Blog

Inside the SOC

3CXのサプライチェーン侵害: Darktraceが "Smooth Operator" を明るみに出した方法

Default blog imageDefault blog imageDefault blog imageDefault blog imageDefault blog imageDefault blog image
19
2023年6月
19
2023年6月
このブログでは、Darktraceが3CXのサプライチェーン侵害の事例をどのように検知したかについて説明します。これは、サプライチェーンの侵害が連鎖的に発生した最初の事例として知られています。CrowdStrikeやSentinelOneなどのセキュリティベンダーとの統合を活用し、Darktraceは同社の顧客基盤で3CXのサプライチェーン侵害の複数のケースを特定し防止することに成功しました。

2020年に世界中の何万もの組織に影響を与えたSolarWinds社におけるハッキングが発覚して以来、サプライチェーン侵害のリスクはセキュリティチームの頭の片隅にあり、事業の運営に重大な脅威を与え続けています。 

サプライチェーンの侵害は、組織の日常業務を中断させ、莫大な金銭的および風評的損害を与えるだけでなく、国全体の重要なインフラに影響を及ぼすなど、広範囲に影響を及ぼす可能性があります。そのため、組織には、こうした攻撃を可能な限り早い段階で特定し、阻止することができる効果的なセキュリティ対策が不可欠です。

2023年3月、3CX Desktopアプリケーションは、SentinelOneによって「SmoothOperator」と名付けられたサプライチェーン侵害の最新の被害者となりました。このアプリケーションは、世界中で60万社以上の企業で使用されており、顧客リストには、さまざまな業界の著名な顧客が含まれています [2]。3CX Desktopアプリケーションは、企業向けのVoIP(Voice over Internet Protocol)コミュニケーションソフトウェアで、チャット、ビデオ通話、音声通話が可能です [3]。WindowsとmacOSの両システム用の3CXインストーラは、情報窃取マルウェアの影響を受けていました。研究者は、AppleJeusとしても知られる財政的な動機のある北朝鮮のオペレーターに関連する、UNC 4736としても知られる脅威アクターが、サプライチェーンの侵害に関与していることを見分けることができました。  研究者はまた、Trading Technologies X_TRADERプラットフォームで先に発生した別のサプライチェーン侵害と関連付け、マルウェアを広範囲に配布しながらもオペレーターの利害を一致させるために使用された、初のカスケードソフトウェアによるサプライチェーン侵害として知られています [3]。3CXのソフトウェアは、CrowdStrike、SentinelOne、Palo Alto Networksといった複数のサイバーセキュリティベンダーによって悪意あるものとして検知されたとの報告が、この侵害事件後、顧客から寄せられています [6]。 

CrowdStrike や SentinelOne などの他のセキュリティベンダーとの統合を活用し、Darktrace DETECT™ は、2023年3月のキルチェーンの複数の段階で、顧客ベース全体で「SmoothOperator」による活動を特定することができました。Darktrace RESPOND™は、これらの新たな脅威に対して自律的に介入することができ、顧客のネットワークへの重大な混乱を防ぐことができました。 

サプライチェーンの連鎖的な攻撃が初めて確認された背景 

初期アクセス

2023年4月、セキュリティ研究者は、この話の最初の標的が3CXデスクトップアプリケーションではなく、Trading Technologies社のX_TRADERという別のソフトウェアアプリケーションであることを確認しました[3]。Trading Technologies社は、高性能の金融取引パッケージを提供するプロバイダーで、金融関係者が株式市場内の資産をより効率的に分析・取引できるようにしています。残念ながら、この組織のサプライチェーンには、すでに侵害が存在していました。2020年に引退したX_TRADERのインストーラーには、2022年10月に期限切れとなるコードサイニング証明書が残っていたのです。このコード署名証明書は、攻撃者に悪用され、悪意のあるソフトウェアにデジタル署名されていました [3]。 また、従業員が証明書の有効期限前にTrading Technologies社からX_TRADERソフトウェアのトロイの木馬化インストーラを無意識にダウンロードしたことが、不運にも3CXにつながりました [4]。このX_TRADERを介した3CXの侵害は、より広範な脅威ランドスケープの中で報告された、連鎖的なサプライチェーン攻撃の最初のケースでした。 

