デジタルトランスフォーメーション、アプリケーションの近代化、クラウドへの移行、そして新しい分散型人材の登場により、州や地方機関の業務は、悪意のある行為に対してより脆弱なインターネットに追いやられています。このように拡大する脅威領域は、脅威アクターによってますます悪用されるようになっています。攻撃者はネットワークに最初にアクセスできるようになり、そこから他のより魅力的なターゲットに拡散することが可能になります。
軍拡競争におけるこのギャップの一因は何か? セキュア Web ゲートウェイ (SWG)は、Webベースの脅威に対抗するための政府機関の典型的な主要ツールです。今日の脅威アクターの巧妙さを増す戦術に対抗する役目はありません。
従来のSWGが失敗している理由と、今日のWebベースの脅威から組織を守るためにセキュリティチームが代わりにすべきことは何か、この記事を読んでおきましょう。
SWG とはどのようなものですか?
によると ガートナー、Secure Web Gateway(SWG)ソリューションは、Webサーフィン中のPCを感染から保護し、企業ポリシーを適用します。ユーザーが発信したインターネットトラフィックからマルウェアをフィルタリングし、企業ポリシーや規制ポリシーへのコンプライアンスを強化することで機能します。これらのゲートウェイには、少なくとも URL フィルタリング、悪意のあるコードの検出とフィルタリング、一般的な Web ベースのアプリケーションのアプリケーション制御が含まれている必要があります。
SWGはなぜ重要なのでしょうか?
それを考えると 今日の情報漏えいの 90% はウェブとメールから発生しています、SWGは企業のセキュリティ戦略においてますます重要な要素になっています。Web ベースのマルウェア、ドライブバイ攻撃、認証情報の盗難、そして最も一般的で破壊的な攻撃に対する主要な防衛線となっています。 ランサムウェア。によると、2021 年には 70% 以上の組織がランサムウェア攻撃に見舞われました。 2022年サイバーエッジサイバー脅威防御レポート —2018年の55パーセントからという驚異的な増加です。世界が世界的なパンデミック、ますます不安定化する地政学的緊張、およびサプライチェーン危機からインフレ率の上昇に至るその他の混乱からの回復に苦慮し続けている中、これらの攻撃は企業を停止させ、公共インフラを混乱させ、組織に数十億ドルの身代金を支払いました。
SWGがこれらの攻撃を阻止するための設備が整っていないという事実は、企業のリソースを大きく浪費しています。また、サイバー脅威対策レポートでは、身代金を支払う組織の3分の2が、結局はインターネット上にデータが公開されてしまうこともわかりました。このリスクを軽減する唯一の方法は、最初の侵害の発生を阻止することです。
従来のSWGが最初の侵害を防ぐのに不向きなのはなぜでしょうか?
従来のSWGは、もう存在しない世界のために10年以上前に設計されました。10年前、つまり5年前、ほとんどの作業はデータセンターで行われていましたが、アプリケーションとデータが分散化されてクラウドに移行するにつれて、従来のSWGは追いつけなくなりました。その結果、悪意のある攻撃者はこの分散化を有利に利用し、戦術を進化させてきました。現在では、ネットワークのエッジでの検出を回避することに非常に成功しています。これにより、ブラウザーの脆弱性を通じてエンドデバイスに侵入することが可能になります。そこから、ペイロードを配信する適切な時期が来るまで、辛抱強く待ってゆっくりと環境を調査するだけで済みます。
脅威アクターはどのようにしてSWG検出技術を具体的に回避しているのでしょうか?
呼ばれた 高回避型適応型脅威 (HEAT)、これらの攻撃は、高度な回避手法を採用して従来のWebセキュリティ対策を回避し、Webブラウザ機能を活用してマルウェアの配信や認証情報の侵害を行う脅威アクターによって使用されます。HEAT 攻撃が成功すると、ブラウザベースのセキュリティ防御はすべて無力になります。 これらにはサンドボックスが含まれます、ファイル検査、 ネットワークおよび HTTP レベルの検査、 悪性リンク分析、オフラインドメイン分析、 妥協指標 (IOC) フィード。
具体的な手法には以下が含まれます。 HTML の密輸について、保護されていないチャネル(テキストメッセージ、ソーシャルメディア、プロフェッショナルWebネットワーク、コラボレーションソフトウェア、SMS、共有ドキュメント、共有フォルダー、SaaSプラットフォームなど)を介して悪意のあるリンクを送信したり、Webページのソースコード内に悪意のあるコンテンツを隠したり、無害なWebサイトを使用して高度なマルウェアを配信したりします。これらのヒートアタックは、本質的には目に見えないように隠れていますが、従来の SWG を騙して正規のトラフィックであると思い込ませることができます。
では、解決策は何でしょうか?組織を HEAT 攻撃から守るにはどうすればいいのか?
すべてが失われたわけではありません。従来の SWG は既知の脅威に基づいてブロックするか許可するかの決定ツリーに基づいて動作しますが、新しい種類のクラウドネイティブ SWG ソリューションでは、未知の脅威にも保護が拡張されます。これらのクラウドネイティブなSWGソリューションは、すべてのコンテンツが悪意のあるものであると想定する隔離技術を活用して、許可するかブロックするかを決定する必要がなくなります。悪意の有無にかかわらず、すべてのコンテンツはクラウドのリモートブラウザで隔離されます。
エンドデバイスにアクセスできないため、検出されたかどうかにかかわらず、マルウェアは効果的に駆除されます。つまり、最初の侵害を行ったり、意図したペイロードを配信したりできないだけです。また、ほとんどのコンテンツはインターネットまたは電子メールから送信されるため、クラウドネイティブなコントロールポイントを介してトラフィックをルーティングすることで、組織はパフォーマンスやユーザーエクスペリエンスに影響を及ぼすことなく、すべてのトラフィックとすべてのユーザーに適切なポリシーを適用できます。
隔離技術を使用するクラウドネイティブなSWGソリューションで組織を保護できますか?
まあ、いいえ。 すべてのSWGが同じように作られているわけではない。多くのソリューションはいまだに検出と対応のアプローチに依存しており、たとえばリスクのあるサイトや未知のサイトを隔離するなど、ルールに従ってコンテンツを分離しているだけです。
最近侵害された評判のある Web サイトから配信された悪意のあるコンテンツをブロックできなかったり、Web ページのソースコードで難読化された悪質なコードを見つけられなかったりする可能性があります。その時点で、脅威はすでにエンドポイントにペイロードを配信し、組織全体に横方向に移動し始めている可能性があります。これらはまさに、脅威アクターが悪用する専門家となった例外やルールです。
脅威アクターの回避手法に対して真に効果を発揮するには、フィッシング対策と高度な隔離テクノロジーをSWGの中心に置く必要があります。つまり、すべてのコンテンツとすべてのWebサイトを悪意のあるものとして扱い、デフォルトで隔離する必要があります。セキュリティに対するこのゼロトラストアプローチは、既知の脅威と未知の脅威の両方が機関に侵入してエンドポイントに感染するのを防ぎます。