外部事象によるインサイダーの脅威

2022年3月15日
Jonathan Barrett
MXDRセキュリティアナリスト
外部事象によるインサイダーの脅威

自分の幸福を脅かす外部からの脅威に注目するのは、人間として当然のことだ。これは、組織やそのセキュリティへのアプローチにも当てはまることが多い。そのため、一般的に境界セキュリティに多くのエネルギーが注がれる。しかし、このアプローチはゼロトラストの方法論とは正反対である:組織は、内部から侵入してくるトラフィックと同様に、内部から内部、内部から外部へのトラフィックにも注意を払わなければならない。 

Sidekick MDRチームの使命は、これら3つの軸すべてにおいて脅威を監視することです。悪意のある活動の発信源であることが組織の評判に与える影響は、標的であることと同じくらい深刻です。組織はたちまちブラックリストに載り、通信が遮断され、ビジネスの遂行に支障をきたすことになる。また、攻撃が成功すれば、法的責任や技術的報復にさらされる可能性もある。このような状況では、迅速なレスポンス 。 

 

外部事象がインサイダーの脅威になるメカニズム 

最近、Vectra Sidekick MDRチームは、まさにそのような発見につながる内部トラフィックを発見した。あるサービス会社(仮にAcme Inc.と呼ぶ)の従業員が、ロシアとウクライナの紛争にAcmeを関与させるために自ら手を下したのだ。その社員は、アクメのインフラを使って、ベラルーシとロシアの組織に対してサービス拒否(DoS)攻撃を行った。攻撃の標的は、金融サービス会社と海運・物流会社であった。Sidekickチームはこの活動を特定し、Acmeに通知しました。 

多くの人は、セキュリティ・チェーンの中で最も弱いのは人間の要素であるとすぐに指摘するが、人間もまた、彼ら(あるいは敵対者)が持つ最も強力なツールであるという観点から物事を見ることができない。この例では、一人の不正ユーザーが非常に大きな影響を及ぼした可能性がある。このような紛争では、従業員は非常に強い感情を持つ可能性が高い。そして、その感情ゆえに、彼らの行動は企業のポリシーや既存のセキュリティ対策よりも強くなる可能性がある。 

最近の紛争以前から、Sidekick MDRは、企業資産にクリプトマイ ナーをインストールするユーザー(場合によっては管理者)の事例を複数確認してい る。これは通常、共有マシンやオープンマシンを使用する大学やラボ環境で見られます。金銭的な動機に加え、無料のリソースしか使用できないという認識が、ユーザをこれらのリソースの悪用に向かわせた。では、実際に道徳的義務を感じ、"無料のリソース "にアクセスできるようになった場合、ユーザーはどのような行動を取るのだろうか? 

 

ネットワークについて学び、基本に従う 

適切な脅威の緩和には、全体的な理解とアプローチが必要だ。ニュースレポート、忠実度の高い脅威のフィード、ブログの投稿は、外部からの脅威を常に認識するための最良の方法である。しかし、教師なし学習がネットワークに関する詳細を学ぶのに必要なように、これらのニュースソースでは個人がどのように反応するかを知ることはできない。 

CISAが概説しているような基本的なステップに従うことは、サイバー攻撃から組織を保護する上で大いに役立つ。しかし、すべての脅威が組織の外部で発生するわけではなく、環境内部から発せられる脅威が依然として非常に現実的であることを忘れてはならない。このような時、外部の脅威ばかりに目を向け、大規模なDDoSキャンペーンを他人事と考えるのはあまりにも簡単だ。しかし、私たちが保護するネットワークは、意思の有無にかかわらず、このようなキャンペーンの道具になり得るのです。可能な限り最高のカバレッジを提供するために、信頼できるモニタリングを確保することが最も重要です。

よくあるご質問(FAQ)