内部脅威を検出するだけでなく、悪意のあるアクションが発生する前に脅威を停止します。 このホワイトペーパーでは、UserLockを使用したログインの管理と保護が、内部脅威に起因する攻撃を阻止するための初期の指標としてどのように機能するかを示します。
- 攻撃者にとって役に立たない、本物だが侵害されたログインを生成することにより、悪用されたユーザーを保護する
- 特定の不用意なユーザーの行動を即座に制限する
- 内部関係者が悪意を持った行動をするのを思い止まらせる
- 自分の信頼するアクセスに関連する疑わしいアクティビティをユーザー自身に警告する
内部脅威
所属する業界やセクターに関係なく、組織にとって最大のリスクは内部脅威にあると一般に理解されています。 脅威は、許可されたアクセス権を持つ個人の悪意のある、または意図しない活動から発生します(CERTからの完全な定期はここにあります)。
また、ほとんどすべての外部攻撃は、最終的には内部関係者のように見えることにも注意してください。 侵害された内部資格情報の使用は、データ侵害における最も一般的な脅威アクションです(Verizon、データ侵害調査レポート2018)。 ファイアウォールを突破するよりも、信頼できるインサイダーの資格情報を盗み、従来のサイバーセキュリティ制御を回避する方がはるかに簡単です。 これは、内部脅威をできるだけ早く特定することの価値を裏付けています。
攻撃の可能性を完全に排除できるテクノロジーはありませんが、悪用された不注意で悪意のある内部関係者から生じる潜在的なリスクを大幅に減らす方法はあります。
ユーザーログインアクティビティは潜在的な脅威を突き止めるための鍵となります
内部脅威は、一般的に見つけるのが困難です。 すべてのネットワークアクティビティをログに記録するだけでは、悪意のあるアクティビティや不注意なアクティビティから組織を保護するのに十分ではありません。 目標は、不適切、悪意のある、または不注意な従業員の行動の主要な指標を探すことです。
これは、異常なユーザーアクティビティの監視に見られますが、潜在的な脅威を示唆するアクティビティである必要があり、必ずしも脅威アクティビティが進行中であることを示唆するアクティビティである必要はありません。
たとえば、ファイルの過度のコピーやアップロードWebトラフィックの急増を監視して、潜在的なデータ盗難を見つけることができますが、実際には、これらのアクティビティが発生すると、手遅れになり、脅威アクションが発生します。
必要なものは下記のとおりです:
- 脅威アクションが実行されるかなり前に発生するアクティビティに注意してください。 早期検出が行われるほど、脅威が与える可能性のあるダメージは少なくなります。
- 誤検知をできるだけ少なくします。 検出パラメータが広すぎる場合、IT部門は、脅威を阻止するのではなく、ゴーストを追跡することに時間を費やします。
- 脅威を検出するだけではありません。 脅威を阻止します。悪意のあるアクションが発生するかなり前です。
これを行うには、回避できない攻撃の一部であるログインに注力します。
特権ユーザーのログインだけではありません
外部的に価値があると見なされるデータにアクセスできる人は、特権ユーザーだけでなく、潜在的な脅威になります。 そして、私たちが誰かと言うとき、私たちは単に直接の従業員を意味するのではありません。 今日のパートナー、請負業者、サプライチェーンまで拡張された企業を考えてみてください。あなたのネットワークにアクセスできる人なら誰でも。
私達の独自の調査では、 6つの一般的な内部脅威のペルソナが協調されました。
ログインセキュリティで内部脅威を阻止
すべての内部脅威アクションに対する最も単純で最も一般的なアクティビティはログインです。 ほぼすべての脅威アクションには、内部資格情報を使用したログインが必要です。 エンドポイントアクセス、エンドポイント間の横方向の移動、VPNを介した外部アクセス、リモートデスクトップアクセスなど、すべてがログインの共通要件を共有しています。
ほとんどの従業員にとって、アクセスを保護する唯一のセキュリティはパスワードであり、攻撃者がパスワードを取得すると、ほとんどの企業のセキュリティ制御を簡単に回避できます。
強化されたログインセキュリティの概念は、4つの主要な機能を中心としており、すべてが連携して安全な環境を維持します。 Windows Active Directory環境では、これはUserLockソフトウェアを使用して実現されます。
- ポリシー&制限 – いつ、どこから、どのくらいの時間、どのくらいの頻度で、どのくらいの頻度でログインできるかを確立します(同時セッション)。 また、特定のログインタイプ(コンソールベースおよびRDPベースのログインなど)を制限することもできます。
- リアルタイム監視&レポート – すべてのログインが監視され、既存のポリシーに対してテストされて、ログインを許可する必要があるかどうかが判断されます。 レポートは、調査に関する詳細な洞察を確保するのに役立ちます。
- ITとエンドユーザーへのアラート – 不適切なログインアクティビティと失敗した試行についてITとユーザー自身に通知します。
- 即時対応 – ITが疑わしいセッションと対話したり、コンソールをロックしたり、ユーザーをログオフしたり、さらにログインをブロックしたりできます。
本質的に、強化されたログインセキュリティにより、ログイン自体が精査され保護されたイベントになります。 正常にログインする(そしてログインしたままにする)機能は、適切な資格情報が使用されているかどうかだけではありません。 そうすることで、内部脅威に対する効果的な保護を提供します。
攻撃を防ぐための初期の指標
ログインセキュリティソリューションは、その特定のアカウント(従業員)に設定されたカスタマイズされたきめ細かいログインポリシーに基づいて、異常なアクセス試行を検出します。それに応じて動作し、ログインを拒否または承認し、規定されている場合はIT(または適切なユーザー自身)に警告します。
現在阻止されている潜在的な内部脅威シナリオには、次のものがあります:
- 悪用されたユーザーを(フィッシング攻撃や悪意のある同僚から)保護し、本物であるが侵害された従業員のログインを攻撃者にとって役に立たないものにします。
- パスワード共有、ロック解除されたままの共有ワークステーション、複数のコンピューターへのログインなど、特定の不注意なユーザーの動作を完全に制限します。
- データ/リソースへのアクセスは常に識別可能であり、1人の個々のユーザーに帰属します。この説明責任は、内部関係者が悪意を持って行動することを思いとどまらせ、疑わしい活動への迅速な対応を保証し、発生した違反に対処する証拠を提供し、すべてのユーザーが行動に注意を払うようにします。
さらに、エンドユーザーには、自分の信頼できるアクセスに関するアラートを含む、カスタマイズされたメッセージとアラートが通知されます。情報に通じた従業員は別の防衛線です。
UserLockを使用したログインセキュリティは、潜在的な内部脅威を阻止するためのシンプルで効率的かつ効果的な手段です。ログイン時に、アクションが発生する前に論理的に存在する保護レイヤーを提供して、脅威を完全に阻止します。ログインも脅威もありません。
費用対効果の高い内部脅威対策用のソフトウェア
内部脅威は現実のものであり、ここにあります。 今日。 すでにネットワーク上にあります。 彼らはあなたが毎日一緒に仕事をしている従業員であり、彼らへの内部関係者への移行は、分裂した関係、昇進の放棄、または個人的な苦難にすぎないかもしれません。 したがって、内部の脅威に対処するためのプロアクティブで費用効果の高いソリューションを持つことは、エンドポイント保護、ファイアウォール、および電子メールゲートウェイと同じくらい重要です。
セキュリティソフトウェアUserLockを活用することで、発生する可能性のある悪意のあるアクションよりも、内部脅威の検出と対応に重点を置くことができます。