今回は「攻撃者の足跡」に関する話をさせて頂こうと思います。企業が必死に攻撃を防御する仕組みを作っても、攻撃者は小さな隙を見つけて企業のネットワークに潜り込みます。
攻撃者に侵入された場合にそれを素早く気づけるかが、その後に重大な事件に発展するかどうかの分かれ目になってきます。その攻撃者の足跡のことを専門的にはIOC(Indicator of Compromise)と言ったりします。
足跡には様々なものが存在しますが、以下にその一部をご紹介します。
優れた攻撃者ほど足跡を残さずに目的を達成しますが、通常はどこかしらにその足跡を残してしまいます。膨大な数のセキュリティー製品が存在しますが、この足跡を発見するための製品だけでも相当数あります。それぞれどういった足跡を発見することができるかなど、特徴が異なるため守りたいものや環境に応じて適切に対策を施していく必要があります。
IOC(攻撃の足跡)を検知するためには以下のような製品・サービスがあります。
このように検知一つをとっても様々なソリューションが存在しますが、セキュリティー対策に完璧はありません。全てはセキュリティー侵害の確率を下げるか、もしくはセキュリティー侵害にあった場合に被害を小さく食い止めるために行っているものです。やみくもに対策を施すのではなく如何に効果的に対策を施せるかが勝負の分かれ目になっていきます。