永続性と特権のエスカレーション 

3CXのDesktopAppインストーラは、実行ファイル(.exe)を実行した後、悪意のあるDLLをサイドロードするために使用される良質の実行ファイルと共に、2つのトロイの木馬化したデータリンクライブラリ(DLL)をダウンロードします。これらのDLLには、SIGFLIPとDAVESHELLが含まれており、どちらも一般に公開されているプロジェクトが使用されていました。このケースでは、DLLは、RC4キーを使用して復号化し、侵害されたシステムのメモリにペイロードをロードするために使用されました [3]。また、SIGFLIPとDAVESHELLは、VEILEDSIGNALという名前のモジュラーバックドアを抽出・復号化し、コマンド&コントロール(C2)設定も含んでいます。このマルウェアにより、北朝鮮の脅威オペレーターは、3CXの従業員のデバイスに対する管理者権限を得ることができました [3]。その後、従業員の企業認証情報にアクセスし、最終的に3CXのシステムへのアクセスにつながりました [4]。 

ラテラルムーブメントとC2活動

また、セキュリティ研究者は、3CX環境内で横方向に移動し、C2通信を可能にするために、サプライチェーン攻撃で主に利用された他のマルウェアファミリーを特定することができました [3]。これらのマルウェアファミリーについて以下に詳述します:

  • TaxHaul: 実行されるとシェルコードのペイロードが解読され、Mandiant社によりDLLの検索順序のハイジャックにより持続することが確認されている
  • Coldcat:複合型ダウンローダーで、C2インフラへのビーコンも兼ねている
  • PoolRat:システム情報を収集し、コマンドを実行します。これはmacOSシステムに影響を与えることが判明したマルウェアです。
  • IconicStealer:3CXシステムの第3段階ペイロードとして、データや情報を盗むために使用された

さらに、北朝鮮の脅威アクターであるLazarusが日常的に使用し、暗号通貨企業に対して典型的に使用されているGopuramというバックドアも、3CXの限られた数の顧客が侵害したシステムの第2段階のペイロードとして使用されていたことがKaspersky社によって早い段階で報告されています [5]。

Darktrace で観測された3CXの検知

Darktrace がセキュリティインテグレーションを通じて提携している主要な検知プラットフォームである CrowdStrike と SentinelOne は当初、2023 年 3 月に 3CXDesktopApp の顧客を標的としたキャンペーンと見られることを、それぞれのプラットフォームが確認したことを明らかにしています。 

この時、Darktrace もこの活動を観察し、顧客のネットワーク上の異常な挙動を警告していました [1][7]。Darktrace DETECTは、CrowdStrikeとSentinelOneの統合に関連したホストレベルのアラート、およびラテラルムーブメントとC2活動に関連したモデルの侵害を通じて、主にサプライチェーンの侵害に関連する活動を確認しました。 

Darktrace が検知した3CXサプライチェーンの侵害に関連する活動の一部は、3CXDesktopAppの実行ファイルとMicrosoft Software Installer (msi) ファイルのダウンロードを検知する統合モデルのみによって観察されており、侵害がエンドポイントデバイスで阻止された可能性を示唆しています。 

CrowdStrike integration model breach identifying 3CXDesktopApp[.]exe as possible malware
図1:2023年3月30日に3CXDesktopApp[.]exeをマルウェアの可能性があると特定したCrowdStrike統合モデルブリーチ
showcases the Model Breach Event Log for the CrowdStrike integration model breach
図2: 上図は、図1に示したCrowdStrikeの統合モデルブリーチのイベントログを示したもの

図3および図4で取り上げた別のケースでは、セキュリティプラットフォームが3CXを悪意のあるものとして関連付けました。これらの図では、デバイスが3CXDesktopApp実行ファイルをダウンロードし、その約1時間後にmsiファイルをダウンロードしていることが確認されています。この活動パターンは、3CXシステムに影響を与えたマルウェア「SmoothOperator」が、良性の実行ファイルと共に配信される悪意のあるDLLファイルのDLLサイドローディングによって永続化し、従来のセキュリティツールによる検知を困難にするという、報告されていた侵害プロセスと相関しています [2][3][7]。

