ダイナミックプ防止がネットワークを保護する方法のデモンストレーション

ダイナミックプ防止は、脅威を検出して攻撃の面を縮小し、影響を受ける前に脅威を軽減する動的な制御を適用する、行動ベースのセキュリティエンジンです。 詳細については、ダイナミックプ防止とは？を参照してください。

この記事は、ダイナミックプ防止がネットワークを保護する方法を示すために、実際の攻撃シナリオをシミュレートします。 この例では、ユーザーがPastebinからスクリプトをダウンロードし、攻撃者が将来の攻撃を実行するために必要な追加の高リスクツールを取得しようとする方法を試みます。 ダイナミックプ防止は悪意のある動作を識別し、ツールのダウンロードをブロックし、攻撃が進行する前に防ぎます。

この攻撃への対応は完全に自動化されています。 追加のルールは必要ありません。 ダイナミックプ防止を有効にするだけで攻撃を防ぐことができます。

この攻撃をシミュレートするために:

ダイナミックプ防止が、悪意のあるシーケンスの一部である場合のみアクションをブロックすることを示すために、まずRcloneというオープンソースのコマンドラインツールをダウンロードします。 攻撃者は通常、Rcloneを合法的で強力な通常の管理活動と調和するため、事後合意のツールとして使用します。

攻撃の開始をシミュレートするために、実行するとRcloneやAnyDeskのようなリモートアクセスと漏えいのための一般的な攻撃者ツールをダウンロードするスクリプトをPastebinからダウンロードします。

結果

スクリプトが実行され、ツールをダウンロードします。 ホストに動的制御が適用され、脅威ダッシュボードのコントロール付きホストウィジェットに表示されます。 詳細については、脅威分析の使用を参照してください。

このシミュレートされた攻撃では、攻撃者がRcloneをダウンロードしようとします。 しかし、このアクションがPastebinからスクリプトをダウンロードするという不審な活動に続いており、コントロールが適用されているため、ダイナミックプ防止はRcloneダウンロードをブロックします。

結果

このファイルのダウンロードは、コントロールによってブロックされます。 軽減された脅威は、脅威ダッシュボードの軽減された脅威を持つホストウィジェットに表示されます。

この動画はこの模擬攻撃のデモンストレーションを示しています。