プライバシー権クリアリングハウスによると、高等教育は医療業界に次いでデータ漏洩件数が多い。
高等教育機関の重要な目標は、自由な情報交換を促進することである。そのため、キャンパスのITシステムは比較的オープンで、何千人もの権利のあるユーザーをサポートし、そのほとんどが自分のデバイスをキャンパスに持ち込んでいる。学生(および多くの職員)は、最新のアプリケーションやテクノロジーを採用し、ソーシャルメディアを利用し、多くのファイルを共有する傾向があります。
さらに、高等教育機関では、学生、教職員、訪問者から膨大な数のデータを生成し、収集している。これには、氏名、生年月日、社会保障番号などの個人を特定できる情報(PII)、授業料や学生ローンに関する財務データ、保護されるべき健康情報(PHI)、企業データ、成績管理システムや調査などの業務データなどが含まれる。
オープンなネットワーク、大量のデータ、自由なアクセスにより、高等教育機関は、さまざまなサイバー脅威やリスクにさらされる、広範かつ脆弱な攻撃対象となります。毎週、高等教育機関が侵入されていると推定されている。
ほとんどの侵害の背後には組織犯罪者がいるが、学生やその他の関係者が、教育機関の評判を落としたり、セキュリティの弱点を浮き彫りにするために攻撃することもある。さらに、組織犯罪者、国家、悪徳企業は、国際スパイ活動や産業スパイ活動を行っている。
研究機関は、価値ある新製品(新薬など)につながる可能性のあるデータや、政府機関にとって重要な価値を持つデータなど、相当数の知的財産を密猟の対象としている。例えば、ペンシルバニア州立大学の工学部は、米海軍で使用される研究の取得に焦点を当てた外国人行為者と結びついた複数年にわたるサイバー攻撃の標的となった。この攻撃により、同大学のネットワークが3日間麻痺したこともあった。
攻撃の激化は、高等教育機関に深刻な課題を突きつけている。セキュリティおよびITスタッフは、時間とリソースを奪い合う重要な優先事項の管理を余儀なくされている。セキュリティ・チームは、オープン・アクセスを維持しながら、同時にサイバー攻撃者の監視を続けなければならず、また、さまざまな規制やコンプライアンス要件も満たさなければならない。
Vectra AI は高等教育機関に、ネットワーク内部のサイバー攻撃者が損害を与える前にリアルタイムで発見する、完全に自動化された新しいクラスのセキュリティ・ソリューションを提供する。データサイエンス、最新の機械学習技術、および人工知能に基づく振る舞い 分析を組み合わせることで、Vectra AI 自動脅威検知およびレスポンス プラットフォームは、進行中のサイバー攻撃のあらゆる段階を検出します。Vectra AI はまた、実際の攻撃行動を明らかにする自動化された Tier 1 分析とインテリジェンスを提供することで、セキュリティスタッフを増強し、セキュリティチームが手作業で脅威を探す代わりに迅速に行動できるようにします。
高等教育のキャンパスは小さな都市のようなもので、多くの学生がキャンパスで生活し、さまざまな業者がサービスを提供し、多くの人が訪れる。このような環境は、サイバー攻撃者が高等教育機関のネットワークへの侵入を成功させる数多くの方法を与えている。
個人情報を流出させたデータ侵害の最近の分析では、ある暦年だけで135万件の個人情報が教育部門に流出した。
大小、公立・私立を問わず、世界中の教育機関が標的になっている。例えば、カリフォルニア大学バークレー校は2016年初め、8万人の学生、卒業生、現職員、元職員、そしてシステム内に情報があった業者の財務データに関わる大規模な情報漏洩を報告した。これは同校にとって1年半で3回目の情報漏洩であった。
セントラルフロリダ大学も2016年に大規模なデータ漏洩に見舞われ、約63,000人の現・元学生、教職員らの個人情報が流出した。侵害後のフォレンジック分析によると、攻撃者は社会保障番号の収集に集中していた。
2015年に大規模な情報漏えいを起こした機関には、ハーバード大学、ワシントン州立大学、ジョンズ・ホプキンス大学、コネチカット大学、バージニア大学などがある。
最大の脅威は以下の通りだ:
サイバー攻撃者は、以下のような様々な方法で高等教育ネットワークへの侵入に成功している:
サイバー攻撃は攻撃者にとって儲かるため、今後も続くだろう。Ponemon Instituteによれば、サイバー攻撃は高等教育機関にとってもコストがかかり、侵害された記録1件につき平均225ドルかかるという。
最近の情報漏えい事件をざっと見ただけでも、高等教育機関が直面する課題の大きさがわかる。
大学や専門学校では、ハッカーが有害なリンクや添付ファイルを含む、パーソナライズされた正規の電子メールを送信するスピア・フィッシング・インシデントの増加が報告されている。