このケースにおける活動は、DETECT 統合モデルである High Severity Integration Malware Detection によって検知され、その後、Darktrace RESPOND/Networkモデルである Antigena Significant Anomaly from Client Block によってブロックされ、Enforce Pattern of Life(通常の生活パターンを強制する)アクションが適用されて行われていた不正なダウンロードを阻止しました。Darktrace RESPONDはAIを駆使してあらゆる機器の通常の生活パターンを学び、自律的に行動してその通常の活動を強制します。このイベントにおいて、RESPOND は、デバイス上で行われていた悪意のあるダウンロードを阻止するだけでなく、デバイスがその通常の活動パターンから大きく逸脱することを許さないでしょう。

The Model Breach Event log for the device displays the moment in which the SentinelOne integration model breached for the 3CXDesktopApp.exe file
図3:デバイスのモデルブリーチイベントログには、3CXDesktopApp.exeファイルについてSentinelOne統合モデルがブリーチした瞬間と、その後、2023年3月29日にRESPOND の Antigena Significant Anomaly from Client Block というモデルがブリーチした瞬間が示されています
Another ‘High Severity Integration Malware Detection’ breached
図4:図3の同じデバイスについて、約1時間後に別のHigh Severity Integration Malware Detection(高重度統合マルウェア検知)が発生したのは、msiファイルである 3CXDesktopApp-18.12.416.msi が原因で、Darktrace RESPOND モデルである Antigena Significant Anomaly from Client Block も、2023年3月29日に発生しました

また、別のケースでは、Darktrace がファイル3CXDesktopApp-18.10.461.msi に対して異常なSMBドライブ書き込みを行うデバイスを検知しました。これは、DETECT のモデル SMB Drive Write に違反するものでした。このモデルは、デバイスがadmin$またはドライブ共有を使用してSMBプロトコルで通常通信しない別の内部デバイスにファイルの書き込みを開始した場合に検知されます。

This Model Breach Event log highlights the moment Darktrace captured the msi application file for the 3CXDesktopApp being transferred internally on this customer’s network
図5:このモデル侵害イベントログは、3CXDesktopAppのmsiアプリケーションファイルがこの顧客のネットワーク上で内部転送された瞬間をDarktrace が2023年3月28日にデバイスの新しい活動として検知したことを強調しています 

Darktrace によって観察された他のいくつかのケースでは、感染したデバイスから 3CX の侵害に関連するエンドポイントへの接続が検知されました。図6では、問題のデバイスがjournalide[.]orgというエンドポイントへの接続が検知されました。これは、自己署名証明書がマルウェアの通信に使用されることが多いため、正規の証明書に見えるように設計された自己署名SSL証明書を持つエンドポイントへの接続を探す「疑わしい自己署名SSL」というモデルに違反しています。

Model Breach Event log for connections to the 3CX C2 related endpoint
図6:3CX C2関連エンドポイントであるjournalide[.]orgへの接続のモデルブリーチイベントログ。これらの接続は2023年4月24日にSuspicious Self-Signed SSLのモデルに違反しました

別のDarktrace の顧客環境では、3CX の C2 エンドポイントである pbxphonenetwork[.]com が、3CX アプリケーションソフトウェアが悪質であるという報告があった頃に、すでに Watched Domains リストに追加されていました。Watched Domainsリストにより、Darktraceがネットワーク上のデバイスがこれらのドメインに接続した場合、より精査して検知し、ネットワーク上の脅威をさらに可視化するためのモデルを構築することができます。このケースのアクティビティは、Darktrace RESPOND のアクションである「89.45.67[.]160ポート443とポート443のpbxphonenetwork[.]comへの接続をブロック」によって検知され、その後ブロックされました。このデバイスは、その場で3CX C2エンドポイントに接続できないようにブロックしました(図7参照)。この活動はその後、RESPOND モデルである Antigena Watched Domain Block を侵害しました。 

