CrowdStrikeは、「脅威ハンティングの最前線からの考察」を発表した。このレポートは、サイバー攻撃の侵入動向に関する報告書で、2018年上半期のサイバー脅威の傾向をまとめたもの。
これによると、テクノロジ、プロフェッショナルサービス、ホスピタリティの分野がサイバー攻撃の標的となる頻度が高いことが分かった。攻撃者は、さまざまな新しい戦術を用いて防御回避を試みるほか、WindowsのActive Directory Explorerを使い、ワンタイム認証情報をダンピングするなど、認証情報へのアクセスTTPなどを駆使してシステム侵入を試みている。攻撃を受ける頻度の高い業種・分野は、CrowdStrikeのマネージド脅威ハンティングチームが侵入を阻止した案件のうち、テクノロジが36%、プロフェッショナルサービスが17%、ホスピタリティが8%、政府・防衛が7%、NGO(非政府団体)が7%。
また同レポートは、中国による脅威の増加や、仮想通貨マイニングに関心を抱く電子犯罪者、バイオテクノロジ業界を標的とする攻撃などの増加を指摘している。
中国については、2018年上期に最も多くの脅威をもたらした国家が関与するサイバー攻撃の背景に、同国の存在があったとしている。中国の攻撃者がバイオテクノロジや防衛、採掘業、製薬、プロフェッショナルサービス、輸送など、複数の産業分野を標的とする侵入を試みたことが同社のデータから示されているという。また、ネット犯罪と国家が関与するサイバー攻撃の違いがあいまいになっていることも指摘されている。スキルが未熟なネット犯罪者と、洗練された国家犯罪グループが用いる手法の違いが少なくなってきており、スキルの低いネット犯罪者が、有名な国家による攻撃手法を模倣するトレンドは続いているという。
さらに仮想通貨マイニングについては、CrowdStrikeの提供する「CrowdStrike Falcon OverWatch」が、法律業界と保険業界などに対する特権アクセスの不正取得を試みたケースを特定している。攻撃者は、侵入成功後に仮想通貨のマイニングプログラムを起動させ、広範囲に及ぶマルウェアの感染などを引き起こすラテラルムーブメント(水平移動)によって、マイニングのためのリソースを掌握することを狙っているという。
CrowdStrikeは、こうした脅威に対して、侵入を検知し追跡する主要な指標指数「ブレイクアウトタイム」を活用することを提唱している。これは、攻撃者が初めに侵害したシステムからネットワーク内の他のシステムを侵害するまでの時間を示すもので、現在のブレイクアウトタイムは平均1時間58分となっている。約2時間以内に侵入を検知、調査、修復できれば、深刻な被害を受ける前に攻撃者を止めることができることを意味しており、脅威の検知に1分、脅威の調査に10分、脅威に対応・修復に60分という「1-10-60ルール」を組織は採用すべきだとしている。