ビュー:

Attack Path Predictionが攻撃経路を悪用される前に検出する方法を学びましょう。

Attack Path Predictionは、脅威の検出、行動分析、脆弱性および誤設定のスキャン、アセットの関係およびプロファイル分析を使用して、潜在的な攻撃経路を予測します。Cyber Risk Exposure Managementのコア機能と生成AIは、攻撃者が取る可能性のあるエントリーポイントアセット、潜在的なターゲット、経路、および脆弱なアセットを修復するために必要な手順を特定するのに役立ちます。すべての攻撃経路には以下が必要です:
  • リスク検出によりアセットが侵害される可能性があることを示すエントリーポイントアセット
  • 内部活動の潜在的な経路
  • 攻撃者にとって望ましい標的となる、価値の高い重要なアセット
詳細については、攻撃パスのコンポーネントを参照してください。
注意
注意
場合によっては、アセットが攻撃経路のエントリーポイントおよびターゲットポイントとして機能するため、内部活動経路は必要ありません。
潜在的な攻撃経路が特定されると、脆弱なエントリーポイントのアセットを保護し、攻撃経路を排除するための修正手順が提供されます。
Attack Path Predictionは、次の方法とデータソースを使用して潜在的な攻撃経路の要素を特定します。
攻撃パスコンポーネント
検出方法
エントリーポイント
  • インターネット露出に基づいて識別
    • 外部Attack Surface Management (EASM) データとアセットプロパティの相関
    • トレンドマイクロNetwork Sensor、Trend Micro Endpoint Sensor、または他のデータソースからのログを分析中
    • Cyber Risk Exposure Management for CloudまたはTrend Vision One – Container Security機能を使用してクラウドアセットの構成をスキャンする
  • 脆弱性データソース (トレンドマイクロ製品およびサードパーティのデータソースを含む) に基づいて特定されました。詳細については、脆弱性をご覧ください。
  • 潜在的な侵害に基づいて識別されました。
    • 脅威検出とWorkbenchアラートをアセットタイプと相関させる
内部活動パス
  • 次のデータソースからのテレメトリおよび検出ログを使用してアセットの関係をマッピングしました
    • ネットワークアクティビティ: Trend Micro Endpoint Sensor、Trend Micro Network Sensor
    • ユーザアクティビティ: Trend Micro Endpoint Sensor、Trend Micro Cloud App Security、サードパーティのデータソース
    • 管理アクション: Active Directory (オンプレミス), Microsoft Entra ID, Trend Micro Cloud App Security
    • 権限: Active Directory (オンプレミス), Microsoft Entra ID, Trend Micro Cloud App Security
    • クラウドアセットトラフィック: クラウドのCyber Risk Exposure Management
ターゲットポイント
  • アセットプロファイルプラットフォームタグとアセットの重要度レベルに基づいて識別
注意
注意
お使いの環境で攻撃経路が特定されない場合、必要なコンポーネントの1つ以上が検出されていない可能性があります。詳細については、攻撃経路のコンポーネントを参照してください。
以下は、攻撃パス予測によって検出された潜在的な攻撃パスの例です。
  1. 脆弱なエントリーポイントアセット、高価値ターゲットアセット、およびアセット間の関係が特定されました:
    1. ネットワーク上のサーバがインターネットにさらされており、既知の脆弱性と誤設定が含まれています。
    2. 「管理者」ユーザはサーバとの関係があり、システムにサインインすることができます。
    3. 「administrator」ユーザには「global admin」ロールが割り当てられており、ユーザはシステムの全権限を持ちます。
    4. グローバル管理者ロールは、非常に重要なユーザアカウントを表示および編集できます。
  2. 予測される内部活動の経路:
    1. 攻撃者はインターネットからサーバにアクセスし、脆弱性を悪用してネットワークアクセスを取得します。
    2. 攻撃者は管理者の認証情報を使用してサインインし、「グローバル管理者」ロールを引き受けます。
    3. システムの完全な権限を持つ攻撃者は、重要なユーザアカウントを侵害し、データを盗んだり、ネットワークの奥深くに侵入したりする可能性があります。
  3. 修復手順が提供されます:
    1. サーバの脆弱性を修正し、システムを更新してください。
    2. サーバに適切なアクセス制御を設定してください。
    3. アカウントに対して多要素認証を有効にし、最小権限アクセスを強制します。
    4. User Rolesと権限をモニタして、不正な権限昇格を防止します。
関連情報