図7:Darktrace RESPOND モデルである Antigena Watched Domain Block を侵害した端末に、2023年3月31日にアクション「ポート443の89.45.67[.]160とpbxphonenetwork[.]comへの接続ブロック」を適用した際の履歴ログ

Darktrace のカバレッジ 

CrowdStrikeやSentinelOneなど、Darktrace との統合を活用し、Darktraceは、図1、2、3、4に見られるように、CrowdStrikeやSentinelOneによって悪意のある3CX活動として識別された活動を検知し、対処することができました。このアクティビティは、以下のDarktrace DETECT のモデルに違反しました: 

  • Integration / CrowdStrike Alert
  • Security Integration / High Severity Integration Malware Detection

Darktrace はまた、図5に示されたケースのようなラテラルムーブメントも確認することができました:

  • Compliance / SMB Drive Write

最後に、3CXの侵害に関連する悪意のあるエンドポイントからのC2ビーコン活動も、図6に見られるような形で検知されました。この活動は、以下のDarktrace DETECT モデルに違反しました:

  • Anomalous Connection / Suspicious Self-Signed SSL

Darktrace RESPOND が自律遮断モードで設定されているお客様では、図3、4、7に見られるように、Darktrace RESPOND のモデルも3CXサプライチェーンの侵害に関連するアクティビティに違反しています。以下は、違反したモデルおよび適用された自律的アクションです:

  • Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block, “Enforce pattern of life”
  • Antigena / Network / External Threat / Antigena Watched Domain Block, “Block connections to 89.45.67[.]160 port 443 and pbxphonenetwork[.]com on port 443”

結論 

サプライチェーンの連鎖的な侵害は、3CXにとっては不運な出来事でしたが、UNC 4736の北朝鮮脅威勢力にとっては好都合な出来事でした。この「SmoothOperator」の侵害は、CrowdStrikeなどのエンドポイントセキュリティプラットフォームによって検知されました。CrowdStrikeは、3CX DesktopAppサプライチェーンの侵害に関連する悪質な活動を報告した最初のプラットフォームの1つとなり、この発見の端緒となりました。  

当時はまだ斬新で、侵害の指標がほとんど報告されていませんでしたが、Darktrace は顧客ベース全体で3CXの侵害に関連する活動を把握・特定し、自律的に対応することができました。Darktrace はCrowdStrikeおよびSentinelOneとのセキュリティ統合を強化し、異常ベースのモデルブリーチを介して、3CXサプライチェーンの侵害キルチェーンのさまざまな部分で活動をハイライトすることによって独自の洞察を提供することができます。「SmoothOperator」サプライチェーン攻撃は、DETECT とRESPOND を含むDarktrace 製品群が、新手の脅威を特定し、遮断するために自律的に行動できるだけでなく、セキュリティインテグレーションによって介入をさらに増幅し、顧客ネットワークのサイバー破壊を防止できることを証明しています。 

寄稿者:Nahisha Nobregas(SOCアナリスト) 、Trent Kessler(SOCアナリスト)

付録

MITRE ATT&CK フレームワーク

リソース開発

  • T1588 Obtain Capabilities  
  • T1588.004 Digital Certificates
  • T1608 Stage Capabilities  
  • T1608.003 Install Digital Certificate

初期アクセス

  • T1190 Exploit Public-Facing Application
  • T1195 Supply Chain Compromise  
  • T1195.002 Compromise Software Supply Chain

持続性

  • T1574 Hijack Execution Flow
  • T1574.002 DLL Side-Loading

特権昇格

  • T1055 Process Injection
  • T1574 Hijack Execution Flow  
  • T1574.002 DLL Side-Loading

コマンド&コントロール

  • T1071 Application Layer Protocol
  • T1071.001 Web Protocols
  • T1071.004 DNS  
  • T1105 Ingress Tool Transfer
  • T1573 Encrypted Channel

