内部防御: 内向きのサイバーセキュリティ。 その危険性から、組織は外部からのサイバー攻撃に対する防御を強化しています。 しかし、彼らはしばしば内面を見ることを忘れています。 新しいテクノロジーは、すでにネットワーク上にいる攻撃者を阻止するのに役立ちます。
サイバー犯罪者にとって、コロナ危機とその影響はゴールド ラッシュのムードを意味します。今日ほど多くの企業が脆弱になったことはかつてありませんでした。 しかし、IT セキュリティは、従業員が分散することによって増加する攻撃対象領域を保護するためにゆっくりと追いついてきており、会社と在宅勤務の従業員を取り巻くセキュリティの壁が強化されています。 多くの組織は、使用されているソリューションが外側にのみ向けられており、内側には向けられていないという事実を見落としています。内部には、より大きな危険が潜んでいる場合があります。
サイバー恐喝者はますます標的にされています
ランサムウェアによるデータの暗号化は、外部からの脅威の良い例です。 それらはじょうろの原理を利用する攻撃者によって広く拡散され、犯罪者の成功は、どの従業員がフィッシング メールをクリックしたかによってランダムになる傾向があります。 ただし、データが暗号化されている場合でも、企業は復号化ツール、リカバリウェア、または単純なバックアップを使用して、データに対抗して回復することができます.
これに対応して、多くのサイバー恐喝者はより標的を絞るようになっています。 彼らは、データの価値が高いと考えられている組織や、風評被害の可能性が最も高い組織を攻撃の標的にする傾向が強くなっています。 これらの企業は、データが公開されないという事実のためであっても、身代金を支払うことをいとわないためです. この目的のために、犯罪者は潜在的な被害者を個別に詳細に調査し、攻撃が成功する可能性を正確に評価できるようにします。 最終的に、彼らは利益の期待に基づいて攻撃する組織を決定します。 これらの新しい、より標的を絞った脅威には、ランサムウェアのより無差別な攻撃とは異なる対応が必要です。
新しい脅威には、よりスマートな対応が必要です
IT セキュリティ運用の観点から見ると、サイバー犯罪者に対する防御における課題の大部分は、侵害の痕跡 (IOC) を使用して潜在的な攻撃を検出および調査することにあります。 これらは、疑わしいまたはブラックリストに登録された IP アドレス、既知のフィッシング URL、および悪意のあるファイル署名である可能性があります。 理想的には、侵入検知、ファイアウォール、エンドポイント セキュリティなど、これらの IOC を使用する従来のセキュリティ ツールによって、組織が攻撃の犠牲になる前に防ぐことができます。
古典的な攻撃のための古典的なツール
このアプローチは、攻撃が成功した直後にデータが暗号化されるランサムウェアに有効な場合があります。 標的型攻撃の場合、犯罪者は、盗む価値のある適切なデータを見つけるために、しばらくの間ネットワークを調べなければなりません。 ビジネスでは、ペタバイト単位のデータがさまざまな場所に保存されている場合があります。 この貴重なデータを入手するために、犯罪者はより多くの時間と労力を費やす必要があります。 ただし、外向きのセキュリティ ツールは、侵害された内部関係者を検出できません。一見したところ、内部関係者はネットワーク上で完全に正当であるためです。 この段階で攻撃を検出するには、組織には他のセキュリティ ツールが必要です。 また、犯罪者はネットワーク内に長時間留まることがあるため、被害が拡大する前にできるだけ早く検出することが重要です。
時間要素が IT セキュリティに利点をもたらす
Egon Kando は、Exabeam の中央ヨーロッパ、南ヨーロッパ、東ヨーロッパのセールス担当エリア バイス プレジデントです (写真: Exabeam)。
場合によっては、犯罪者はインフラストラクチャ内で数か月、場合によっては数年を過ごし、企業のデータの重要な宝石に到達するための防御チェーンを通過する際に、検出されないために多大な努力をします。 ただし、これには防御側の小さな利点もあります。一方では、ランサムウェアに比べて侵入者を探す時間が長くなる一方で、犯罪者はネットワーク内を移動する際に痕跡を残します。
