標的型攻撃のライフサイクル

Mandiant の専門家は、攻撃者に関する深い知識と標的型攻撃のライフサイクルを、お客様固有の環境に対する理解と組み合わせ、以下に説明するさまざまな段階で実施する必要がある予防策を決定します。

標的型攻撃のライフサイクルを描いた Mandiant は、典型的な侵害の主な段階を示しています。すべての攻撃がこのモデルの正確なフローに従うわけではありませんが、以下の表は、一般的な攻撃ライフサイクルを視覚的に表したものです。

• 初期偵察: このステージでは、攻撃者は標的の企業のシステムと従業員を調査し、侵入の手法をまとめます。攻撃者は、ネットワークへのリモート・アクセスを可能にするインフラや、ソーシャル・エンジニアリング攻撃の標的となる社員を探すこともあります。
• 初期侵害: 攻撃者が 1 つ以上の企業システムで悪意のあるコードの実行に成功します。これは通常、ソーシャル エンジニアリング攻撃や、インターネットに接続されたシステムの脆弱性の悪用が原因で発生します。
• 拠点確立: 最初の侵害の直後、攻撃者は最近侵害されたシステムを継続的に制御します。通常、攻撃者は、永続的なバックドアをインストールするか、感染システムに追加のユーティリティをダウンロードすることで、足がかりを確立します。
• 権限昇格: この段階で、攻撃者は環境内の企業システムやデータへのアクセス権を取得します。攻撃者は多くの場合、認証情報の収集、キーストロークのログ、認証システムの改ざんを通じて特権を昇格させます。
• 内部偵察: 次に、攻撃者は組織の環境を調べて、インフラストラクチャ、関心のある情報の保管、主要な個人の役割と責任をよりよく理解します。
• 水平展開: 攻撃者は「権限昇格」フェーズで取得したアカウントを使用して、侵害された環境内の他のシステムに水平展開します。一般的なラテラル ムーブメントの手法には、ネットワーク・ファイル共有へのアクセス、コマンドのリモート実行、リモート・デスクトップ・サービス（RDS）やセキュア・シェル（SSH）などのリモート・ログイン・プロトコルを介したシステムへのアクセスなどがあります。
• 存在維持: 攻撃者は、さまざまなバックドアの亜種をインストールしたり、企業のバーチャル プライベート ネットワーク（VPN）などのリモート アクセス サービスにアクセスしたりすることで、環境への継続的なアクセスを確保します。
• 任務遂行: 攻撃者は、知的財産、財務データ、合併・買収情報、個人を特定できる情報（PII）の窃取など、侵入の目的を達成します。また、システムやサービスの妨害、環境内のデータの破壊を目的とする場合もあります。

そのような攻撃を防ぎ、リスクを軽減するには、攻撃者が取るステップを理解することが重要です。標的型攻撃のライフサイクルにおける各ステージを理解することは、その第一歩です。組織のセキュリティ体制を整え、攻撃を確実に防御できるように、Mandiant の専門家チームがサイバー防御態勢のパートナーとして支援します。