IoC一覧

C2ホスト名

  • journalide[.]org
  • pbxphonenetwork[.]com

C2のIPアドレスの可能性

  • 89.45.67[.]160

参考文献

  1. https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers/
  2. https://www.bleepingcomputer.com/news/security/3cx-confirms-north-korean-hackers-behind-supply-chain-attack/
  3. https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise
  4. https://www.securityweek.com/cascading-supply-chain-attack-3cx-hacked-after-employee-downloaded-trojanized-app/
  5. https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/
  6. https://www.bleepingcomputer.com/news/security/3cx-hack-caused-by-trading-software-supply-chain-attack/
  7. https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/
INSIDE THE SOC
Darktrace cyber analysts are world-class experts in threat intelligence, threat hunting and incident response, and provide 24/7 SOC support to thousands of Darktrace customers around the globe. Inside the SOC is exclusively authored by these experts, providing analysis of cyber incidents and threat trends, based on real-world experience in the field.
AUTHOR
ABOUT ThE AUTHOR
Nahisha Nobregas
SOC Analyst
Book a 1-1 meeting with one of our experts
この記事を共有
COre coverage

More in this series

該当する項目はありません。

Blog

Eメール

Looking Beyond Secure Email Gateways with the Latest Innovations to Darktrace/Email

Default blog imageDefault blog image
09
Apr 2024

Organizations Should Demand More from their Email Security

In response to a more intricate threat landscape, organizations should view email security as a critical component of their defense-in-depth strategy, rather than defending the inbox alone with a traditional Secure Email Gateway (SEG). Organizations need more than a traditional gateway – that doubles, instead of replaces, the capabilities provided by native security vendor – and require an equally granular degree of analysis across all messaging, including inbound, outbound, and lateral mail, plus Teams messages.  

Darktrace/Email is the industry’s most advanced cloud email security, powered by Self-Learning AI. It combines AI techniques to exceed the accuracy and efficiency of leading security solutions, and is the only security built to elevate, not duplicate, native email security.  

With its largest update ever, Darktrace/Email introduces the following innovations, finally allowing security teams to look beyond secure email gateways with autonomous AI:

  • AI-augmented data loss prevention to stop the entire spectrum of outbound mail threats
  • an easy way to deploy DMARC quickly with AI
  • major enhancements to streamline SOC workflows and increase the detection of sophisticated phishing links
  • expansion of Darktrace’s leading AI prevention to lateral mail, account compromise and Microsoft Teams

What’s New with Darktrace/Email  

Data Loss Prevention  

Block the entire spectrum of outbound mail threats with advanced data loss prevention that builds on tags in native email to stop unknown, accidental, and malicious data loss

Darktrace understands normal at individual user, group and organization level with a proven AI that detects abnormal user behavior and dynamic content changes. Using this understanding, Darktrace/Email actions outbound emails to stop unknown, accidental and malicious data loss.  

Traditional DLP solutions only take into account classified data, which relies on the manual input of labelling each data piece, or creating rules to catch pattern matches that try to stop data of certain types leaving the organization. But in today’s world of constantly changing data, regular expression and fingerprinting detection are no longer enough.

  • Human error – Because it understands normal for every user, Darktrace/Email can recognize cases of misdirected emails. Even if the data is correctly labelled or insensitive, Darktrace recognizes when the context in which it is being sent could be a case of data loss and warns the user.  
  • Unclassified data – Whereas traditional DLP solutions can only take action on classified data, Darktrace analyzes the range of data that is either pending labels or can’t be labeled with typical capabilities due to its understanding of the content and context of every email.  
  • Insider threat – If a malicious actor has compromised an account, data exfiltration may still be attempted on encrypted, intellectual property, or other forms of unlabelled data to avoid detection. Darktrace analyses user behaviour to catch cases of unusual data exfiltration from individual accounts.

And classification efforts already in place aren’t wasted – Darktrace/Email extends Microsoft Purview policies and sensitivity labels to avoid duplicate workflows for the security team, combining the best of both approaches to ensure organizations maintain control and visibility over their data.

