ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
サイバーセキュリティの用語や略語の宝庫をどう理解していますか?当社の用語集では、脅威に打ち勝ち、生産性を守るために知っておく必要のある用語を取り上げています。
OK、簡単なものから始めましょう。アンチウイルス機能は既知のマルウェアを阻止します。悪意のある攻撃者の多くは、最初に侵入し、検出されないまま数週間、数か月、または数年待ってから、デバイスからデバイスへの迅速な移行に役立つペイロードを実行します。今日の分散環境では、ウイルスが最初に侵入する前にウイルスを検出できること、またはペイロードを実行して拡散が始まる前にウイルスを検出できることが極めて重要です。アンチウイルスソフトウェアは、攻撃者が脅威を変化させる速度が速いことを考えると、時間の経過とともに効果が低下していますが、大量の古い脅威に確実に対処するためには依然として重要です。
今日のユーザーは、個人のデバイスから重要なビジネスシステム、アプリケーション、およびデータにアクセスできることを期待しています。そのため、セキュリティチームが管理対象(会社所有)と管理対象(会社所有)の両方へのアクセスを制御できることが不可欠です。 。これは特に医療において重要です。多くの医師や看護師は、技術的には独立した契約社員で、病院や診療施設を個人開業のために利用しています。また、病院ネットワークにアクセスするためには自分のデバイスを持参します。病院のセキュリティチームは、依然としてこれらの管理対象外のデバイスに適切なセキュリティポリシーを適用する必要があります。
クラウドの変革により、多くの重要なアプリケーションがクラウドとサービスとしてのソフトウェア(SaaS)プラットフォームに移行しました。 CASB ソリューション SaaSプラットフォームへの安全でセキュアなアクセスをユーザーに提供します。これには、認可されたSaaSアプリケーションと認可されていないSaaSアプリケーションの両方の検出、機密データの検出と監視が含まれます。CASB ソリューションが SaaS プラットフォームから流れるトラフィック (マルウェア) と SaaS プラットフォームに流れるトラフィック (データ漏洩) の両方を監視できることが重要です。
CSP は、信頼できる Web ページに埋め込まれた悪意のあるコンテンツに起因するクロスサイトスクリプティング、クリックジャッキング、その他のコードインジェクション攻撃を防止します。ここで重要なのは、信頼には有効期限があるということです。ある日は安全だと見なされた Web サイトに、翌日には悪意のあるコンテンツ (通常は広告やその他のサードパーティモジュールを通じて) が侵入する可能性があります。信頼性はクリックした時点で確認されなければなりません。
データ侵害では、機密データ、機密データ、またはその他の方法で保護されたデータが攻撃者によってアクセス、盗難、または公開されます。データ侵害は、ハッキング、マルウェア、人為的ミス、システム障害など、さまざまな要因によって発生する可能性があります。データ漏えいによる被害は、金銭的損失、評判の低下、侵害を受けた組織に対する法的責任など、深刻なものになる可能性があります。
組織は、ネットワークから流出する機密情報を継続的に監視する必要があります。A) DLP solution in the cloud is able to monitor traffic outside the traditional perimeter, where users access information on the Internet. It’s important that the DLP solution is lightweight, invisible to users, and able to record what happened, how it happened, and who was involved. in the cloudは、ユーザーがインターネット上の情報にアクセスする従来の境界外のトラフィックを監視できます。DLP ソリューションは軽量で、ユーザーには見えず、何が起こったのか、どのように起こったのか、誰が関与したのかを記録できることが重要です。
EDRは分散デバイスの状態を継続的に監視し、セキュリティチームがサイバー脅威に対応できるようにします。デバイスはデータセンターから分散しているため、EDR ソリューションで検出可能であり、高度なサイバーセキュリティの脅威から保護されていることが重要です。
