組織内のVAP(Very Attacked People)が誰であり、どのように攻撃されているかを把握していますか? そうでない場合は、知っておく必要があります。これらのインサイトを得ることで、標的型の脅威に狙われるリスクを減らすことができます。
攻撃者は、組織内の人々を標的にするために、きめ細かく非常に戦略的なアプローチを取っています。特に高度な攻撃者は、綿密な調査を行い、組織図にアクセスするなどして、社内のセキュリティチームよりもビジネスの仕組みに詳しいことがあります。現代のサイバー犯罪者は、無差別なスパム攻撃やフィッシングキャンペーンを広範囲に展開して、誰かがたまたまマルウェアを含むPDFをダウンロードしたり、悪意のあるURLをクリックしたりすることを期待するようなことはしないのです。
Proofpointのサイバーセキュリティ戦略担当エグゼクティブVPである Ryan Kalemberは、最近行われた「Risky Business Soap Box」ポッドキャストで、ユーザー毎のリスクを見極める方法と、それに対してどのような対策が可能かについて話しました。
Kalemberは、Proofpointによって開発されたユーザーリスクスコアという方法論について説明しました。「それは、興味を惹くものを見分け、それに人間の感性の要素を組み合わせ、攻撃そのものをスコアリングすることです。」
これには2つの部分があります。Proofpointはすべての脅威を調べ、攻撃範囲、ペイロードの種類およびそれに関連付けられるアクターなどに基づいて、数学的手法によって1~1,000のスコアを割り当てます。その後、この方程式にユーザーデータポイントが追加されます。これには、ユーザーが過去にクリックしたURL、どのユーザーがそれを頻繁にクリックする傾向があるか、フィッシングシミュレーション演習での成績、疑わしいネットワークからアクセスしているユーザーが誰かを確認するためのMicrosoft Office 365とのAPI接続のチェックなどが含まれます。ブラウザのパッチレベルなどのデバイスの健康状態からも、貴重なインサイトを得られます。
これらすべてを統合することで、誰が標的にされており、誰が脅威アクターの戦術とテクニックに騙されやすいかが明らかになります。こういった大量のデータ処理により、防御側は攻撃者よりも優位に立つことができるのです。「皆さんはこのインテリジェンスを使用することで、対策の優先順位を決めることができます。これにより問題を驚くほど小さくできます。」とKalemberはこれらのメトリクスの力と価値を強調します。
Kalemberはチームと協力して90日間で750社以上のProofpointの顧客に関するレポートを作成しました。その上で彼が現在感じているのは、攻撃者はより長い時間をかけて、さまざまな手法で特定の業務グループに属する人々をターゲットにしているということです。たとえば、何万人ものユーザーを抱える大規模なグローバル銀行のような組織では、通常100人くらいがターゲットにされているとKalemberは主張しています。
Kalemberは、大規模なグローバル小売り業者の例を紹介しました。単独のアクターが、LinkedInの役職名に「China associate」が含まれる人全員をターゲットにしたのです。このアクターは、感染したMicrosoft Wordマクロ、マルウェアまたはPDFの添付ファイルに埋め込まれた悪意のあるリンク、クレデンシャルフィッシングなど、攻撃のさまざまな段階でさまざまな手法を使用しました。キャンペーンは長期にわたって続いたため、セキュリティチームはVAPに対して彼らが狙われていることを知らせるチャンスがたくさんありました。セキュリティチームは、キャンペーンで使用されたルアーを使ってユーザーのフィッシングシミュレーションを実行し、将来の攻撃に備えて認知度を高める教育をしました。またセキュリティチームは、これらのユーザーを慎重に監視し、疑わしい行動が見つかったときにアラートを発するためにSIEMやUEBAツールを最適化しました。
Kalemberが指摘しているように、組織はリスクモデルを使用して最も狙われやすい人が誰かを見つけることで、そのインテリジェンスを活用して対策のための取り組みに優先順位を付け、最も効果的なセキュリティ対策に集中できます。まずは以下の様な対策から始めるのが良いでしょう:
- 接続時に人とデバイスの間の厳密なアクセス制御と検証を行う機能を備えたゼロトラストネットワークアーキテクチャを採用
- 悪意のある電子メールとURLをブロックするソリューションを適用
- 誰が標的にされていて、誰が騙されやすく、実際に侵害された場合の影響が大きいのは誰かを調査し、VAPが使用するデバイスの管理者特権を制限
- ユーザー認証のためにMicrosoft Active Directoryおよびその他のツールを活用して、ネットワークおよびクラウドアクセスを保護
- 標的とされているユーザーの脆弱性に対処し、最新の攻撃手法と戦略を活用する、現実世界のセキュリティ意識向上トレーニングとシミュレーションを頻繁に実施
これらのスコアリングおよび分析ツールの多くは、Proofpoint製品に組み込まれています。詳細については、www.proofpoint.com/jpをご覧ください。
ポッドキャスト全体を聴くには、https://risky.biz/soapbox27にアクセスしてください。