分散ネットワーク全体の内部脅威を表示して対処する

ハッカー、サイバー犯罪者、マルウェア感染、その他の外部からの脅威がニュースの見出しを賑わせています。そしてそれには十分な理由がある。セキュリティ侵害により何百万ものデータ記録が失われることは、今日では当たり前のことのようです。統合されたデジタル経済へと向かう中で、大規模または組織的なサイバー攻撃の影響は壊滅的な結果をもたらす可能性があります。

しかし現実には、サイバー攻撃の大部分は検出されないままです。目にすることも耳にすることもないが、昨年サイバー攻撃によって生じた 6,000 億ドルの損失の大半は標的型攻撃によるものであった。あまり知られていないのは、データ侵害やシステム侵害のほぼ半数が、外部からではなく組織内部から発生しているということです。これらのうちほぼ半分は意図的なものであり、残りは偶発的なものでした。

[[257359]]

セキュリティの観点から見ると、内部者による攻撃からの保護は、外部のネットワーク攻撃からの防御とはまったく異なります。脆弱なデバイスやシステムにアクセスしたり、ネットワーク権限を昇格したりすることも、内部から実行する方が簡単な場合がよくあります。多くのセキュリティ システムは、特に暗黙の信頼に基づいて構築された環境や、ほとんどのセキュリティ リソースが境界制御に集中している環境では、既知のユーザーの行動に注意を払っていません。

潜在的な内部脅威を特定する

リソースを危険にさらす内部者の行動を特定し、そのような行動を実行する可能性のある人物を特定することで、組織は内部者の脅威に先手を打つことができます。インサイダーには 2 つの種類があります。

1. 悪意のある行為者

これらの個人は、さまざまな理由から、自らのビジネスを危険にさらすことをいとわないのです。これらには、個人的な利益、昇進を逃した、上司が悪かったなどの不当な扱いを受けたことに対する報復の欲求、政治的動機、国家や競争相手が後援する産業スパイ活動などが含まれます。

インサイダー攻撃により、貴重なデータや知的財産 (IP) が盗まれたり、潜在的に恥ずかしいデータや独自のデータが一般の人々や競合他社に公開されたり、データベースやサーバーが乗っ取られたり破壊されたりする可能性があります。顧客情報や従業員情報（個人識別情報 (PII) や個人健康情報 (PHI) を含む）は、ダークウェブ上での再販価値が最も高いため、最も人気のあるターゲットです。次に盗まれることが多いデータは、知的財産 (IP) と決済カード情報です。

従来の外部攻撃の場合、通常とは異なる宛先への急速なデータ流出によって生じる異常なデータフローは、偽装するのが難しい場合があります。このアクティビティは、企業のセキュリティ ポリシーと競合したり、不規則な時間に発生したり、奇妙なアクセス ポイントから発生したり、通常とは異なるネットワーク アドレスに移動したり、予想外に大量のデータが含まれていたりする可能性があります。これらのいずれかにより、アクティブな侵害をシャットダウンできるセキュリティ対応がトリガーされるはずです。

しかし、内部関係者は既に継続的かつ信頼できるアクセス権を持っているため、時間の経過とともに攻撃やデータの流出が発生する可能性があり、攻撃者は戦略を計画し、痕跡を隠し、データを偽装する時間が増え、セキュリティ ツールによるデータの移動の特定が困難または不可能になり、検出しきい値を下回ることになります。多くのユーザーは、コア環境とマルチクラウド環境間でデータを移動することで検出を回避し、エコシステム全体で一貫性のないセキュリティ実装を利用することもできます。

2. 過失

組織が特定のユーザーに、そのユーザーが管理できるスキル以上の権限を与えることは珍しくありません。たとえば、データベースへの権限の昇格を主張する幹部は、フィールドの長さを変更するという単純な操作を行うだけで、重要なアプリケーションが誤動作する可能性があります。これらのユーザーは、機密性の高いアプリケーションや情報を扱う際の基本的な注意事項を認識していなかったり、ミスを犯しがちであったり、単に不注意であったりしますが、ほとんどの場合、危害を加える意図はありません。

