

  1. URLフィルタリングのベストプラクティスに従う。 いくつか例を挙げます。
    1. すべての悪意のあるカテゴリをブロックし、Threat Adjacentカテゴリ(既知の脅威が利用するツールや手法に関連するカテゴリ。ダイナミックDNS、グレイウェア、ハッキングなど)を警告するか、ブロックするよう検討する。
    2. ゼロ号患者」となる悪質なURLに対し、インラインで高度なURLフィルタリングを行う保護への切り替えや有効化を検討する。
    3. DNSセキュリティのサブスクリプションを使用する。
    4. WildFireのURL解析を利用する。最近の攻撃は多段階で行われるため。
  2. 脅威防御サブスクリプションを有効にしている場合はプロファイルを作成してシグネチャを有効にしていることを確認する。
  3. フィッシングへの防御を強化する。
    1. ファイアウォールでのURLフィルタリングを有効にする。
    2. Microsoft Office のマクロを無効にする。
    3. 不審なメール、SMS、偽の支援サイトを見分けるための従業員教育を行う。
    4. レベル6~8を目標としてCASMMなどのパスワードセキュリティのベストプラクティスに従うとともに、多要素認証(MFA)を導入する。
    5. ファイアウォールにCredential Phishing Prevention(認証情報フィッシング防止)を設定し、認証情報が本来使用されるべきでない場所で使用されるのを防ぐ。
    6. 送信者やドメインに見覚えがない場合、とくにその人からのメッセージを受け取ることを予定していない場合は、疑わしい電子メールやファイル、リンク、プログラムを開いたり、クリックしたり、実行したりしない。認証情報を入力する前にいったん落ち着いて、表示されているのが本当に自分の意図しているページかどうかを確認するとよい。唐突に多要素認証(MFA)の画面がポップアップしてきたときは細心の注意を払う。自分のログイン試行であることが確認できない場合はMFAの許可をクリックしない。
  4. すべてのソフトウェアを最新の状態に保つ。インターネットに面したサービスにはすべて早急にパッチを適用する。攻撃者は日和見主義なので、組織のシステムへのアクセスを可能にする方法があればそれが何であれ利用される。開発ライフサイクル全般についてアップデートを慎重に継続して行うことも重要(たとえば隔離された開発環境でまずテストするなど)。これにより、アップデートにサボタージュが含まれないようにし、意図しない動作をしないようにする。(最近の例ではnode-ipcパッケージのアップデートに、ウクライナ・ロシア紛争に抗議する目的で、意図しない動作をするモジュールが含まれていたことがある)。アップデートは公式サイトからのみインストールする。ソフトウェア監査を実施し、使用しなくなったソフトウェアや信頼できないソフトウェアを削除することでサプライチェーン攻撃リスクを緩和する。
  5. Cortex XDRを使用している場合は最新のエージェントバージョンとコンテンツに更新する。ロシア・ウクライナ間のサイバー活動に対するCortex XDRの保護については最近の記事を参照のこと
  6. ネットワーク上のユーザー権限を制限する。アクセス制限最小権限の原則に基づいて行い、潜在的影響を緩和する。ネットワーク上の重要なシステムが隔離されていることを確認する。クラウド環境では人間も人間以外も含めたすべてのIDのエンタイトルメントを評価する。
  7. ドメインのグループポリシー設定を確認する。疑わしいポリシーや古くなったポリシーがないことを確認する。
  8. ただちにバックアップに時間とリソースを投資する。ワイパーランサムウェアは増加傾向にあり、クラウド上のデータすら暗号化できる。バックアップがないことよりまずいのは、肝心のバックアップが動かないことだけなので、バックアップの復元テストの時間を作ること。(クラウド上のバックアップも含め)バックアップの暗号化を検討する。
  9. インシデント対応と事業継続計画のレビューを行う。そのシナリオに破壊的性質のものは含めてあるのか、指揮系統は最新かを確認。
  10. リテーナを準備する。インシデント対応、外部専門家による助言、危機管理広報チームを依頼するためのリテーナの交渉を事前に済ませておき、いざインシデントが発生したときに不意をつかれないようにする。すでにリテーナがある場合は、リテーナ提供業者に連絡し、警戒態勢が強化されたことを通知する。

