インシデント対応に関しては、症状を抑えるだけでは不十分です。その根本を治療することも重要となります。
脅威が検出された時にまず最初に実行することは、即時攻撃を優先順位付けすることです。 これは、ランサムウェアの実行ファイルやバンキング型トロイの木馬をクリーンアップしたり、データの流出をブロックしたりすることを意味します。ただし、多くの場合、チームは最初の攻撃は阻止しますが、根本原因を実際に解決していないことに気付いていません。
マルウェアの削除と警告のクリアに成功したからといって、攻撃者が環境から排除されたわけではありません。また、検出されたものはただの攻撃者によって実行されたテストであり、どのような防御策を講じているかを確認しただけである可能性もあります。攻撃者がまだアクセスできる場合、攻撃者は再び攻撃をする可能性がありますが、さらに破壊的になるでしょう。
インシデント対応チームは、軽減した最初のインシデントの根本原因を確実に対処する必要があります。攻撃者はまだ環境に足掛かりがありますか?第 2 波の開始を計画していますか?何千もの攻撃を修復してきたインシデント対応オペレーターは、より深く調査するタイミングと場所を把握しています。オペレーターは攻撃者がネットワーク上で実行していること、してきたこと、これから実行を計画する可能性のあるものを探し、それらも無効化します。
たとえば、ある例では、ソフォスのインシデント対応スペシャリストは、9日間続く攻撃を阻止し、攻撃者がランサムウェアで組織に 3回の別々の攻撃を試みるのを確認しました。
攻撃の第一波 (最終的には組織のエンドポイント保護ソリューションによりブロックされた) では、攻撃者は、Maze ランサムウェアを使用して 700台のコンピュータを標的にし、1500万米ドルの身代金要求を行っていました。標的対象となったセキュリティチームは、攻撃を受けていることに気付いたので、Sophos Managed Threat Response (MTR) チームの高度なインシデント対応スキルを活用しました。
ソフォスのインシデント対応スペシャリストは、侵害された管理者アカウントを即座に特定し、悪意のあるファイルを特定して削除し、攻撃者のコマンドと C2 (コマンド&コントロール)通信をブロックします。その後、Sophos MTR チームは、攻撃者による 2つの追加攻撃の波から防御することが出来ました。もしも、攻撃者が成功し、犠牲者が支払いを済ませていたら、これは今までで最も高額なランサムウェアの支払いの 1つとなった可能性があります。
別の例では、 Sophos MTR チームは潜在的なランサムウェアの脅威に対応しましたが、すぐにランサムウェアの証拠がないことに気付きました。この時点で、一部のチームはケースをクローズして、他の作業に移ったかもしれません。しかし、Sophos MTR チームは引き続き調査を行い、歴史的なバンキング型トロイの木馬を発見しました。このお客様にとって幸いなことに、脅威はもはやアクティブではありませんでした。しかし、より広範な攻撃の指標となる可能性があるため、根本原因を完全に特定するために初期症状の後にやってくる状況を見越すことがなぜ重要であるかという一例として役立っています。