Menlo SecurityがVotiroを買収し、企業に簡単なAI主導のデータセキュリティを提供
ブログを読む
メールは長年、サイバー攻撃の主な入り口となっており、それはすぐには変わりません。これが、セキュリティチームが防御に多額の投資をしてきた理由です。今日のセキュアなメールゲートウェイ(SEG)とフィルタリングツールは、スパム、大量のフィッシングキャンペーン、既知の悪意のある送信者をブロックする点で、10年前よりもはるかに洗練されています。多くの組織にとって、これらのツールは安心できる第一線の防衛線です。ここには、「しかし」が続きます。
どんなに強力なフィルタリングでも、すべてを捕捉できるわけではありません。ビジネスで迅速かつ効率的なコミュニケーションを取るための主な手段として、従業員がメールを信頼していることを攻撃者は知っています。その信頼を悪用して、防御の最も弱い部分、つまり私たちが日々開いているファイルの中に脅威を埋め込んでいるのです。Word文書、PDF、スプレッドシート、さらには圧縮された添付ファイルやパスワードで保護された添付ファイルも、すべてマルウェアの感染経路となり得ます。このようなファイルを媒介とする脅威は、表面的には必ずしも不審には見えないことから、従来のフィルタリングをすり抜けます。添付ファイルは、受信者にとっては単なる請求書、報告書、プレゼンテーションのように見えます。しかしその中には、開いた瞬間にシステムを危険にさらす設計のコードが隠されていることがあるのです。
この盲点、つまり正規のメールの添付ファイルに潜む悪意のあるコンテンツは、今日のメールセキュリティにおいては最も根強く、危険性の高い弱点の一つとなっています。
セキュアなメール通信を保つという課題は、ここ数年で脅威ランドスケープがいかに急速に進化したかによってさらに複雑になっています。かつてはタイプミスや見つけやすい警告サインが目立っていたフィッシングは、AI生成メールの登場により、はるかに説得力のあるものになっています。AIを利用することで、攻撃者は企業のトーン、フォーマット、さらには個人の文体を模倣したメッセージを作成し、正規のコミュニケーションとほとんど区別がつかないメッセージを送信し、従業員を騙して添付ファイルを開かせたり、リンクをクリックさせたりすることをこれまで以上に容易にしています。さらに悪いことに、AIの速度により、こうしたフィッシング攻撃はこれまでになく飛躍的に速く再現され、複製されるようになりました。マルウェアの世界では、これは数のゲームであり、数が勝利するのです。
従来の検知ベースのツール、例えばアンチウイルス、シグネチャ・スキャン、多くの高度なフィルタリング・ソリューションは、現状に追随するのに苦労しています。こうしたツールは既知の脅威を認識するように構築されていますが、攻撃者の側では、シグネチャが作成されるよりも速く変異するゼロデイ・エクスプロイトやポリモーフィック型マルウェアがますます普及しています。脅威が特定される頃には、すでに防御を回避して拡散し始めている可能性があるのです。組織は旧型のセキュリティ対策をすり抜ける高度なファイルベースの攻撃にさらされています。AIが全盛期を迎えた今、これらの脅威はより巧妙になり、正規のファイルから見分けることはますます困難になっていくでしょう。
電子メール防御の進歩にもかかわらず、ほとんどの組織が頼りにしているツールは、ファイルを媒介とする現代の脅威に対応できるように構築されていません。たとえば、SEGはスパムをフィルタリングし、明らかなフィッシング攻撃をブロックするのに非常に効果的です。傍から見て怪しいものを止めることには秀でています。ただしファイルを分析してサニタイズするようには設計されておらず、正当な文書に埋め込まれた悪意のあるコンテンツは、しばしば防御をすり抜けます。
一部の組織はサンドボックスをレイヤーとして追加して、さらに検査レベルを上げています。このアプローチは特定の種類のマルウェアを検出できますが、コストがかかります。サンドボックスは遅く、リソースを大量に消費するため、遅延が生じてエンドユーザーを苛立たせます。さらに悪いことに、攻撃者はサンドボックスを出し抜く術を身につけています。マルウェアはサンドボックス環境を認識し、安全に本番稼働ネットワーク内に入るまで休眠状態を保つようにコーディングされ、阻止のための保護そのものをすり抜ける場合があります。
脅威が最終的に特定されても、しばしば手遅れです。エンドポイント検知/対応(EDR)ツールや従来のアンチウイルスツールは、攻撃が始まった後で初めて作動します。その時までに、マルウェアは既に実行され、機密データを流出させたり、システム間で横方向に移動したりしている可能性があります。その時点で、セキュリティチームはインシデントを防御するのではなく、受動的に対応するしかありません。
その結果、危険な課題が生じます。従来型の防御は。明らかにそれとわかる不要物はうまく排除しますが、最も大きな被害を引き起こす隠れたファイル型攻撃をいつも見逃しています。これが、あのあまりにも馴染み深いゼロアワー/ゼロデイ侵害の見出しにつながります。まるで小さな街の高級な洗車場のように。つまり、必要以上に頻繁に目に留まるということです。
この課題を埋めるには、悪いものを見つけることに頼るのではなく、ユーザーが安全なものとだけやり取りすることを確実にする異なるアプローチが必要です。
Menlo Securityの次世代コンテンツ無害化・再構築(CDR)ツールは、すべてのメール添付ファイルを確実に、リアルタイムでサニタイズします。Menloはメールサーバー(およびO365 API)と直接統合されており、シームレスな保護を提供します。Menloは、ファイルのブロックや隔離に代わり、それぞれの文書をクリーンなテンプレートに再構築して、検証済みの安全な要素のみを送信します。従業員はワークフローを中断することなく、完全に機能するクリーンなファイルを数ミリ秒以内に受信できます。
ゼロトラストの理念を受け入れることも、この課題を埋める鍵です。ゼロトラストでは、すべてのファイル、すべてのリンク、すべてのダウンロードを、安全であることが証明(または確保)されるまでは危険なものとして扱います。デフォルトでは、何一つ検証なしで通過させることはありません。
セキュリティリーダーやITチームにとって、このアプローチの価値は明白です。プロアクティブな保護により、ファイル経由の脅威はエンドポイントに到達する前に無効化され、事後対応するのではなく、発生源で脅威を阻止します。隔離、手動によるファイルレビュー、および無限のアラートトリアージの必要性をなくすことで、組織はSOCの効率を低下させるアラート疲労も回避できます。
メッセージはシンプルです。Eメールのセキュリティは、ファイルのサニタイズなしには完遂できません。脅威が最初から受信トレイに届かなければ、検出する必要もないのです。
Menlo Security