暗号化はデータをロックするので、たとえ脅威アクターがデータを盗むことができても、キーがないとデータを開くことはできません。ファイルやドキュメントを構成する整理されたデータは、一見ランダムな順序にスクランブルされたり、エンコードされたりして、暗号化キーでのみデコードできます。ただし、攻撃者がキーをブルートフォース攻撃して、適切なパスワードが見つかるまでさまざまなパスワードを高速で試行する強力なコンピューターでキーを推測しない限り。本当に安全な暗号化は、十分に複雑なエンコーディングでこれを防ぎます。データの暗号化は、さまざまな業界で必要とされています。
従来のファイアウォールは、境界を通過するすべてのトラフィックを監視しますが、ユーザー、デバイス、およびアプリケーションがデータセンターの外に移動するようになった今、境界はもはや存在しません。組織は依然としてユーザー、システム、およびデータとやり取りするトラフィックを監視してブロックする必要があるため、ファイアウォールの機能をクラウドに移行し、分散したユーザーにサービスとして提供することは理にかなっています。これにより、組織は悪意のある接続を監視し、適切なセキュリティポリシーとネットワークポリシーをすべてのトラフィックに適用できます。
によると 米国総務局、連邦リスクおよび認証管理プログラム(FedRAMP)は、「クラウド製品とサービスのセキュリティ評価、承認、および継続的な監視への標準化されたアプローチを提供する政府全体のプログラムです。このプログラムを実施することで、政府機関は連邦情報のセキュリティと保護に重点を置いた最新のクラウド技術を活用できるようになります。
ファイアウォールは、ネットワークとすべての送受信トラフィックとの間のバリアとして機能し、Webアクティビティを分析し、一連のパラメーターに基づいてWebアクティビティを許可または禁止します。通常、企業ネットワーク、つまり信頼できるネットワークと、エンドポイントまたは信頼できないネットワークの両方に、脅威のないトラフィックを許可しながら悪意のあるトラフィックを防ぐための第一の防衛線として設定されます。ファイアウォール技術は1980年代後半に開発され、現在でも一般的に使用されています。
高回避型適応型脅威 (HEAT) は、Webブラウザを攻撃ベクトルとして利用し、さまざまな手法を使用して現在のセキュリティスタックにおける複数の検出層を回避するサイバー脅威の一種です。その結果、HEAT ベースの攻撃は従来の Web セキュリティ対策を回避し、Web ブラウザの機能を利用してマルウェアを配信したり、認証情報を侵害したりします。多くの場合、これがランサムウェアの配信につながります。
HTML5やJavaScriptなどの正規のWebブラウザ機能を活用することで、攻撃者はWebページのHTMLコードに直接埋め込むことで、悪意のあるコンテンツを従来のセキュリティスタックから「密輸」できます。コンテンツは JavaScript のバイナリラージオブジェクト (BLOB) に隠され、エンドポイントで再構築されます。サンドボックス、プロキシ、ファイアウォールなどの従来のセキュリティソリューションではコンテンツを検出できず、分析されなくてもエンドポイントに届く可能性があります。
脅威アクターは、従来のセキュアウェブゲートウェイ(SWG)やURLフィルターを簡単にバイパスしています。 レガシー URL レピュテーション回避 (LURE) 攻撃、高回避型適応型脅威(HEAT)の一種。ユーザーが安全にウェブ全体を閲覧できるように、従来のウェブフィルターではドメインを信頼できるものと信頼できないものに分類していました。このソリューションの問題点は?LURE 攻撃では、進取の気性に富んだ脅威アクターが「良い」と分類された Web サイトを乗っ取り、まったく検出されずにウェブフィルターをすり抜けることができる悪質なコンテンツを仕掛けています。
マルウェアは悪意のあるソフトウェアの略で、ユーザーのコンピューターまたはネットワークに感染して損害を与えるように設計されたソフトウェアのことです。マルウェアは、ウイルス、ワーム、トロイの木馬、フィッシング攻撃、スパイウェア、そして非常に恐ろしいランサムウェアなど、さまざまな形態をとる比較的幅広い種類のマルウェアです。これらのさまざまな形態のマルウェアは、個人情報の盗難から組織のデータの暗号化まで、さまざまな結果をもたらす可能性があります。
このアプローチは、中間者攻撃とよく似ていますが、トロイの木馬がウェブブラウザとそのセキュリティメカニズム(またはライブラリ)の間の情報をその場で傍受するために使用されるという点で異なります。一般的な使用例は金融詐欺で、インストールされたトロイの木馬がブラウザ上で生成された遷移を傍受したり変更したりします。意図したトランザクションがまだ表示されているので、ユーザーには何の意味もありません。
