abuse メールボックスは、セキュリティチームにとって重荷となることがよくあります。報告された膨大な量のメールの中から、悪意のあるメールを突き止め、ユーザーが騙される前にそのようなメールの全コピーを削除しなければならず、これらの対応に膨大な時間が費やされています。これは同時に、無害なメールの検証に多くの時間を割いた結果、本当に危険なメールが対処されずに放置されている時間が長くなる可能性も高いことを表します。
マルウェア、ビジネスメール詐欺 (BEC)、ランサムウェア、認証情報の窃取などの脅威の初期侵入経路の94%はメールがですが、Ponemon Instituteの「The 2021 Cost of Phishing Study (2021 年フィッシング攻撃による損失)」によると、 1 万人規模の組織ではそれらの攻撃への対処に平均で、年間何万時間も費やしています。またメールによる攻撃の中でも、もっとも多いのは認証情報のフィッシングですが、 認証情報のフィッシングへの対処だけでも年間約 70 万ドル(約 9450万円)のコストがかかってしまっています。
図 1: 1万人規模の組織を対象とする脅威別タスク別の対処所要時間
Ponemon Institute による、フィッシング攻撃による損失の調査では、IT チームや情報セキュリティ チームがメールベースの脅威への対処に膨大な時間を費やしていることが示されている
この問題を解決するために、プルーフポイントは以下の手順を推奨します。これにより abuse メールボックスを効果的に管理し、時間を節約し、組織のリスクを大幅に軽減することができます。
まずは問題の根源への対処: 受信トレイに何でもかんでも届いていないか?
もしabuse メールボックスがスパムメールやフィッシングメールで溢れ、それへの対処が大きな負担となっているなら、そもそもなぜそれほど多くのメールがユーザーに送られてくるのかという、問題の根源にさかのぼることが重要です。 ユーザーの受信トレイに届く悪意のあるメッセージのリスクを減らすために、マルウェアつきのメールだけでなく、フィッシングやスパムも効果的に対処できる高度なメール セキュリティ ソリューションが必要です。
次に、既存のメールセキュリティ ソリューションが見逃している脅威を可視化
不正メールの調査や対応をどれだけ自動化しても、検知ソリューションをくぐり抜ける不正メッセージが多すぎれば、お手上げ状態となってしまいます。健全な受信トレイは、新型コロナ対策のためのうがいや手洗いなどの予防ケアと同じようなものだと考えてください。対処を始める時間が遅ければ、それだけ被害も大きくなり、対処にも時間がかかるため、なるべく前の段階で問題に対処することが重要です。これはMITRE ATT&CKのフレームワーク(侵入された後の攻撃)に対処するよりも、PRE-ATT&CK(侵入する前の攻撃)に対処したほうが賢明であるとする「シフトレフト(なるべく前の段階で対処する)」という思想に通じています。
プルーフポイントのソリューションをご検討中のお客様の環境で脅威のアセスメントをさせて頂いた場合、メール セキュリティにおけるこの問題を、頻繁に目にします。 ここ 1 か月において、例えば Microsoft メールゲートウェイで行った PoC (概念実証) において、12% 以上のメッセージが不正判定されており、何十万もの認証情報窃取の攻撃、悪性の添付ファイル、悪意あるURL の脅威や、なりすましや BEC メッセージが境界防御をすり抜けてしまっていました。中には、すでに窃取されたアカウントから、さらに内部に対して攻撃を広げる内部フィッシングの攻撃も見受けられました。
その結果、インシデント レスポンスに対処するための人的なリソースと、彼らの時間が奪われ、セキュリティ運用に膨大な負荷を与える結果だけでなく、組織に対して重大なリスクを負う形となってしまっています。
以下は、世界的に非常に有名なコンサルティング企業であるプルーフポイントのお客様の環境における実際の数値です。
プルーフポイント導入前は、Microsoft E5からすり抜けたメッセージの修復に多くの時間を費やしていました。その後、プルーフポイントを採用し、メールセキュリティ体制を改善することによって、サイバーリスク保護能力を強化し、SOC業務の時間を節約できるようになりました。
図 2: 某大手コンサルティング企業におけるメール脅威ブロック実例
プルーフポイントの脅威プロテクション プラットフォームを使用して既存のゲートウェイをくぐり抜ける脅威やスパムを削減している。
セキュリティ オペレーション センター (SOC) チームを苦しめるのは、実際の脅威やスパムだけではありません。 誤検知もまたインシデント レスポンス 業務の負荷を増加させます。プルーフポイントのEメールセキュリティアセスメントを受けた多くのお客様環境において、API ベースのクラウド メール セキュリティ サプリメント (CESS) の多くで高い誤検知率を引き起こすことが判明しています。ある顧客の概念実証(PoC)において、CESS は 900 のメッセージが悪意のあるものと判定しましたが、プルーフポイントでは、これらの悪意のあるメッセージの 68% が誤検知であることを確認しました。つまり、チームは 誤検知してしまった600 以上のメールを、ユーザーのもとに送信するために余分な作業が発生していたことになります。
