出力にはポート スキャンの結果が表示されます。ポート スキャンは、ネットワーク ホストで実行されている開いているポートとサービスを識別するために使用される手法です。ポート スキャンは、攻撃者が潜在的な脆弱性を発見して悪用するために使用したり、防御者がネットワーク デバイスのセキュリティ体制と構成を評価するために使用できます。1 出力には、ターゲット ホストで開いている 6 つのポートと、各ポートに関連付けられているサービス名とバージョンが一覧表示されます。サービス名は、ポートを使用しているアプリケーションまたはプロトコルの種類を示し、バージョンはサービスの特定のリリースまたは更新を示します。サービス名とバージョンは、サービスの機能、特徴、および弱点を明らかにすることができるため、攻撃者と防御者の両方にとって有用な情報となります。
リストされている 6 つのポートのうち、2 つは特にリスクが高いため、セキュリティ チームがさらに調査する必要があります。
ポート 23 とポート 636。
ポート 23 は、リモート ログインおよびコマンド実行用の古くて安全でないプロトコルである Telnet によって使用されます。
Telnet は、ユーザー名やパスワードなど、ネットワーク経由で送信されるデータを暗号化しないため、攻撃者による盗聴、傍受、および変更に対して脆弱です。また、Telnet には、攻撃者が不正アクセスを取得したり、任意のコマンドを実行したり、ターゲット ホストに対してサービス拒否攻撃を引き起こしたりする可能性のある多くの既知の脆弱性があります23。ポート 636 は、LDAP over SSL/TLS (LDAPS) によって使用されます。LDAPS は、安全な接続を介してディレクトリ サービスにアクセスして変更するためのプロトコルです。LDAPS は、認証、機密性、および整合性を提供する SSL/TLS 証明書を使用して、クライアントとサーバーの間で交換されるデータを暗号化します。ただし、証明書が適切に構成、検証、または更新されていない場合、LDAPS も攻撃に対して脆弱になる可能性があります。たとえば、攻撃者は自己署名証明書または期限切れの証明書を使用して、LDAPS 接続に対して中間者攻撃、スプーフィング攻撃、または証明書失効攻撃を実行する可能性があります。
したがって、セキュリティチームは、ターゲットホストでポート23とポート636が開いている理由と、そこで実行されているサービスについてさらに調査する必要があります。セキュリティチームは、これらのサービスを無効にするか、ポート23のSSHやポート6362のStartTLSなど、より安全な代替手段に置き換えることも検討する必要があります。

提供されたコード スニペットは、認証をバイパスする一般的な SQL インジェクション手法である「1=1」の使用によって示される SQL インジェクションの脆弱性を示唆しています。このリスクを軽減するには、ユーザー入力を検証することが最も効果的な制御です。これにより、入力が適切にサニタイズされ、データベースとやり取りする前に悪意のある可能性のある文字がエスケープされます。これは、安全なコーディング プラクティスに関する CompTIA Security+ ガイドラインの重要な原則です。オプション A と B は、ここでの脆弱性の種類とは無関係です。アクセス制御 (オプション C) は一般的に良い方法ですが、SQL インジェクションを具体的に防止するものではありません。

説明
エンドポイント ログ エントリには、Windows システム上に「admin」という名前の新しいアカウントが「Administrators」のローカル グループ メンバーシップで作成されたことが示されています。これは、管理者権限を持つ新しいアカウントがシステムに導入されたことを示しています。これは、システムを侵害した攻撃者による、権限のエスカレーションやバックドアの作成などの悪意のあるアクティビティの兆候である可能性があります。

EDR (エンドポイント検出および応答) レベルで IP アドレスをブロックすると、検出された偵察活動に対して即座に的を絞った応答が提供され、高価値資産とのさらなるやり取りが防止されます。
EDR ツールは、エンドポイント全体で悪意のある IP を検出してブロックするように設計されています。CompTIA CySA+ によると、このプロアクティブな手順は、特定のエンドポイントでの脅威を分離して軽減するのに効果的です。SIEM シグネチャ (B) の作成は監視に役立ち、WAF (C) と NGFW (D) のポリシーは追加の防御層を提供できますが、最も即時の保護アクションはエンドポイント レベルでブロックすることです。

脆弱性 B は、エンド ユーザーが電子メールで送られてくる悪意のあるリンクを頻繁にクリックすることから、アナリストが最も懸念すべき脆弱性です。脆弱性 B は、Microsoft Outlook のリモート コード実行の脆弱性であり、攻撃者は特別に細工した電子メール メッセージを送信することで、ターゲット システム上で任意のコードを実行できます。この脆弱性は、悪用をトリガーするためにユーザーの操作や添付ファイルを開く必要がないため、非常に危険です。攻撃者は被害者の Outlook アカウントに電子メールを送信するだけでよく、Outlook が Exchange サーバーに接続すると、コードが自動的に実行されます。この脆弱性の重大度は 10 点満点中 9.8 点と高く、サポートされているすべてのバージョンの Outlook に影響します。したがって、アナリストはワークステーションの潜在的な侵害を防ぐために、できるだけ早くこの脆弱性にパッチを適用することを優先する必要があります。