誰がネットワークにアクセスしようとしているのかを知り、その人物の身元を確認することは、サイバーセキュリティに対するゼロトラストアプローチの重要な要素です。MFA は認証の判断に複数の方法を使用します。最も一般的には、初期パスワードを使用してから、すでに信頼されているデバイスに渡されるトークンを使用します。
フィッシングは、攻撃者が被害者をだまして次のような機密情報を漏らそうとするサイバー攻撃の一種です。 または信頼できる人物または組織を装った財務情報。これは通常、偽装メールや Web サイトを通じて行われます。偽装は正規品のように見えますが、実際には被害者の情報を盗むことを目的としています。フィッシング攻撃はしばしば検出が困難です。攻撃者は、被害者をだまして情報を漏らさせるために、偽のメールや Web サイトをできる限り現実的に見せようとするためです。
今日の最大のサイバー脅威の1つと考えられていますが、 は、ユーザーまたは組織がコンピューターまたはネットワーク上のファイルにアクセスするのを阻止するように設計されたマルウェアの一種です。この情報に再びアクセスする唯一の方法は、攻撃者に身代金を支払ってロックを解除することです。被害者の画面には、恐喝攻撃を警告するメッセージがしばしば表示されます。攻撃者が被害組織のファイルにアクセスすると、ファイル、データベース、またはアプリケーションにアクセスできないように暗号化します。
ただの野球用語ではなく、 打点 動的コンテンツをエンドポイントから離れたクラウドのリモートブラウザで実行し、脅威アクターによるエンドポイントデバイスへのアクセスを遮断することで、潜在的に悪意のあるコンテンツとやり取りするリスクを排除します。これにより、フィッシング、ランサムウェア、ドライブバイエクスプロイト、ゼロデイ攻撃などの Web ベースおよび電子メールベースのサイバー攻撃からユーザーのデバイスを保護できます。
リモートブラウザ分離とは
クラウドを通じてセキュリティとネットワークサービスを提供するための統合フレームワークを組織に提供することで、エンタープライズセキュリティへのゼロトラストアプローチを可能にします。SASE は、物理的な場所に関係なく、分散しているユーザー、デバイス、支社、アプリ、SaaS プラットフォームをつなぐように設計されています。これにより、ユーザーは組織にリスクをもたらすことなく、いつでもどこでも必要なツールや情報に安全かつシームレスにアクセスできます。このアーキテクチャは、現代のすべてのエンタープライズセキュリティの設計図となる準備が整っているため、このアーキテクチャについてもっと知りたいと思うことは間違いありません。
SASEの重要なコンポーネントであるSD-WANは、あらゆるネットワークアーキテクチャの2か所間のトラフィックルートパスを自動的に最適化します。現代の企業は SD-WAN を使用することで、ユーザーのブラウジング体験に影響を与えずに、適切なセキュリティ管理を通じてトラフィックをルーティングできます。
多くのセキュリティチームは、SIEMソリューションを使用して膨大な量のレポートデータを関連付け、脅威調査の結論を導き出しています。これは、根本原因の分析を行い、今後の攻撃を阻止するために、セキュリティイベントのコンテキストを理解する上で非常に重要です。
SOCチームは、社内であれサービスプロバイダーを通じてであれ、組織内の潜在的な侵害を調査する責任があります。フォレンジックツールと脅威インテリジェンスを利用して、脅威がどのように侵入したのか、また、修正が必要な脅威が発生した場合は何が起こったのかを突き止めます。
CEOからギフトカードを購入するようにとのメールが届いたことを覚えていますか?ええ、それはあなたの CEO ではありませんでした。それはCEOになりすました脅威アクター(なりすまし)でした。攻撃者は信頼できる組織になりすまして、電子メール、テキストメッセージ、Web サイト、その他のチャネルを通じて被害者を騙し、最終的には金銭を盗んだり、被害者のデータをダウンロードしたり、組織のネットワークにアクセスしたりします。
スパイウェアは、ウェブサーファーにとって最も一般的な脅威の1つであり、究極のデータプライバシー侵害者でもあります。スパイウェアは、ユーザーの同意なしにデータを収集して第三者に転送することを目的として、ユーザーのデバイスに侵入する悪意のあるソフトウェアです。この情報には、パスワードや銀行認証情報が含まれる場合があります。スパイウェアに感染したユーザーは、検出は困難ですが、プロセッサやネットワークの接続速度が遅れていることに気付く場合があります。スパイウェアには、アドウェア、キーボードロガー、トロイの木馬、モバイルスパイウェアなどがあります。