ただし、データの損失や漏洩は必ずしも権限が不適切に付与された結果であるとは限りません。モバイル デバイス、ラップトップ、またはサム ドライブを紛失したり、廃棄したハードウェアのディスクやハード ドライブを消去し忘れたり、ソーシャル ネットワークでのチャット中にビジネス情報を漏洩したりすると、他の誰かによる意図的な攻撃と同じくらいコストのかかるミスにつながる可能性があります。

社内リスクに対処する

組織はデータフローを完全に可視化する必要があります。コア、マルチクラウド、SD-WAN 環境を含め、誰がいつどこでどのデータにアクセスしているかを把握する必要があります。セキュリティ チームは、機密情報や権限にアクセスできるマネージャー、管理者、スーパー ユーザーなどの危険なユーザーを具体的に識別して分類するとともに、重要なデータ、リソース、アプリケーションにアクセスできるすべてのユーザーのリストを維持および監視する必要もあります。

セキュリティ担当者が攻撃を早期に検出できるように制御を実装することで、効果的な内部脅威対策プログラムの作成を開始できます。たとえば、権限の昇格などには注意する必要があります。通常のパラメータ外のアプリケーション、プローブ、フロー。特に異なるネットワーク ドメイン間のアプリケーションやワークフローの異常なトラフィック パターン。

異常なイベントをインテリジェントにフラグ付けし、セキュリティ担当者に即座に報告するには、分散ネットワーク上で行動分析を利用できる必要があります。ゼロトラスト モデルに移行し、厳格な内部セグメンテーションを実装することで、多くの攻撃に必要なネットワーク全体の横方向の移動を防ぐことができます。大量の低レベルの情報でセキュリティ チームを圧倒することなく、優先度の高いアラートがすぐに表示されるように、プロトコルを設定する必要があります。

留意すべき点は次のとおりです:

1. ITリソースおよびアプリケーションの不正使用

• 従業員は個人用クラウドを使用して会社の情報にアクセスします
• 泥棒はシャドーITを利用する
• 個人情報へのアクセス、共有、配布
• 承認されていないライセンスのないソフトウェアのインストール
• ネットワークスニッフィングやリモートデスクトップツールを含む制限されたアプリケーションの不正使用

2. 不正なデータ転送

• リムーバブルメディアを使用してデータを保存または移動する
• ビジネス上重要なデータのクラウドまたはウェブサービスへの不正コピー
• 通常とは異なる宛先へのファイル転送
• インスタントメッセージングやソーシャルメディアアプリケーションを使用してファイルを移動する

3. 不正行為および悪質な行為

• ファイルシステム管理者権限の悪用
• エンドポイントセキュリティ製品を無効化または上書きする
• パスワード窃盗ツールの使用
• ダークウェブを訪問する

予防は重要な第一歩

従業員の良好な行動を促す労働環境を整えることで、問題をさらに防止できます。

たとえば、給与水準、キャリアの見通し、または仕事のその他の側面が測定可能な満足度のレベルを下回ると、従業員は組織を辞め、機密情報を持ち去ろうとする可能性があります。したがって、従業員満足度を測定し、それに応えることは、内部者のセキュリティリスクから保護する上で非常に重要な部分です。 HR と IT が連携して定期的に情報セキュリティ意識向上プログラムを実施することで、不注意な行動を減らすことができます。

結論は

特にネットワークが大規模かつ複雑になるにつれて、内部脅威のリスクは私たちが考えるよりも大きくなることがよくあります。不注意と悪意が主な原因の 2 つですが、どちらも軽減できます。認識と慎重な情報取り扱いを向上させるソリューションには、トレーニングと認識、およびコアからクラウドまでの分散ネットワーク全体にわたる特権ユーザーと重要なデータの監視が含まれます。これには、高度な動作分析を含む動的なネットワーク セグメンテーションとセキュリティ ツールを備えた単一のファブリックへの統合が必要です。

これらの技術的解決策は答えの半分にすぎません。魅力的な労働環境を作り、維持することも、悪質な行為を防ぐのに大いに役立ちます。給与は単なる 1 つの要素であり、必ずしも重要な要素ではないことを覚えておいてください。所有権、チームワーク、従業員が重要なタスクを実行しているという意識を醸成することは、社内のセキュリティ ソリューションと同じくらい重要です。