長期的なサイバー衛生のベストプラクティス

サイバーセキュリティ態勢強化、防御増強のための提案事項を以下に示します。

  1. 中小企業はクラウドソリューションへ移行を: クラウドにおけるサイバーセキュリティベストプラクティスに従い、DDoS対策でWebサイトを保護する。
  2. ゼロトラストアプローチを採用して組織のセキュリティを確保する。
  3. 仕事とプライベートで同じノートパソコンやスマートフォンを使わない
  4. 自社ネットワークで定期的なペネトレーションテスト(レッドチーム演習)をスケジューリングする。
  5. フェイルオーバーサイト、バックアップ復元、人員不足への対応、ナレッジトランスファーなど、緊急時対応計画をテストする。
  6. すべてのソフトウェアのアップデートを継続し、ソフトウェアのバージョン、パッチ、最後に適用されたアップデートのログを保持する。
  7. 基本的セキュリティ慣行についての社員教育の継続。たとえばフィッシングメールによる社員テストの実施。
  8. ソースコードのセキュリティ、データの暗号化、ペネトレーションテストなど、新しい製品やプロジェクトには最初からセキュリティを組み込んでおく。

今はサイバーセキュリティのベストプラクティスに従うとき

今はパニックになるのではなく、警戒を強め、確かな脅威に対する認識を高める時期です。それはつまり、セキュリティポリシーを見直し、緊急時対応計画の演習を行い、組織や業界に対する潜在的脅威を認識すべき時期です。私たちにできることはこれから起こるかもしれないことに備えることで、そこに至るには実践を重ねておかねばなりません。

追加リソース

DDoS、HermicWiper、Gamaredon、Webサイト改ざんなどロシア・ウクライナ問題関連のサイバー攻撃へ備えを

2022-03-30 11:30 JST 英語版更新日 2022-03-29 13:00 PDT の内容で初版公開

Related Blogs

Our library of online content is here to help you learn more, no matter what format you prefer or which topic interests you most.

Must-Read Articles, 視点

歴史に学ぶ―Unit 42による2022年の10大サイバーセキュリティ報告

Announcement, Must-Read Articles, Products and Services

現在のサイバー脅威: ランサムウェア、BECによる混乱が継続

Announcement, 視点

パロアルトネットワークスの提供するApache Log4jからの包括的保護

Cloud Network Security, Cloud Security, Cybersecurity, Products and Services, 視点

クラウドネイティブ サービスのシンプルさで高度なセキュリティ機能を実現: Cloud NGFW for AWS

Announcement, Must-Read Articles, News and Events, Products and Services

Forrester Wave™でUnit 42のIRサービスが「優良ベンダー」評価

Announcement, Must-Read Articles, News and Events, Products and Services

Unit 42、クラウド インシデント レスポンス サービスを強化

Russia-Ukraine Cyber Activity Makes Security Best Practices Imperative

By 
Mar 29, 2022
5 minutes
... views
Must-Read Articles
Next-Generation Firewalls
Points of View
Products and Services
Public Sector
Zero Trust Security
best practices
Cortex XDR
Incident Response
Phishing
Russia
Spear Phishing
threat prevention
Ukraine
Unit 42
URL filtering
WildFire

The White House and U.S. Cybersecurity and Infrastructure Security Agency (CISA) have recently warned that Russia could launch disruptive cyberattacks against organizations in the U.S., NATO member countries and allies that support Ukraine.

Unit 42 has documented related cyberattacks in Ukraine over the past month. Given that U.S. officials note that evolving intelligence points to potentially destructive cyberattacks, we feel it is essential to encourage all organizations, as soon as possible, to review your cybersecurity policies and incident response plans, as well as to enhance your security posture.

Below are recommendations that organizations can quickly employ to put protections in place now, as well as some long-term ongoing cyber hygiene best practices.

You should consider how best to balance the needs of your organization with the potential cyber risk. It’s important to avoid interruptions to your business while also implementing security tools and practices to improve your organization’s vigilance and resilience. This can help head off the possibility of retaliatory cyberattacks, as well as help prevent any other attack activity that may be taking place.

 

Phishing Attacks

It's very common that newsworthy events are leveraged by threat actors as topics and lures in phishing and spear-phishing attacks. Leading up to the military action commencing in Ukraine, Unit 42 saw spear-phishing attacks against Ukraine organizations to deliver malware.