SWGは、悪意のあるコンテンツがエンドポイントにアクセスするのを防ぐことで、インターネット上のWebベースの脅威からユーザーを保護します。SWG ソリューションは通常、企業のサイバーセキュリティチームが設定したポリシーに基づいて、不適切な Web サイトや悪意のある Web サイトをブロックすることで機能します。従来のハブアンドスポーク・セキュリティ・モデルでは、すべてのトラフィックがデータセンターの物理アプライアンスにバックホールされるという従来のハブアンドスポーク・セキュリティ・モデルでは、通常、SWGがプロキシに取って代わります。
トロイの木馬は、ギリシャ人がトロイに兵士を忍び込ませるために使用したと言われているトロイの木馬と同様に、コンピューターシステムにアクセスするために無害なプログラムまたはファイルになりすまして、ユーザーをだましてダウンロードさせるマルウェアの一種です。トロイの木馬は、システムに侵入すると、機密情報を盗んだり、ユーザーをスパイしたり、攻撃者にシステムへのリモートアクセスを許可したりするなど、さまざまな有害なアクションを実行する可能性があります。
Qakbotは、世界中で最も一般的なバンキング型トロイの木馬の1つです。それは 銀行のログイン認証情報や財務データなどを、それを導入した攻撃者に送り返します。Qakbot は通常、フィッシングメールや HTML の密輸など、いくつかの回避手法によって拡散されます。コンピューターに感染すると、ネットワーク上の他のコンピューターにも感染が広がり、ランサムウェアをインストールする可能性があります。
OK、もう一つ簡単なものです。VPN を使用すると、リモートユーザーはオフィスにいるかのように、公共のインフラストラクチャを介して企業ネットワークに直接接続できます。VPN の問題は、すべてのトラフィックをデータセンターにバックホールする必要があるため、レイテンシーと帯域幅に大きな問題が発生することです。このソリューションは、従業員のわずか 10% が在宅勤務の場合には問題ありませんが、昨年、従業員の 100% がリモート勤務になると、組織はパフォーマンス上の大きな問題に直面します。スプリットトンネリング(インターネットへの直接接続を許可しながらアプリケーショントラフィックをデータセンターにルーティングする)は、これらのパフォーマンス問題を回避するための一般的な方法ですが、今日の危険な脅威状況を考えると、ユーザーがWebサイトやSaaSプラットフォームに直接接続できるようにすることは現実的な選択肢ではありません。
WaaPaaSは、Webアプリケーションからの悪意からユーザー、デバイス、データセンターを保護します。Web アプリケーションのトラフィック (HTTP と暗号化された HTTPS) を監視して、悪意のある SQL インジェクション、クロスサイトスクリプティング、およびファイル実行がないかを監視します。WAF、API セキュリティ、ボット管理、DDoS 対策を 1 つのツールにまとめたもので、悪意のある攻撃者がウェブ向けアプリケーションに侵入するのを防ぐように設計されています。
WaaPaaSの重要なコンポーネントであるWebアプリケーションファイアウォールは、Webサービスとの間で送受信されるHTTPトラフィックをフィルタリング、監視、およびブロックします。WAF は特に DDoS 攻撃によって組織のウェブアプリケーションがシャットダウンされるのを防ぐために使用されます。
ゼロトラスト は、暗黙の信頼を排除することで組織を保護するサイバーセキュリティへの戦略的アプローチです。サイバーセキュリティに対する従来の検出と修復のアプローチを根本から覆し、デジタルインタラクションの継続的な検証を可能にします。インターネット上のユーザーによるアクティビティを検討する際、ゼロトラストアプローチを採用している組織は、送信元が信頼できるソースであるかどうかに関係なく、すべてのトラフィックが信頼できないと想定しています。そのため、Web サイト、Web アプリ、SaaS (サービスとしてのソフトウェア) プラットフォーム、さらには電子メールコンテンツまでもが、あたかも悪意のあるものであるかのように扱わざるを得ません。そして、ネットワーク上のユーザー、デバイス、またはアプリケーションとのやりとりのたびに、継続的に認証を受ける必要があります。
現代の企業は、分散したエンティティ(ユーザー、デバイス、アプリケーション、リモートオフィス、SaaSプラットフォーム)がアプリケーションに安全に接続できるようにする必要があります。VPN 接続とは異なり、 ズトナ は、特定の個人または役割が職務を遂行するために必要なアプリケーションにのみアクセスを許可するゼロトラストモデルに基づいています。この方法では、ネットワークに接続しても、ネットワーク全体をスキャンしたり検索したりすることはできません。ZTNA ソリューションでは、セキュリティチームが管理対象と管理対象外のさまざまなエンティティを保護できるようにすることが重要です。
ゼロトラストとは?