たとえば、2016 年の初めに、バージニア州のタイドウォーター コミュニティ カレッジ (TCC) の現職員と元職員が、納税シーズンのフィッシング詐欺で個人情報を盗まれました。同校の財務部門の職員が、偽のTCC電子メール アドレスから、全職員の W-2 情報を求めるリクエストを受け取りました。
その従業員は、その電子メールが偽物であることに気づかず、氏名、収入、社会保障番号などの機密情報を返信してしまった。その結果、少なくとも16人のTCC職員が、自分の社会保障番号で虚偽の税務申告が 行われたことを報告した。
犯罪者にとってランサムウェアは、個人情報やクレジットカードを盗むよりも迅速で簡単な攻撃であり、大きな報酬を得ることができる。ハッカーはランサムウェアを使って組織のデータをロックし、身代金が支払われるまでそのデータを保持するようになってきており、その多くは追跡不可能なビットコインである。
さまざまな業種の約2万組織におけるランサムウェアの広がりに関する新しい調査によると、教育機関が現在最大の標的となっており、教育機関の10社に1社がランサムウェアに感染していることがわかった。教育機関の11%以上がNymaim、4%以上がLockyに感染している。
ランサムウェアは世界的な現象である。サイバーセキュリティ・センターのあるボーンマス大学は、最近12カ月間で21回も被害を受けて いる。
Beazley Breach Insights 2016年版の報告書によると、迅速かつ簡単で、攻撃者に即座に支払いを提供するランサムウェア攻撃は、2016年に250%増加すると予測されている。
BYODの脆弱性 高等教育における最大のリスク要因の1つは、学生、教員、ベンダー、訪問者がキャンパスに持ち込む、大量の個人所有のラップトップ、タブレット、スマートフォン、その他のデバイスです。多くの大学は、例えばウイルス対策ソフトの使用を学生に強制しようとしているが、それは困難な戦いである。malware- に感染したデバイスがネットワークに接続する可能性は高い。
BYOD に加え、高等教育機関のセキュリティ担当者は、ネットワークに接続する IP 対応デバイスの増加に対応する必要があります。多くの企業と同様に、高等教育機関も IoT (Internet-of-Things) デバイスのインテリジェンスを活用して設備管理を合理化し、コストを削減する方法を模索しています。
例えば、スマート水道・エネルギー・メーターや冷暖房空調システムは、エネルギー・コストを削減し、リモート・アクセスを提供して修理を合理化することができる。キャンパスの安全性を高めるため、多くの教育機関では、ネットワークに接続するカメラ、入退室管理装置、その他の監視装置などのセキュリティ機器を導入している。
さらに、学生はゲーム機やアップルTVなどのセットトップボックス、iWatchやFitbitsなどの個人用デバイスを含むIoTデバイスをキャンパスに持ち込んでいる。
残念なことに、これらのIoTデバイスは、PII、PHI、機密研究データ、その他の標的資産を求めてキャンパスネットワーク内を横方向に移動できるサイバー攻撃者にとって、容易な侵入口となる。
持続的で内部主導型のネットワーク攻撃が常態化しており、セキュリティ製品、チーム、およびプロセスもそれに合わせて適応する必要があります。加害者が迅速にmalware を変更し、その他の高度な永続的脅威(APT)を仕掛けてくることを考えると、高等教育機関には、進行中の攻撃を特定して阻止するネットワーク・セキュリティ・ソリューションが必要です。IT セキュリティ・チームには、BYOD や IoT デバイスを含むネットワーク上のすべてのトラフィックとホスト・デバイスを可視化し、C&C 通信、内部偵察、横方向への移動、流出など、サイバー攻撃のあらゆるフェーズを検知 で把握できるリアルタイムの自動脅威ハンティング・システムが必要です。
次世代ファイアウォール、IDS/IPS、malware サンドボックスなど、ネットワーク境界における防御ツールはすべて、感染や侵害を防ぐのに役立つ。しかし、洗練された攻撃者は、基本技術が25年以上前のこれらの境界セキュリティ製品を回避できることを繰り返し示してきた。
さらに悪いことに、いったん攻撃者がネットワーク内部に侵入すると、これらのソリューションは、サイバー犯罪者が標的の資産をマッピングし、さらなるホストに拡散するために使用する偵察、横移動、その他の脅威行動に対して盲点となる。
同様に、malware のサンドボックス・テクノロジーは、仮想環境における感染行動を短時間調べるだけであるため、APTを管理するための不完全なアプローチとなる。セキュリティ・チームに必要なのは、ネットワーク上のすべての動作を常時監視・分析するソリューションである。
