ネットワーク脅威の仕組みと対策
ネットワークで遂行される脅威には、通常2つの基本的なタイプがあります:
- 受動的なネットワークの脅威: 盗聴やアイドルスキャンのような、ネットワークを移動するトラフィックを傍受するよう意図された活動。
- 能動的なネットワークの脅威: サービス拒否(DoS)攻撃やSQLインジェクション攻撃など、攻撃者がネットワークの正常な稼働を妨害するためのコマンドを実行しようとする活動。
ネットワークへの首尾の良い攻撃を実行するには、攻撃者が企業のインフラストラクチャへのハッキングを能動的に行い、ソフトウェアの脆弱性を利用しなければなりません。この脆弱性により、離れた場所から内部のオペレーティングシステムにコマンドを実行することが可能となります。 DoS攻撃と共用ネットワークのコミュニケーションのハイジャック(例:企業ユーザーが公共のWiFiネットワークを使用する時)は例外です。
攻撃者は一般的に、メールで配信される脅威を通して社内オペレーティングシステムへのアクセスを得ます。これらの脅威は、まず一連のマシンでセキュリティを侵害します。その後、攻撃者がコントロールするマルウェアをインストールし、攻撃者が垂直に移動できるようにします。 これにより、攻撃者は苦も無く侵入できるポイントを得る一方で、前もって検知されない確率が高まります。
最近のMicrosoftセキュリティインテリジェンスレポートによると、 マルウェアの45%超がユーザーとのなんらかのやり取りを必要としているということです。これはユーザーを陥れることを意図した、ユーザーを標的とするメールが、攻撃者がアクセスを確立するために使用する主要な手口であることを示唆しています。
脅威の中には、金銭的な利益やスパイ行為のために情報を密かに収集するよりは、組織の業務を妨げるよう意図されているものもあります。 最もよく見られるアプローチはサービス拒否(DoS)攻撃と呼ばれるものです。 この攻撃は、ウェブゲートウェイおよびメールゲートウェイ、ルーター、スイッチ等のネットワークリソースを溢れさせ、 ユーザーのアクセスとアプリケーションアクセスを阻み、最終的にはサービスをオフラインにしたり、サービスの質を著しく低下させたりします。 これらは積極的なハッキングは必要としません。むしろ、設定を誤った、あるいは保護の行き届いていないインフラストラクチャーの弱みに付け込むため、組織へのトラフィックを増大させる攻撃者の能力に依存しています。 これは、攻撃者がセキュリティ侵害のあったコンピューターシステムのネットワークを悪用してターゲットをあふれさせることが多いということを意味します。これがサービス拒否攻撃(DDoS)と呼ばれるものです。 多くの場合、攻撃者は、情報セキュリティチームの気をそらして実際の動機をカモフラージュするためにハッキングや悪意のあるメールの送信を積極的に行いながら、DoS攻撃やDDoS攻撃を仕掛けます。
検知を行う一方で、ネットワークで遂行される能動的および受動的な脅威を軽減するため、境界の強化やパッチ適用のプロセスが必要となります。メールで遂行される脅威は、後にネットワークの脅威を可能にしてしまうため、これが組織を、特にメールで遂行される脅威から守るための基本的な出発点となります。