このコンサルティング企業の場合、SOC チームでは、組織がメールセキュリティ体制を改善してから受け取ったインシデント数が 80% 削減されたことを確認しました。こうした削減により、このエリアに割り当てる必要のある SOC リソースも大幅に削減することができ、全体的な対応時間も短縮することができました。
メール報告の正確性を向上させるために行動変容を促進
メールセキュリティ体制を改善した次のステップは、ユーザーによるフィッシング報告の習慣を改善し、ユーザーの行動変容を促すことです。
プルーフポイントの調査によると、ユーザーから不正なメールではないかと報告されたメールのうち、平均約 3 分の 2 が悪意のあるメールやスパムメッセージではありません。ユーザーによるメール報告の正確性を向上させることで、誤検知の報告数を劇的に減らすことができます。とはいえ、不明な点がある場合は、やはり報告してもらうことをお勧めします。ユーザーの受信トレイに潜む潜在的脅威をチームが把握できる方が賢明です。
ユーザーによるフィッシング報告の正確性を改善するための明確な実用的な手順をご紹介します。
1. オンボーディング教育や、現在のフィッシング教育イニシアチブを補完するメール報告アドインに関する継続的な強化と共に、開始計画を設けます
「不正メール報告」ボタンについて説明するとともに、「不正メール報告」ボタンの用途、使用するタイミング、デバイスごとのアクセス方法を説明することで、ユーザーによる報告率を向上させることができます。 「不正メール報告」ボタンの使い方を解説したビデオの作成、企業ニュースレターへの情報掲載、社内全体会議での説明、既存のセキュリティ意識向上プログラムのコンテンツ追加などをおすすめします(プルーフポイントのセキュリティ意識向上トレーニング:Proofpoint SATをお使いのお客様には素材をご用意しています)。 また、従業員向けのサイバーセキュリティ教育プログラムと、連動して「不正メール報告」ボタンの運用を開始するとより効果的です。
図 3: 調査と修復にかかる時間を最大 90% 短縮させる abuse メールボックスの自動化ソリューションと Proofpoint CLEAR (Closed-Loop Email Analysis and Response ) ワークフロー
2. ユーザーが報告したメッセージに関するフィードバックを提供します
Proofpoint CLEAR (Closed-Loop Email Analysis and Response)は、調査と修復にかかる時間を最大 90% 短縮させる abuse メールボックスの自動化ソリューションです。このCLEAR ワークフローにおいて、ユーザーが報告したメールに対するフィードバックも提供します。セキュリティチームに不正メールを報告したのち、返信を希望しないユーザーはあまりいません。何らかのフィードバックがあることによって、「また次も不正メールを報告しよう」という動機付けともなります。また、ユーザーが報告したメールに対して対応する場合に、フィードバック機能がなければ、SOC チームは他の方法でフィードバックを行わなければなりません。
フィードバック ループを自動化して、ユーザーが報告したメッセージのステータスを自動的にユーザーに知らせる方がはるかに楽になると言えるでしょう。報告されたメッセージに関するこのフィードバックによりユーザーのスキルが磨かれ、報告の正確性が向上します。
図 4: プルーフポイントのHTML ベースのメール警告タグ
ユーザーにコンテキストに基づいて行動を起こすきっかけ を提供し、メール報告の量と正確性を向上させる。
3. 受信したメッセージについてユーザーに情報を与え、行動を促します
HTML ベースのメール警告タグは、ユーザーにコンテキストに基づいて行動を起こすきっかけを提供し、メール報告の量と正確性を向上させます。ユーザーが閲覧中のメッセージについてコンテキストを提供することは、リスクをリアルタイムで測定することにおいて便利です。
これは、プルーフポイントが新しくリリースした新機能です。
インシデント レスポンス プロセスを可能な限り自動化し、セキュリティ担当者の負荷を軽減する
セキュリティ体制全体を改善し、フィッシングメールの報告を改善するためのツールやガイダンスをユーザーに提供した後、最終ステップは、その他のインシデント レスポンス プロセスを可能な限り自動化することです。
abuse メールボックスを自動化することで、ワークフローを効率化し、マニュアルの手作業に費やす時間を大幅に削減することができます。あるお客様の例では、手作業にかかる時間を最大 90% 削減することに成功しました。
脅威インテリジェンスとサンドボックス データをつなぎ合わせたり、YARA ルールまたはプレイブックを最新の状態に維持するために更新し続けたりするよりも、これらすべてを自動的に包括したソリューションを使用しましょう。これにより、手作業を減らし、リソースを解放してより重要なセキュリティタスクに向けることができます。
これを行ったお客様がどのように ROI を大きく改善しているか、ぜひ、お客様導入事例でご確認ください。
上記の戦略に従うことにより、さらに効率化された abuse メールボックスを作成することで組織の全体的なセキュリティ体制を改善することができます。また、IT と情報セキュリティのリソースをより関連した脅威やその他のセキュリティ プロジェクトへの対処に向けることができます。