サイバー攻撃者の兆候を検知することは、攻撃者のトラフィックをネットワーク内外にルーティングするプロキシとして機能するIoTデバイスを扱う上で極めて重要です。前述したように、IoTデバイスはエンドポイント・セキュリティ・エージェントを実行できないため、IPSシグネチャによって保護されることはありません。
高等教育機関は、以下のようなさまざまな個人情報保護規制やその他のコンプライアンス規則の適用を受ける:
そのオープンな環境から、あらゆる高等教育機関がデータプライバシーとコンプライアンスに関する手ごわい課題に直面している。
高等教育機関は、独自のコンプライアンスに関する質問に迅速かつ容易に対応できるセキュリティ・プラットフォームを必要としている。
ホスト・デバイスに関連するすべてのネットワーク・トラフィックの挙動を包括的に可視化することは、資産追跡やセキュリティ・インシデント報告からデータ損失防止まで、幅広い技術的コントロールのコンプライアンスを文書化し、コントロールが機能していることを証明するために必要です。
セキュリティおよびコンプライアンス・チームは、BYOD や IoT を含むすべてのデバイスから、内部およびインターネット間のすべてのネットワーク・トラフィックを継続的に監視し、要求されたコンプライアンス・データをオンデマンドで取得できるセキュリティ・ソリューションを探す必要があります。
プライバシーの重要な必要性から、高等教育機関では、学生記録、PII、PHI、支払いデータなど、ネットワーク上のトラフィックを暗号化するケースが増えています。暗号化は、機密性の高いトラフィックを保護するレイヤーを提供する一方で、多くのネットワークベースのセキュリティソリューションからトラフィックを見えにくくしています。
残念ながら、洗練された攻撃者は、標準的な SSL/TLS からよりカスタマイズされたスキームに至るまで、悪意のあるコードや活動、特に C&C や流出トラフィックを隠すために、さまざまな暗号化方式も採用しています。さらに、隠しトンネルの使用も増加しており、サイバー犯罪者は攻撃通信を隠すために、他のプロトコルよりも HTTPS を好んで使用しています。
マンインザミドル技術を使用してアウトバウンド・トラフィックを復号化し、検査する組織もありますが、暗号化された記録やその他の機密トラフィックの検査を禁止する厳格なプライバシー法のため、大学やカレッジにはそのような選択肢がないことがよくあります。また、トラフィックを復号化することは、アプリケーションのパフォーマンスに大きな負担をかけるため、ユーザーには不評です。
さらに、グーグルを含む多くのオンライン・サービス・プロバイダーは、証明書のピン留めを弱体化させている。この技術は、企業がウェブ・セッションに対する中間者攻撃を阻止するために使用することが多くなっている。
有効な証明書を盗んだ攻撃者を抑止する試みとして、グーグルや他のプロバイダーは、公認の認証局ではなく、特定の信頼できるルート認証局からの証明書のみを信頼することにしている。これにより、多くのセキュリティ・チームが使用している中間者解読の手法が破られる。
暗号化された脅威に対処するために、セキュリティ・チームは、パケットを解読してペイロードを検査することなく、悪意のある攻撃行動を検知 する方法を必要としています。 そのためには、暗号化されたトラフィックであっても、ネットワーク・トラフィックにおける攻撃者の基本的な行動を明らかにするために、すべてのアプリケーション、オペレーティング・システム、およびデバイスにわたるトラフィックの挙動とパターンの分析に基づくネットワーク・セキュリティへの新しいアプローチが必要です。
データサイエンス、機械学習、振る舞い 分析を活用する人工知能は、隠れたトンネル、環境から出るデータ、C&C 命令を受信するmalware 、リモートアクセスツールを使用する外部の攻撃者、malware アップデートを配信する攻撃者を特定し、監視するために必要である。
振る舞い 分析により、人間によるトラフィックと機械によるトラフィックをすばやく区別できます。この機能により、一見エンドユーザーによる接続のように見えても、実は部外者によって遠隔操作されている接続であることを明らかにすることで、リモート管理ツールを使用している攻撃者にフラグを立てることができます。
大半のセキュリティ製品はIT部門に負担を強いており、本当の脅威を特定するために何千ものアラートを選別する必要がある。多くのネットワークでは、1分間に50件のアラートを受け取るのが普通だ。
スリムなセキュリティ・チームでは、膨大な量のデータをふるいにかけて解釈し、最も深刻な脅威を特定し、攻撃が広がって被害が拡大する前に攻撃を緩和することは、人間には不可能だ。