IT セキュリティは、セキュリティの視点を内部に向けるために必要なツールを備えていれば、これらの機会を利用して、より悪いことが起こるのを防ぐことができます。 IOC は常に外向きであるため、既にネットワーク上にいる攻撃者を検出するのには役に立ちません。
SIEM と UEBA: 効果的な中央防御
SIEM (Security Information and Event Management) ソリューションは、さまざまなソースからログを収集し、正常なネットワーク動作と疑わしいネットワーク動作について分析します。 最新世代の SIEM は、機械学習アルゴリズムに基づく UEBA (User Entity Behavior Analytics) に基づいており、ネットワーク内のユーザーとデバイスの動作を継続的に監視します。 たとえば、通常とは異なるファイルにアクセスした場合や、目立ったアプリケーションが実行されている場合などです。 このネットワーク ログ データの分析は自動化する必要があります。なぜなら、セキュリティ チームが手動で効果的かつリアルタイムに調査するには多すぎるためです。
攻撃に対する反応を短くする
ただし、疑わしい動作を特定することは、仕事の一部にすぎません。 差し迫った損傷を防ぐか、可能な限り制限するために、できるだけ迅速に対応する必要があるからです。 反応の範囲を定義できるようにするために、インシデントを完全に調査する必要があります。 これには、関連するユーザーとデバイスのすべてのアクティビティを表示し、それらが正常か異常かを評価するタイムラインの作成が含まれます。 これが完了したら、対応を計画して実施することができます。 IT セキュリティ チームは、SOAR ソリューション (セキュリティ オーケストレーション、自動化および応答) によってサポートされ、さまざまなセキュリティ製品を使用して必要な防御手段の自動化とオーケストレーションを行います。 SOAR は、いわば防御のリベロであり、検出と分析の後、可能な限り迅速に的を絞った方法で攻撃に反応します。
専用のプレイブックは、影響を制限するためにホストを分離したり、IP アドレスを禁止したりするなど、軽減策を完全に自動化できます。 これにより、応答時間が短縮されるだけでなく、時間が重要な重要なシナリオで平均復旧時間 (MTTR) が短縮されます。
安全を感じることはありません
侵入検知、ファイアウォール、エンドポイント セキュリティなどの外部防御ソリューションが警告を発していなくても、企業の IT セキュリティは、サイバー犯罪者が何らかの形でネットワーク内に存在し、攻撃者が積極的に追跡しようとしていることを常に想定する必要があります。 そのためには、内向きのセキュリティ ソリューションが必要です。」
Exabeam.comで詳細をご覧ください
エクサビームについて Exabeam は Smarter SIEM™ の略です。 Exabeam を使用すると、組織はサイバー攻撃をより効率的に検出、調査、および対応できるようになるため、セキュリティおよび内部脅威チームはより効率的に作業できます。 セキュリティ組織は、価格の高騰、分散型攻撃や未知の脅威の見逃し、手作業による調査と対策に耐える必要がなくなりました。 Exabeam Security Management Platform を使用すると、セキュリティ アナリストは無制限のログ データを収集し、動作分析を使用して攻撃を検出し、オンプレミスとクラウドの両方でインシデント対応を自動化できます。 Exabeam Smart Timelines は、機械学習によって作成された一連のユーザーとエンティティの行動であり、攻撃者の戦術、手法、および手順を検出するために必要な時間と専門化をさらに削減します。 Exabeam は、Aspect Ventures、Cisco Investments、Icon Ventures、Lightspeed Venture Partners、Norwest Venture Partners、Sapphire Ventures、および有名なセキュリティ投資家である Shlomo Kramer から非公開で資金提供を受けています。 詳細については、www.exabeam.com をご覧ください。 Facebook、Twitter、YouTube、LinkedIn で Exabeam をフォローしてください。