 

What You Can Quickly Do Now to Harden Your Defenses

  1. Follow best practices for URL Filtering. Some examples:
    1. Block all malicious categories and alert or consider blocking threat-adjacent categories.
    2. Consider switching to or enabling inline Advanced URL Filtering protection against "patient zero" malicious URLs.
    3. Use the DNS Security subscription.
    4. Use WildFire URL analysis as modern attacks are multi-step.
  2. If subscribing to Threat Prevention, make sure to create a profile and enable the signatures.
  3. Strengthen phishing defenses.
    1. Enable URL filtering on firewalls.
    2. Disable Microsoft Office macros.
    3. Train employees to spot suspicious emails, texts and fake aid websites.
    4. Follow best practices for password security, such as CASMM with a goal to reach level 6-8, and implement multi-factor authentication (MFA).
    5. Set up Credential Phishing Prevention on your firewall to prevent credentials being used where they shouldn't.
    6. Don’t open, click or run suspicious emails, files, links or programs when you do not recognize the sender or the domain – especially when you were not anticipating receiving the message. Before entering credentials, it’s a good idea to pause and check that you’re on the page you intended to visit. Pay close attention to random MFA popups, and when you do not recognize a login attempt, do not click “allow MFA.”
  4. Keep all software up to date. Apply patches on any internet-facing services ASAP. Attackers are opportunistic and will leverage whatever they can to gain access to your systems. It is also important to update carefully and across the development lifecycle, i.e., test first in an isolated development environment. Doing so ensures that the updates are free from sabotage or unintended behaviors. (In one recent example, updates for the node-ipc package included modules that had unintended behaviors intended to protest the Ukraine and Russia conflict.) Whenever installing updates, do so from official websites only. Perform a software audit and remove software that you no longer use or can’t trust as this reduces the risk of supply-chain attacks.
  5. If you’re using Cortex XDR, update to the latest agent version and content. Also, see our recent post on Cortex XDR protections against Russia-Ukraine cyber activity.
  6. Limit and restrict user privileges on your network. Limit access using least-privilege principles to reduce any potential impact. Ensure critical systems on the network are isolated. For cloud environments, evaluate entitlements for all human and non-human identities.
  7. Review group policy settings for your domain. Ensure there are no suspicious or stale policies.
  8. Invest time and resources in backups now. Wipers and ransomware are on the rise and can encrypt your data even in the cloud. The only thing worse than no backup is a backup that doesn’t work. Make time to test restoring your backups. Consider encrypting backups, even those in the cloud.
  9. Review incident response and business continuity plans. Do your scenarios include those that are destructive in nature? Is your chain of command current?
  10. Have retainers in place. Have retainers for incident response, outside counsel and crisis communications teams negotiated in advance, so you are not caught off guard if an incident occurs. Have them already? Check in with your retainer vendors and advise them of heightened alert status.

 

Long-term Cyber Hygiene Best Practices

Here are a few suggestions to strengthen your cybersecurity posture and harden your defenses:

  1. Migrate to cloud solutions for small businesses: Follow cybersecurity best practices in the cloud and protect websites with anti-DDoS protection.
  2. Adopt a Zero Trust approach to securing your organization.
  3. Avoid using the same laptop/smartphone for work and personal needs.
  4. Schedule routine pen-testing (red teaming) of your networks.
  5. Test disaster contingency plans including those involving failover sites, restoring backups, handling staff shortages, ensuring knowledge transfer, etc.
  6. Continue to update all software and maintain logs of software versions, patches, and last updates applied.
  7. Continue to train staff on basic security practices – test staff with phishing emails.
  8. Embed security from the start for any new products and projects, including source code security, data encryption, pen testing, etc.

 

The Time to Follow Cybersecurity Best Practices Is Now

This isn’t a time to panic, but it is a time of heightened alert and awareness of credible threats, which is exactly when we should all be reviewing security policies, exercising contingency plans and being aware of potential threats against our organizations and industries. The best we can do is to position ourselves for what might come, and this is achieved by practicing.

 

Additional Resources

Russia-Ukraine Cyberattacks: How to Protect Against Related Cyberthreats Including DDoS, Hermetic Wiper, Gamaredon and Website Defacement

Updated March 29, 2022, at 1 p.m. PT.

Related Blogs

Our library of online content is here to help you learn more, no matter what format you prefer or which topic interests you most.

Must-Read Articles, Points of View

Learning From the Past — Ten 2022 Cybersecurity Events to Know

Announcement, Must-Read Articles, Products and Services

Today’s Cyberthreats: Ransomware, BEC Continue to Disrupt

Announcement, Points of View

The Palo Alto Networks Full-Court Defense for Apache Log4j

Must-Read Articles, Points of View, Products and Services

The Dark Side of AI in Cybersecurity — AI-Generated Malware

Announcement, Company & Culture, Points of View, Products and Services

More on the PAN-OS CVE-2024-3400

Points of View, Products and Services, Public Sector

Cybersecurity Guidelines for New Governors

Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.

Get the latest news, invites to events, and threat alerts