本ブログは、英語版ブログ「https://www.proofpoint.com/us/corporate-blog/post/how-proofpoint-attack-index-reveals-your-most-targeted-users」の翻訳です。
脅威を取り巻く環境は絶えず変化しています。過去2年間における最も大きな変化の1つは、攻撃者がコンピューターよりも人々を攻撃する方が簡単であるという単純な事実に気づいたということです。
先進的な攻撃者はユーザーを直接狙っている
攻撃者にとっては、ネットワークシステムの脆弱性を狙うよりも、ユーザーをうまく誘導してリンクをクリックさせたり、添付ファイルを開かせたりしてマルウェアを起動させる方が簡単で手っ取り早く、そして安あがりです。多くの場合、攻撃を成功させるために必要なのは、そこそこのレベルのソーシャルエンジニアリングスキルによって作成された攻撃用の電子メールだけです。つまり、マルウェアすら必要ないのです。
現代のサイバー犯罪者の多くは、ROIの最適化を目的としたビジネスモデルを持つ、高度に組織化された(違法な)ビジネス集団です。彼らは知的財産の窃取、金銭上の利益の追求などの目的を達成するために、最も効率が良く手間のかからない手法について最大の関心を持っています。
セキュリティソリューションによってITインフラを保護することの重要性は、今でも変わりません。しかし、それでも大規模なデータ侵害が一向に減らないということは、ITインフラだけを守っていてもうまくいかないという単純な事実を示しています。足りない部分を補うために、一人一人のユーザーに焦点を当てる必要があります。これらは、「どちらか」ではなく、「両方」必要な対策なのです。
Proofpointの「人」中心のセキュリティモデルとは
Proofpointは、ビジネスメール、コンシューマメール、ソーシャルメディア、ネットワーク上の脅威、およびSaaSアプリケーションについて包括的な可視性を持ち、キルチェーン全体で何が起こっているのかに関するユニークな脅威インテリジェンス(マルウェアに気を取られていてはわからない脅威インテリジェンス)を提供します。私たちはこの情報を、「人」のリスクを劇的に引き下げるための知見を得るために使用します。
人を中心としたセキュリティの基本は、どの人が最も攻撃を受けているか、つまり「誰が最もリスクに晒されているか」を特定することです。誰が狙われているかを特定できれば、優先順位を付けて対応することができます。しかし、リスクの量をどのようにして測定すれば良いのでしょうか?
「脅威の量」を測定するだけでは不十分
組織内で誰が最も攻撃を受け、最もリスクに晒されているのかを理解するために、Proofpointはまず、特定の期間に特定の人が受けた脅威の量を調べます。このアプローチは、誰が最大量の脅威に晒されているかを教えてくれます。しかし、物量だけでは誰が最も大きなリスクに晒されているのかまではわかりません。
たとえば、Bobというユーザーが1週間に10個の脅威を受信しているのに対し、別のユーザーであるSueは2個しか受信しないとします。攻撃の量だけを見れば、Bobのほうがより大きなリスクに晒されていることになります。しかし、Bobへの10回の攻撃がすべて、マシンパワーのほんの数クロックを盗んでいるだけの低リスクのコインマイナーで、一方でSueへの2回の攻撃が危険度の高いRATだったとしたら、Sueのほうがより大きなリスクに晒されていることは明らかです。脅威の量がリスクの大きさを示すわけでは無いのです。
脅威の真のリスクを反映するProofpoint Attack Index
そのためProofpointは、ある個人が攻撃を受けた際に、その特定の脅威または一連の脅威について、真のリスクをよりよく反映する指標を開発しました。それがProofpoint Attack Indexです。この指標の最も重要な点は、ユーザーが受けるあらゆる脅威にスコアが与えられるということで、ある期間内の脅威のスコアを合計することで、特定の人物についてのAttack Indexスコアが得られます。
Attack Indexは、3つの主要な要素に基づいて、すべての脅威に0-1000のスコアを割り当てます:
- アクターのタイプ
- ターゲティングのタイプ
- 脅威のタイプ
アクターのタイプは、犯罪者の先進性を考慮して決められます。たとえば国家によって支援されているAPTアクターには、ありふれた小規模の犯罪者よりも高いスコアが付けられます。
ターゲティングのタイプは、脅威が標的をどの程度絞っているかによって決められます。その脅威は地球上の一人のユーザーだけを狙ったものか? それとも、特定のユーザー、会社、業界または地域を狙ったものか? あるいは、世界人口の半分にバラまいた無差別攻撃だったのか? 前者には後者よりも高いスコアが与えられます。
脅威のタイプは、攻撃に関与するマルウェアの種類に関係します。これには、その脅威の危険度、そして開発にどれだけのリソースが費やされたかなどが考慮されます。その結果、RATやスティーラーのスコアは一般的なクレデンシャルフィッシングよりも高くなります。
それでは、このややアカデミックなAttack Indexの計算を行った後、それを使ってどのようなことができるのでしょうか? 様々な活用法がありますが、ハイレベルでは、最もリスクの高い人を特定することができます。そして、リスクに基づいて対応の優先順位を付け、リスクを軽減するための適切な対策を行うことができます。
Attack Indexによって、次のような質問に答えることができます:
- 最も攻撃されたのは誰か?
- 最も攻撃されたドメインは何か?
- 最もクレデンシャルフィッシングに引っかかった人は誰か?
- 最も高度な標的型攻撃に狙われた人は誰か?
VIPが即ちVAP(Very Attacked Person:最も攻撃される人)ではない
多くの場合、VIP(一般にはCxOなどの経営幹部を意味します)は組織内のVAP(Very Attacked Person:最も攻撃される人)であると想定できます。これは確かに一面の事実ですが、VIP以外の人の方がより頻繁に攻撃されるケースもたくさんあります。そのような人々には、高いシステム特権を持つIT管理者、あるいは企業のWebサイトで名前が公開されている企業広報や投資家向け広報担当者などが含まれます。
ProofpointでVAPについての研究が進むと、いくつかのパターンが現われました。ある企業では、知的財産を狙う脅威アクターによりプロダクトマネージャが最も攻撃されているのに対し、他の企業では顧客情報を入手しようとするアクターにより、営業担当者や他の顧客対応スタッフが攻撃されている傾向が見られました。これらの知見は、適切な対策を行うのに役立ちます。
Attack Indexは、ハイレベルではどの人が最も危険にさらされているかを特定することができます。そしてデータを深く掘り下げると、攻撃のパターン、脅威、キャンペーン、およびアクターについての情報が得られます。データにこれらの知見と可視性を備えることで、リスクを減らすための対策を効果的に行うことができるのです。
2018年12月3日、ProofpointはAttack IndexをTargeted Attack Protection(TAP)ダッシュボードに追加しました。これは、既存のTAPのお客様が無料で利用できる追加機能です。私の次のブログでは、TAP内でこの機能をどのように使用すれば、VAPに対するより多くの可視性を得ることができるのかについて、ご説明します。