世界中の1,100人以上のシニア・セキュリティ・エグゼクティブを対象とした調査「2016 Vormetric Data Threat Report」では、回答者の57%が、データ・セキュリティ・ツールやテクニックの普及を妨げる要因の第1位に「複雑さ」を挙げている。
人手不足は2番目に高い障壁で、回答者の38%が挙げている。この調査では、「熟練したセキュリティ要員の慢性的な不足が深刻化している」ことが業界全体の問題であると指摘している。
高等教育機関は、負担の大きいITスタッフの仕事を増やすのではなく、仕事を減らすネットワーク・セキュリティ・ソリューションを必要としている。
そのためには、包括的で導入が容易で、脅威の検知と報告をリアルタイムで自動化するソリューションが必要だ。
特に、セキュリティチームは、膨大な量のセキュリティ関連データをシンプルで実用的な情報に凝縮することで業務を効率化し、攻撃の中心となる物理デバイスをピンポイントで特定し、脅威の高い活動があった場合にスタッフに警告を発することで、スタッフの注意を実際に進行中の攻撃に集中させるソリューションを必要としています。
Vectra AIは、高等教育機関が検知 、被害が発生する前に、脅威に迅速に対応することを可能にする。Vectra AIは、境界セキュリティの後を引き継ぎ、内部およびインターネットのトラフィックを深く継続的に分析し、攻撃者が盗むべき貴重な資産を求めてネットワーク内部をスパイして拡散する際に実行しなければならない基本的な行動や振る舞いを検出します。
データサイエンス、機械学習、振る舞い 分析を独自に組み合わせた人工知能を活用し、Vectra AI は、C&C 通信、内部偵察、横移動、データ流出、ボットネットの収益化など、攻撃の全フェーズを検出します。
Vectra Threat Certainty Index™ は、すべての検出を自動的に統合し、最大の脅威をもたらすホストをリアルタイムで示すスコアを割り当てます。これにより、セキュリティチームは、最もリスクの高い検出結果に即座に集中することができます。
Vectra AIはまた、組織のネットワークで自然に発生する行動パターンを学習し、脅威、ホスト、学生記録のPIIのような重要な資産の関係の視覚的なマップを提供します。
Vectra AIを利用することで、高等教育機関はセキュリティ、コンプライアンス、マンパワーの課題に迅速かつ容易に対処することができる。例えば、Vectra AIは、バリー大学がフィッシングキャンペーンの被害に遭った際、進行中の攻撃を阻止するのに役立った。
個人が悪意のあるメールをクリックすると、ITスタッフはエンドポイントプロテクションのアラートを見始めました。Vectra AIのリアルタイム監視により、標的型攻撃が進行中であることが判明したため、セキュリティ・オペレーション・チームは攻撃を阻止し、データの盗難を防ぐことができました。
Vectra AIは、ネットワーク内の内部トラフィックだけでなく、インターネットを行き来するトラフィックなど、すべてのデバイスからのすべてのネットワーク・トラフィックを監視します。また、BYODやIoTデバイスだけでなく、あらゆるアプリケーションやオペレーティング・システムでも機能します。
機械学習、データサイエンス、振る舞い アナリティクスを組み合わせることで、Vectra AI は、組織のアタックサーフェス全体にわたるあらゆる段階で、既知の脅威とこれまでに見たことのない脅威の攻撃行動を検出します。検出された脅威は自動的に関連付けられ、スコア化され、優先順位付けされるため、セキュリティチームは攻撃を迅速に阻止し、その影響を軽減することができます。
Vectra AIは、内部偵察、malware の内部拡散、アカウント認証情報の悪用、データの流出、ランサムウェアの活動、多種多様なC&Cやその他の隠れた通信など、サイバー攻撃の基本的な行動を発見するという点でユニークである。
例えば、Vectra AIは、ランサムウェアの検出を含む、ランサムウェアを特定する複数の方法を提供している:
Vectra AIはトラフィックのパターンを認識するため、パケットを解読して中身を確認する必要がなく、暗号化されたトラフィックのデータプライバシーを保護します。Vectra AIは数学的モデルを使用し、ネットワーク・トラフィックの高度に洗練された分析を行い、HTTP、HTTPS、DNSトラフィック内の隠れたトンネルの存在を検知 。
同様に、Vectra AIは、データサイエンス、パケットレベルの機械学習、振る舞い 分析を使用して、外部からのリモートアクセス、さらにはセキュリティ業界ではカスタマイズされているか未知の悪意のあるリモートアクセスツールの存在を特定する。
セキュリティアナリストの時間は非常に限られていることを理解し、Vectra AI は簡単に導入し、使用できるように設計されています。自動化は極めて重要な役割を果たす。
