従業員のトレーニングと意識向上は、ファイル共有サービスを介して機密レポートが公開される問題に対処するための最善の選択肢です。未承認のファイル共有のリスク、従うべきセキュリティ プロトコル、および会社の情報を共有するために使用する適切なチャネルについて従業員を教育することで、組織は機密データが安全でないプラットフォームで誤ってまたは意図的に共有されるリスクを大幅に軽減できます。この人間中心のアプローチは、問題の根本原因に対処します。オプション A、C、および D は、承認されていないサービスで機密ファイルを共有する動作に直接対処しないセキュリティ制御です。

GPU 使用率が高いことは、暗号通貨のマイニングに伴う複雑な数学的問題を解決するために必要となる集中的な計算作業を反映しているため、暗号通貨マイニングが発生している可能性が最も高い指標です。暗号通貨マイニングとは、コンピューティング パワーを使用してトランザクションを検証し、ブロックチェーン上に新しいブロックを作成することで、暗号通貨の新しい単位を生成するプロセスです。暗号通貨マイニングは、マイニング プールに参加して報酬を共有する個人またはグループによって合法的に行われる場合もあれば、マルウェアやスクリプトを使用して無防備な被害者のコンピューティング リソースを乗っ取り、それを自分の利益のために使用する脅威アクターによって違法に行われる場合もあります。この行為はクリプトジャッキングと呼ばれ、影響を受けるシステムのパフォーマンス低下、消費電力の増加、セキュリティ リスクを引き起こす可能性があります。暗号通貨マイニングは通常、CPU (中央処理装置) ではなく GPU (グラフィックス処理装置) に依存します。これは、GPU が並列処理に適しており、1 秒あたりの計算処理数が多いためです。したがって、GPU 使用率が高いことは、特にワークロードの増加について他に説明がない場合は、システムで暗号通貨マイニングが行われている兆候である可能性があります。その他のオプションは、他の原因や説明が考えられるため、GPU 使用率の高さほどクリプトマイニングを示すものではありません。帯域幅の消費は、ネットワーク トラフィック、ストリーミング サービス、ダウンロード、更新など、多くの要因によって左右されます。これは、マイニング プールやブロックチェーン ネットワークとの通信に多くの帯域幅を必要としないクリプトマイニングとは直接関係ありません。不正な変更は、ランサムウェア、スパイウェア、トロイの木馬など、多くの種類のマルウェアやサイバー攻撃の結果である可能性があります。これらはクリプトマイニングに特有のものではなく、システム上のファイルや設定を必ずしも変更するわけではなく、むしろその処理能力を使用します。異常なトラフィックの急増は、正当な需要の急増、分散型サービス拒否攻撃、ボットネットなど、さまざまな要因によっても発生する可能性があります。これらは、システムとの間で大量のトラフィックやリクエストを生成しないクリプトマイニングを示すものではありません。

代替コントロールは、元のコントロールと同等のレベルの保護を提供する代替手段ですが、元のコントロールが実行不可能またはコスト効率が悪い場合に使用されます。この場合、CISO は、開発者が問題を永久的に修正できるまで、追加の監視、ファイアウォール ルール、または暗号化を実装するなど、ACE ソフトウェアの脆弱性のリスクを軽減する代替コントロールを開発する必要があります。参考資料: CompTIA CySA+ 学習ガイド: 試験 CS0-003、第 3 版、第 5 章、197 ページ、CompTIA CySA+ CS0-003 認定学習ガイド、第 5 章、205 ページ。

説明
データ流出とは、デバイスまたはネットワークからのデータの盗難、または不正な転送や移動のことです。これは、自動攻撃の一部として、または手動で、オンサイトまたはインターネット接続を介して発生する可能性があり、さまざまな方法が関係します。機密情報などの個人データまたは企業データに影響を与える可能性があります。データ流出は、圧縮、暗号化、認証、承認、およびその他の制御を使用することで防止または検出できます1 ネットワーク アクティビティは、ネットワーク上のデバイスが毎日午後 10 時にメール クライアント経由で社外の電子メール アドレスに送信メールを送信していることを示しています。これは、デバイスがマルウェアまたは内部脅威によって侵害され、電子メールがネットワークから外部の当事者にデータを流出させるために使用されていることを示している可能性があります。
電子メールには、盗まれた情報を含む添付ファイル、リンク、または隠しデータが含まれている可能性があります。電子メールの送信タイミングは、通常のネットワーク監視やセキュリティ システムによる検出を回避するように設計されている可能性があります。

同じ会社と地域に属する異なるソース ネットワークからの可能性のあるネットワーク アドレスを識別するのに役立つシェル スクリプト関数は次のとおりです。
function y() { dig $(dig -x $1 | grep PTR | tail -n 1 | awk -F ".in-addr" '{print $1}').origin.asn.cymru.com TXT +short } この関数は、IP アドレスを引数として受け取り、dig コマンドを使用して 2 つの DNS ルックアップを実行します。最初のルックアップでは、-x オプションを使用して逆 DNS ルックアップを実行し、IP アドレスに関連付けられたホスト名を取得します。2 番目のルックアップでは、origin.asn.cymru.com ドメインを使用して、自律システム番号 (ASN) と、国コード、レジストリ、割り当て日など、IP アドレスに関連するその他の情報を取得します。
この関数は、IPアドレスとASN情報を出力します。これにより、同じASNまたはリージョンに属するネットワークアドレスを識別することができます。