マルウェアがサイバー キル チェーンの配信段階から悪用段階に移行すると、その目的は多くの場合、標的のシステム内の悪用可能な脆弱性を特定することに移ります。ポート スキャンは、システム内のポートでリッスンしているサービスを検出するために使用される手法です。システムのポートをスキャンすることで、マルウェアは開いているポートとそこで実行されているサービスを特定し、さらなる悪用につながる可能性のあるエントリ ポイントに関する貴重な情報を提供します。このタイプの偵察攻撃は、標的システムのネットワーク サービスに関する情報を収集することを目的としています。この情報は、その後、コマンド アンド コントロール センターに報告され、悪意のあるアクティビティをさらに計画するために活用されます。
ポート スキャンは、アクセス可能なネットワーク サービスとそれに対応するポートを直接検出することを目的としているため、システム上の有用なサービスを識別するのに IP 範囲スイープ、パケット スニッフィング、セッション ハイジャックよりも適しています。他の方法も偵察フェーズの一部となる場合がありますが、目的は異なります。IP 範囲スイープはアクティブな IP アドレスを識別すること、パケット スニッフィングはデータ パケットを傍受して情報を収集すること、セッション ハイジャックは有効なユーザー セッションを乗っ取ることです。一方、ポート スキャンは、悪用される可能性のあるサービスを列挙することを目的として設計されています。
参考資料:ECIH v3 認定資料では、キル チェーンの悪用段階の一部として、ポート スキャンなど、攻撃者が使用するさまざまな偵察手法について説明しています。これらの手法を理解することは、攻撃者が情報を収集して攻撃を計画する方法を特定する上で、インシデント ハンドラーにとって非常に重要です。

Shally は、Texas Pvt. Ltd. のインシデント対応計画に多層防御戦略を組み込みました。
多層防御とは、情報システム全体にわたって複数のセキュリティ対策と制御を実装する階層型セキュリティ アプローチです。この戦略は、脅威や攻撃から保護するために複数の防御バリアを提供するように設計されており、1 つのレイヤーが侵害されても、他のレイヤーが引き続き保護を提供します。
目標は、物理的セキュリティ、ネットワーク セキュリティ、アプリケーション セキュリティ、ユーザー教育など、さまざまな領域の潜在的な脆弱性に対処する多面的な防御を構築することです。参考資料: インシデント ハンドラー (ECIH v3) のコースと学習ガイドでは、さまざまなサイバー脅威から保護するための堅牢なセキュリティ インフラストラクチャを構築する上での多層防御戦略の重要性が強調されることがよくあります。