End User and Security Workflows

Achieve more than 60% improvement in the quality of end-user phishing reports and detection of sophisticated malicious weblinks1

Darktrace/Email improves end-user reporting from the ground up to save security team resource. Employees will always be on the front line of email security – while other solutions assume that end-user reporting is automatically of poor quality, Darktrace prioritizes improving users’ security awareness to increase the quality of end-user reporting from day one.  

Users are empowered to assess and report suspicious activity with contextual banners and Cyber AI Analyst generated narratives for potentially suspicious emails, resulting in 60% fewer benign emails reported.  

Out of the higher-quality emails that end up being reported, the next step is to reduce the amount of emails that reach the SOC. Darktrace/Email’s Mailbox Security Assistant automates their triage with secondary analysis combining additional behavioral signals – using x20 more metrics than previously – with advanced link analysis to detect 70% more sophisticated malicious phishing links.2 This directly alleviates the burden of manual triage for security analysts.

For the emails that are received by the SOC, Darktrace/Email uses automation to reduce time spent investigating per incident. With live inbox view, security teams gain access to a centralized platform that combines intuitive search capabilities, Cyber AI Analyst reports, and mobile application access. Analysts can take remediation actions from within Darktrace/Email, eliminating console hopping and accelerating incident response.

Darktrace takes a user-focused and business-centric approach to email security, in contrast to the attack-centric rules and signatures approach of secure email gateways

Microsoft Teams

Detect threats within your Teams environment such as account compromise, phishing, malware and data loss

Around 83% of Fortune 500 companies rely on Microsoft Office products and services, particularly Teams and SharePoint.3

Darktrace now leverages the same behavioral AI techniques for Microsoft customers across 365 and Teams, allowing organizations to detect threats and signals of account compromise within their Teams environment including social engineering, malware and data loss.  

The primary use case for Microsoft Teams protection is as a potential entry vector. While messaging has traditionally been internal only, as organizations open up it is becoming an entry vector which needs to be treated with the same level of caution as email. That’s why we’re bringing our proven AI approach to Microsoft Teams, that understands the user behind the message.  

Anomalous messaging behavior is also a highly relevant indicator of whether a user has been compromised. Unlike other solutions that analyze Microsoft Teams content which focus on payloads, Darktrace goes beyond basic link and sandbox analysis and looks at actual user behavior from both a content and context perspective. This linguistic understanding isn’t bound by the requirement to match a signature to a malicious payload, rather it looks at the context in which the message has been delivered. From this analysis, Darktrace can spot the early symptoms of account compromise such as early-stage social engineering before a payload is delivered.

Lateral Mail Analysis

Detect and respond to internal mailflow with multi-layered AI to prevent account takeover, lateral phishing and data leaks

The industry’s most robust account takeover protection now prevents lateral mail account compromise. Darktrace has always looked at internal mail to inform inbound and outbound decisions, but will now elevate suspicious lateral mail behaviour using the same AI techniques for inbound, outbound and Teams analysis.

Darktrace integrates signals from across the entire mailflow and communication patterns to determine symptoms of account compromise, now including lateral mailflow

Unlike other solutions which only analyze payloads, Darktrace analyzes a whole range of signals to catch lateral movement before a payload is delivered. Contributing yet another layer to the AI behavioral profile for each user, security teams can now use signals from lateral mail to spot the early symptoms of account takeover and take autonomous actions to prevent further compromise.

DMARC

Gain in-depth visibility and control of 3rd parties using your domain with an industry-first AI-assisted DMARC

Darktrace has created the easiest path to brand protection and compliance with the new Darktrace/DMARC. This new capability continuously stops spoofing and phishing from the enterprise domain, while automatically enhancing email security and reducing the attack surface.

Darktrace/DMARC helps to upskill businesses by providing step by step guidance and automated record suggestions provide a clear, efficient road to enforcement. It allows organizations to quickly achieve compliance with requirements from Google, Yahoo, and others, to ensure that their emails are reaching mailboxes.  

Meanwhile, Darktrace/DMARC helps to reduce the overall attack surface by providing visibility over shadow-IT and third-party vendors sending on behalf of an organization’s brand, while informing recipients when emails from their domains are sent from un-authenticated DMARC source.

