ほとんどの企業は、サイバー犯罪との戦いにおいて外部の攻撃者に焦点を当てています。 しかし、増大する脅威は彼ら自身の仲間内にも潜んでいます。 FireEye Mandiant の IT セキュリティ専門家は、33 年に発生するすべてのセキュリティ インシデントの 2021% が内部関係者の脅威によるものになると予測しています。 企業は自分自身を守るために何ができますか?
正当なアクセスは最終的なものであり、従業員はそれを持ち、攻撃者はそれを望んでいます。 犯罪者がすでに中にいる場合、ドアの最高のセキュリティロックは役に立ちません。 すべての犯罪狂信者はそれを知っています。 自社内からのサイバー攻撃も同様です。 加害者は私たちが実際に信頼している人々であるため、彼らは特に危険です。 内部関係者による脅威の数が大幅に増加していることは、なおさら懸念されます。 2019 年と 2020 年に、Mandiant のチームは、インサイダーがビジネスに不可欠なシステムを侵害したり、機密データを公開したり、雇用主を脅迫したりする事例をこれまで以上に多く目にしました。 このような事件は、重大な経済的損害を引き起こし、評判を損なう可能性があります。
インサイダー攻撃の背後にいるのは誰か
ほとんどの内部関係者の脅威は、悪意を持っていない怠慢な従業員にまでさかのぼることができますが、不注意によってハッカーにゲートウェイを提供します. しかし、内部関係者による標的型攻撃もあります。 外部アクターによる攻撃と同様に、これらは多くの場合、長期間にわたって行われます。 攻撃者は通常、気付かれずに活動を隠蔽しようとします。 場合によっては、他の従業員のアカウントを使用して、自分自身から注意をそらすことさえあります。
インサイダー攻撃の背後にいるのは、以前の雇用主に復讐したり、彼から盗んだりしたいと思っている不満を持った元従業員だけではありません。 本質的に、ネットワーク、システム、およびデータにアクセスできる人は誰でも潜在的なリスクをもたらします.これは、従業員だけでなく、ビジネスまたはサプライチェーンパートナーでもあります. 重要な知的財産を所有する組織や、合併、買収、または重大な変化や挑戦を受ける企業は、悪意のある内部関係者の犠牲になるリスクが高くなります。
予想に反して、今日の攻撃者は単独で行動するのではなく、アラートや調査を阻止する IT 管理者や内部脅威チームのメンバーを含むグループで行動することがよくあります。 このグループの一部のメンバーは、データ アクセスや盗難を可能にする技術活動を実行する犯罪組織や政府関連組織など、企業の外部にいます。
最も一般的な XNUMX つの内部関係者による脅威
Mandiant の調査員は、さまざまな種類のインサイダー攻撃を実際に調査してきました。 次の XNUMX つのトレンドが出現しています。
デジタル恐喝
悪意のある内部関係者は、盗んだデータを公開すると脅し、外部のハッカーになりすます可能性があります。 インサイダーは通常、ビットコインなどのデジタル通貨で身代金を要求します。
産業スパイ
このシナリオでは、悪意のあるインサイダーが知的財産を盗み、そのデータを政府関係者を含む第三者と共有して、補償や雇用機会を得ます。
資産破壊
悪意のある内部関係者は、ビジネスに不可欠なシステムを妨害したり、運用上の障害を引き起こしたり、重要なデータ ストックを破壊したりしようとします。
ストーキング
Mandiant の Global Government Services & Insider Threat Security Solutions のマネージング ディレクターである Jon Ford (画像: FireEye)。
悪意のある内部関係者は、個人情報を取得するために、従業員の機密データや同僚のユーザー アカウントにアクセスします。
恐喝の試みに関しては、企業は大きなプレッシャーにさらされています。要求に従うべきか、それともできるだけ早くインサイダーを特定しようとするべきか? それが間に合わなかったら? 攻撃シナリオを理解し、加害者を追跡することは複雑です。 恐喝の試みにおけるセキュリティ チームの主な課題は、1) データが実際に盗まれたかどうかを判断すること、および 2) インサイダー インシデントと悪意のある第三者による攻撃を区別することです。 これには、技術的なフォレンジック、脅威インテリジェンス、および従来の調査方法の組み合わせが必要です。 外部の専門家は、これについて独立した分析と重要な専門知識を提供します。
このようにして、企業はインサイダーのリスクから身を守ることができます
組織は、テクノロジと警戒を組み合わせ、内部関係者による攻撃を効果的に検出するための定期的なトレーニングを通じて内部関係者の脅威の危険性について従業員を教育する必要があります。 そもそも事態を未然に防ぐために、企業は内部関係者による脅威の危険性を認識し、適切な保護措置を講じる必要があります。 リスクを最小限に抑えるための XNUMX つのヒント:
- インサイダー脅威のデータ損失防止ソリューションに投資してください。 悪意のある動作を認識し、警告を発し、必要に応じてアクションをブロックできます。 このソリューションは、インターネット接続の有無にかかわらず機能するはずです。
- アクセス制御により、ネットワーク内のすべての環境を保護します。 各ユーザー、開発者、および管理者には、日常業務に絶対に必要な権限のみを付与する必要があります。 オンプレミスおよびクラウド環境で新しいアカウントを作成できる従業員の数を最小限に制限します。
- ログ データとイベントの集計を SIEM (Security Information and Event Management) に送信します。 これにより、ログの信頼性が保証され、攻撃者によるログの削除や操作が防止されます。
- ネットワーク セグメンテーションを実装します。 ネットワーク エリアをセキュリティ コントロールで分離することにより、攻撃者が無制限に拡散するのを防ぎます。 また、機密性の高い環境と信頼性の低い環境の間の不要なトラフィックを制限する必要があります。 パブリックにアクセスできる必要がないすべてのシステムは、パブリック アクセスから分離する必要があります。
- 安全なオフボーディングを確保します。 従業員が退職した場合は、直ちにその従業員のネットワーク アクセスをブロックする必要があります。 ユーザーがアクセスできるすべての SSH キー、PEM ファイル、およびパスワードは、すべての環境で変更する必要があります。 多要素認証 (MFA) もすぐに無効にする必要があります。
定期的な評価が重要
内部関係者の脅威のリスクを軽減するために、組織にはデータ損失防止プロセス、SIEM 機能、行動分析、および専任チームが必要です。 ここでは、人、プロセス、およびツールの XNUMX つのコア領域を考慮する必要があります。 インサイダーの脅威に関する調査は、プロファイリングに反論し、法的精査に耐える証拠に基づいて行う必要があります。 外部の専門家は、既存の機能を見直して、投資を最大化し、新しいインサイダー脅威プログラムの作成を加速し、業界全体の長年にわたるベスト プラクティスのカタログ化に基づいて既存のプログラムを強化することができます。 要件は急速に変化する可能性があるため、セキュリティ評価を定期的に実施することが重要です。 それらは、脆弱性を発見し、セキュリティ体制を継続的に改善することを可能にします。 このようにして、企業は、インサイダー攻撃とその影響から効果的に自社を保護するための個別のロードマップを受け取ります。
詳しくは FireEye.com をご覧ください
トレリックスについて Trellix は、サイバーセキュリティの未来を再定義するグローバル企業です。 同社のオープンでネイティブな XDR (Extended Detection and Response) プラットフォームは、今日の最も高度な脅威に直面している組織が、運用が保護され回復力があるという確信を得るのに役立ちます。 Trellix のセキュリティ専門家は、広範なパートナー エコシステムとともに、機械学習と自動化を通じて技術革新を加速し、40.000 を超える企業および政府の顧客をサポートしています。