ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
ブラウザは、現在、最も使用されているエンタープライズアプリケーションです。しかし、人気には大きな目標が伴います。によると ベライゾン 2022 データ漏えい調査レポート (DBIR)、主にWebブラウザ経由でアクセスされるWebアプリケーションと電子メールは、セキュリティ侵害の主な攻撃ベクトルであり、このようなインシデントの 80% 以上を占めています。脅威アクターは、より目立つ標的を求めてネットワーク全体に拡散する前に、ブラウザを介して最初の足がかりを得るために、高度に回避的で適応性の高い手法を用いています。
セキュリティチームはもちろんこのことを知っており、この種の攻撃を阻止するために必要なレベルの保護を提供するために、既存のセキュアウェブゲートウェイ(SWG)に頼っています。ただし、これらは 回避力が高く適応性の高い脅威 (熱) 通り抜け続けてください。ランサムウェアとフィッシングは、非常に長い間そうであったように、企業のセキュリティチームにとって依然として問題です。
SWGは古くから存在していますが、時間の経過とともにまったく異なるものに進化した問題を解決するために設計されました。覚えていらっしゃると思いますが、SWG はもともと Web フィルタリングツールとして意図されていました。企業ネットワークと公衆インターネットをつなぐファイアウォールの役割を果たし、潜在的に悪意のあるコンテンツを識別します。この変曲点では、ユーザーがアクセスできるコンテンツを指定する静的なセキュリティポリシーを使用して、許可するかブロックするかを簡単に決定しました。その後、SWG は URL レピュテーションとサンドボックス機能を含むように進化しました。これにより、組織はまず悪意のあるコンテンツを特定し、企業ネットワークにアクセスする前にそのコンテンツを隔離することができます。
ご想像のとおり、脅威アクターはSWGと並行して進化し、これらのフィルターを回避するための回避的で適応性の高い手法を開発しました。やがて、脅威アクターは、ブラウザが企業ネットワークへのゲートウェイになったことに気付き、トラフィックが SWG でフィルタリングされる前にブラウザにペイロードを配信する方法を開発してきました。HTML スマグリング、クロスサイトスクリプティング、などの手法や レガシー URL レピュテーション回避 (LURE)はブラウザの脆弱性を悪用しています。SWG はエンドポイントと企業ネットワークの中間に位置し、ブラウザを標的とする HEAT 攻撃をブロック (あるいは識別) する立場にはありません。いったん最初にアクセスできたら、待機して、検出されずにネットワークに拡散する方法を見つけて、ペイロードを配信できます。
SWGは完全に時代遅れというわけではありません。実際、それらはかなり回復力があります。脅威の進化に合わせて何度か進化してきたので、私たちがすべきことはその範囲をブラウザにまで拡大することだけです。今日の HEAT 攻撃により適切に対応するために SWG が進化できる 4 つの方法を次に示します。
SWGはエンドデバイスと企業ネットワークの間に位置し、ブラウザで何が起こっているかをほとんど可視化できません。組織は、可視性をブラウザにまで拡大し、ユーザーがインターネットをどのように利用しているかを監視する必要があります。これには、訪問しているサイト、アップロードおよびダウンロードしているファイル、Software as a Service (SaaS) プラットフォーム、業務遂行に使用するクラウドインフラストラクチャ (SaaS) プラットフォーム、クラウドインフラストラクチャ、さらにはソーシャルメディアや企業ネットワークの外部で行われるその他のやり取りも含まれます。SWGをエンドデバイスと公共のインターネットの間で移動するだけで、このような重要な可視化が可能になります。
フィッシング攻撃は、合法的で信頼できるブランドを模倣するのが非常に上手になっています。SWG は、人工知能 (AI) と機械学習 (ML) を使用して画像、ロゴ、フォント、メタデータなどの Web 要素を分析し、サイトが意図したとおりのサイトかどうかを判断する必要があります。そして、クリックした瞬間にリアルタイムでこれを行う必要があります。今日の攻撃はビジネスのスピードで進んでおり、検出が遅れるとセキュリティ侵害につながる可能性があります。多要素認証 (MFA) バイパスはその好例です。攻撃者は MFA トークンを傍受し、数秒以内にアプリケーションにアクセスできるようになります。AI/MLを装備したSWGは、ユーザーが認証情報を入力する前に、Webフォーム上の不審なロゴを検出する可能性があります。
SWGは、ユーザーとパブリックインターネットの間に仮想的なエアギャップを作り出す分離技術で強化することもできます。悪意のあるコンテンツかどうかに関係なく、すべてのコンテンツを、エンドデバイスに届く前にクラウドのリモートブラウザで実行しておけば、HEAT攻撃が最初の足掛かりを得るのを防ぐことができます。攻撃をだまして回避的な手法を実行させ、さらにはエンドデバイスに到達する前にペイロードを配信するように強制すると、準備が整う前に攻撃者は自分自身を明らかにせざるを得なくなります。これにより、URL フィルタリングやサンドボックスなどの従来の SWG 機能でも最善を尽くすことができます。
最後に、SWGは動的なセキュリティ・ポリシーを実行できるメカニズムで更新する必要があります。これまで、SWG によるセキュリティ制御は静的でした。このようなコンテンツや動作が検出された場合は、ブロックしてください。ただし、セキュリティポリシーには微妙な違いが必要です。ユーザーは、休暇中や会議中に、思いがけない場所からログインしてしまいます。意図的であろうとなかろうと、人々は不審な行動をとることがあります。正規の Web サイトは、多くの場合、未分類または誤分類です。適切なコンテキスト内で動的なセキュリティポリシーを実行することで、インターネットの広い範囲を遮断したり、生産性を低下させたりすることなく、ユーザーをHEAT攻撃から守ることができます。
SWGは何十年にもわたって重要なサイバーセキュリティツールであり、絶えず変化する脅威環境に合わせて進化する驚くべき能力を示してきました。今こそ、新たな進化の時です。既存のセキュリティ戦略により、ブラウザは今日の HEAT 攻撃にさらされます。SWGが今日の脅威に対応できるように強化できる4つの方法は、ブラウザへの可視性の拡大、Webコンテンツのリアルタイム分析、パブリックインターネットからのユーザーの隔離、および動的なセキュリティポリシーの実現です。