Darktrace/DMARC integrates with the wider Darktrace product platform, sharing insights to help further secure your business across Email Attack Path and Attack Surface management.

結論

To learn more about the new innovations to Darktrace/Email download the solution brief here.

All of the new updates to Darktrace/Email sit within the new Darktrace ActiveAI Security Platform, creating a feedback loop between email security and the rest of the digital estate for better protection. Click to read more about the Darktrace ActiveAI Security Platform or to hear about the latest innovations to Darktrace/OT, the most comprehensive prevention, detection, and response solution purpose built for critical infrastructures.  

Learn about the intersection of cyber and AI by downloading the State of AI Cyber Security 2024 report to discover global findings that may surprise you, insights from security leaders, and recommendations for addressing today’s top challenges that you may face, too.

参考文献

[1] Internal Darktrace Research

[2] Internal Darktrace Research

[3] Essential Microsoft Office Statistics in 2024

続きを読む
著者について
Carlos Gray
Product Manager

Blog

該当する項目はありません。

Managing Risk Beyond CVE Scores With the Latest Innovations to Darktrace/OT

Default blog imageDefault blog image
09
Apr 2024

Identifying Cyber Risk in Industrial Organizations

Compromised OT devices in ICS and SCADA environments pose significant physical risks, even endangering lives. However, identifying CVEs in the multitude of complex OT devices is labor-intensive and time-consuming, draining valuable resources.

Even after identifying a vulnerability, implementing a patch presents its own challenges limited maintenance windows and the need for uninterrupted operations strain IT and OT teams often leading organizations to prioritize availability over security leading vulnerabilities remaining unresolved for over 5 years on average. (1)

Darktrace’s New Innovation

Darktrace is an industry leader in cybersecurity with 10+ years of experience securing OT environments where we take a fundamentally different approach using Self-Learning AI to enhance threat detection and response.

Continuing to combat the expanding threat landscape, Darktrace is excited to announce new capabilities that enable a contextualized and proactive approach to managing cyber risk at industrial organizations.

Today we launch an innovation to our OT Cybersecurity solution, Darktrace/OT, that will add a layer of proactivity, enabling a comprehensive approach to risk management. This industry leading innovation for Darktrace/OT moves beyond CVE scores to redefine vulnerability management for critical infrastructure, tackling the full breadth of risks not limited by traditional controls.  

Darktrace/OT is the only OT security solution with comprehensive Risk Management which includes:

  • Contextualized risk analysis unique to your organization
  • The most realistic evaluation and prioritization of OT risk
  • Effectively mitigate risk across your OT infrastructure, with and without patching.
  • The only OT security solution that evaluates your defenses against Advanced Persistent Threat (APT) Groups.

The most comprehensive prevention, detection, and response solution purpose built for Critical Infrastructures

Darktrace’s Self-Learning AI technology is a cutting-edge innovation that implements real time prevention, detection, response, and recovery for operational technologies and enables a fundamental shift from the traditional approach to cyber defense by learning a ‘pattern of life’ for every network, device, and user.  

Rather than relying on knowledge of past attacks, AI technology learns what is ‘normal’ for its environment, discovering previously unknown threats by detecting subtle shifts in behavior. Through identifying these unexpected anomalies, security teams can investigate novel attacks, discover blind spots, have live time visibility across all their physical and digital assets, and reduce time to detect, respond to, and triage security events.  

  • Achieve greater visibility of OT and IT devices across all levels of the Purdue Model.
  • The industry's only OT security to scale threat detection and response, with a 92% time saving from triage to recovery.  
  • The only OT focused security solution to provide bespoke Risk Management.

To learn more about how Darktrace/OT approaches unique use cases for industrial organizations visit the Darktrace/OT Webpage or join us LIVE at a city near you.

Read more below to discover how new innovations to Darktrace/OT are bringing a new, contextualized approach to Risk Management for Industrial organizations.

For more information on the entire Darktrace/OT Solution read our solution brief here.