Vectra AI は、ティア1のセキュリティアナリストの業務に関連する面倒な手作業を自動化し、膨大な量の脅威データをシンプルで実用的な回答に集約することで、時間、労力、コストを削減します。
この自動化には2つの利点があります。1つは、スタッフがより短時間で調査を実行できること、もう1つは、専門家ではないスタッフがより多くの調査を処理できることです。Vectraの顧客は、脅威の調査に費やす時間を75~90%削減し、単純な調査を高給の専門家にエスカレーションするのではなく、ITジェネラリストに分析を委ねることに成功したと報告しています。
Vectra AIが攻撃の中心にある物理ホストをピンポイントで特定し、攻撃の全期間にわたって脅威を自動的に追跡してスコア化します。Vectra Threat Certainty Indexがアラートを表示するため、セキュリティチームは、攻撃インジケータを持つどのネットワークホストが最大のリスクをもたらすかを、最も高い確度で即座に知ることができます。
攻撃に関する詳細がワンクリックで表示されるため、スタッフは侵害されたホストと、それが攻撃している他の内部資産または通信している外部当事者との間の正確なパケットのメタデータを簡単に表示し、それに応じて対応することができます。
Vectra AIはまた、セキュリティ・チームが専有データベース、医療記録、クレジットカード・データベース、その他の重要な資産にマークを付けることを可能にし、標的資産の文脈で脅威を把握し、攻撃の潜在的影響を予測できるようにする。
さらに、Vectra AIは、脅威インテリジェンスを他のチームメンバーやシステムと簡単に共有できる。セキュリティチームは、デバイスが指定された脅威または確実性スコアのしきい値に達すると、電子メールで自動的に通知されます。
そして最後に、堅牢なAPIにより、Vectra AI 、SIEM、次世代エンドポイントセキュリティ、トラフィック最適化、次世代ファイアウォールなどの他のサードパーティセキュリティソリューションと統合することができます。例えば、syslogとCommon Event Format (CEF)ログの統合により、SIEMに事前に関連付けられたVectra検出とホストスコアを提供します。
パッシブな内部展開
すべてのデバイスを持続的に追跡
こじ開けずに保護
「Vectra の利点は、脅威に関するより多くの情報と、自動化された実用的なデータを得られることです。我々には30人から40人のセキュリティエンジニアがいるわけではありません。ブライアン・マクレナハン サンタクララ大学シニア・インフォメーション・セキュリティアナリスト
すべてのネットワーク・トラフィックを完全に可視化し、進行中の攻撃のあらゆるフェーズを検知 で確認できるVectra AI は、広範な技術的コントロールのコンプライアンスを文書化するための理想的なプラットフォームです。
Vectra AIは、ワンクリックですべての裏付け証拠にアクセスできる明確で直感的な分析を提供し、スタッフは規制当局からのあらゆるデータ要求に迅速かつ容易に対応できる。
Vectra AIは、ターゲットとなるすべての資産を持続的に追跡し、レポートすることで、コンプライアンスの証跡を簡単に維持することができます。同様に、Vectra AIは、攻撃者が使用する隠れたトンネルやデータ流出行動を監視および検出するため、データ損失防止のためのコンプライアンスの取り組みを文書化することが容易です。
Vectra AIでは、強力なレポーティング・エンジンにより、セキュリティ・チームがその場でレポートを作成したり、定期的に特定のレポートをスケジュールして作成したりすることができます。レポートは、任意の時間枠、ネットワークのセクション、ホストまたは検出に焦点を当てることができます。高度なフィルタリング機能により、脅威スコアが50を超えるすべてのホストなど、特定のデータを強調表示できます。
Vectra 検知 AIは、常に進化する脅威の状況において、あらゆるネットワーク内部の既知および未知のサイバー攻撃を迅速に検知するためにリアルタイムで動作する自動化されたソリューションでセキュリティチームを武装させる。
Vectra AIは、ネットワーク・サイバー攻撃が発生している間に、検知 、その攻撃を軽減するユニークな機能を備えているため、セキュリティ・チームは前例のないスピード、正確性、効率性で対応することができる。
同様に、Vectra AIは、セキュリティチームに悪意のある攻撃行動に関する比類のないネットワーク可視性を提供し、サイバー攻撃者の追跡を自動化すると同時に、組織が迅速かつ容易に監査に対応し、重要な資産の安全維持に集中する時間を確保することを可能にする。