Darktrace/OT and New Risk Management

Risk Identification

Leveraging the visibility of Darktrace/OT which identifies individual systems throughout the Purdue Model and the relationship between them, Darktrace/OT identifies high-risk CVEs and presents potential attack routes that go beyond techniques requiring a known exploit, such as misuse of legitimate services. Each attack path will have a mathematical evaluation of difficulty and impact from initial access to the high value objectives.  

Together this gives comprehensive coverage over your real and potential risks from both an attacker and known vulnerability perspectives. OT attack paths as seen here even leverage insights between the industrial and corporate communications to reveal ways threat actors may take advantage of IT-OT convergence. This revelation of imperceptible risks fills gaps in traditional risk analysis like remote access and insider threats.

Figure 1: Darktrace/OT visualizing the most critical attack paths at an organization
Figure 1: Darktrace/OT visualizing the most critical attack paths at an organization
Figure 2: A specific Attack Path identified by Darktrace/OT

Risk Prioritization

Darktrace/OT prioritizes remediations and mitigations based on difficulty and damage to your unique organization, using the established Attack Paths.

We ascertain the priorities that apply to your organization beyond pure theoretical damage answering questions like:

  • How difficult is a particular vulnerability to exploit considering the steps an attacker would require to reach it?
  • And, how significant would the impact be if it was exploited within this particular network?

This expanded approach to risk prioritization has a much more comprehensive evaluation of your organization's unique risk than has ever been possible before. Traditional approaches of ranking only known vulnerabilities with isolated scores using CVSS and exploitability metrics, often leaves gaps in IT-OT risks and is blind to legitimate service exploitation.

Figure 3: Darktrace/OT leverages its contextual understand of the organization’s network to prioritize remediation that will have the positive impact on the risk score

Darktrace provides mitigation strategies associated with each identified risk and the relevant impact it has on your overall risk posture, across all MITRE ATT&CK techniques.

What sets Darktrace apart is our ability to contextualize these mitigations within the broader business. When patching vulnerabilities directly isn’t possible, Darktrace identifies alternative actions that harden attack paths leading to critical assets. Hardening the surrounding attack path increases the difficulty and therefore reduces the likelihood and impact of a breach.

That means unpatched vulnerabilities and vulnerable devices aren’t left unprotected. This also has an added bonus, those hardening techniques work for all devices in that network segment, so apply one change, secure many.

Figure 4: Darktrace prioritizes mitigation reducing accessibility of vulnerability and the overall risk score when patches aren’t available

Communicate Board Level Risk with APT Threat Mapping

Darktrace/OT bridges theory and practice as the only security solution that maps MITRE techniques, frequently used by APT Groups, onto AI-assessed critical Attack Paths. This unique solution provides unparalleled insights including sector and location intelligence, possible operating platforms, common techniques, exploited CVEs, and the number of potential devices affected in your environment, supporting holistic risk assessment and proactive defense measures.

Ultimately, this becomes a power dashboard to communicate board level risk, using both metric based evidence and industry standard threat mapping.

結論

Darktrace/OT is part of the Darktrace ActiveAI Security Platform a native, holistic, AI-driven platform built on over ten years of AI research. It helps security teams shift to more a productive mode, finding the known and the unknown attacks and transforming the SOC with the various Darktrace products to drive efficiency gains. It does this across the whole incident lifecycle to lower risk, reduce time spent on active incidents, and drive return on investment.

Discover more about Darktrace's ever-strengthening platform with the upcoming changes coming to our Darktrace/Email product and other launch day blogs.

Join Darktrace LIVE half-day event to understand the reality versus the hype surrounding AI and how to achieve cyber resilience.

Learn about the intersection of cyber and AI by downloading the State of AI Cyber Security 2024 report to discover global findings that may surprise you, insights from security leaders, and recommendations for addressing today’s top challenges that you may face, too.  

参考文献

1. https://research-information.bris.ac.uk/ws/portalfiles/portal/313646831/Catch_Me_if_You_Can.pdf

続きを読む
著者について
Mitchell Bezzina
VP, Product and Solutions Marketing
Our ai. Your data.

Elevate your cyber defenses with Darktrace AI

無償トライアルを開始
Darktrace AI protecting a business from cyber threats.