過去12か月間に、中小企業(SMB)の69%が、自社のメールセキュリティツールをすり抜ける深刻なデータ侵害を経験しました。この憂慮すべき統計は、現代におけるデジタル通信の最も一般的で重要な手段の1つであるメールの不幸な現実を裏付けています。メールは依然としてサイバー脅威の最大のベクトルであり、脆弱性を悪用したり、ネットワークに侵入したりするのに最も楽な道をハッカーに提供しています。
中小企業の場合、メールを介した脅威は重大な被害をもたらす可能性があります。しかし、顧客のサイバーセキュリティに責任を負っている、または責任を負っていると考えられているマネージドサービスプロバイダー(MSP)にとって、その被害ははるかに大きくなる可能性があります。1回の攻撃で、金銭的損失や風評被害、法律上の面倒な問題が生じる可能性があります。
ハッカーは、従来の防御を回避するために技術とテクノロジーを絶えず微調整しているため、MSPは従来のテクノロジーの先を見据えて最も高度な脅威専用のソリューションに目を向ける必要があります。このブログでは、MSPが自社と顧客を保護するために必要な4つのメールセキュリティツールを紹介します。
AIを基本とした脅威検出
これまで、脅威の検出は事後対応型でした。この方法では、メールによる脅威を防御するには、まず誰かが被害者にならなければなりませんでした。その後、インテリジェンスを収集して、レピュテーションおよびシグネチャベースのスキャナーを使用するセキュアメールゲートウェイ(SEG)などの従来の脅威検出ツールの防御を強化するために使用されていました。しかし、この手段は、フィルタを通過させるために既知のフィッシングリンクを難読化するなど、既存の脅威を微調整することで検出を回避できるハッカーに有利に働きました。その結果、組織は常に一歩遅れをとっていました。
人工知能(AI)の進歩により、かつてサイバー犯罪者に与えられていた利点はなくなりました。ハッカーはより高度な脅威を導入し続けていますが、AIベースの脅威検出ツールは、まだ実際に出回っていないものを含むすべてのサイバー脅威に対する予測防御を可能にします。
それでも、「AI」を使用していると謳っているすべての脅威検出ツールが同等の保護を提供するわけではありません。そのため、以下のテクノロジーを活用するソリューションを探すことが必要です。
1.マシンラーニング
AIのサブセットであるマシンラーニング(ML)は、メールのフィルタリングに行動アプローチを採用しています。ブラックリストに登録されたIPアドレスや既知のマルウェアシグネチャに基づいて検出するのではなく、メールやURL、添付ファイルの異常や不審な動作を探します。MLアルゴリズムは、悪意のあるメールと無害なメールの膨大なデータセットでトレーニングを行い、すべてのサイバー脅威と一致する機能を認識できるようにします。たとえば、VadeのAIによる脅威検出エンジンは MLアルゴリズムを使用して、メールとURLの47個の特徴を評価します。
2. Computer Vision
AIのもう1つのフィールドであるComputer Visionは、画像に焦点を当てて分析を行い、異常や不審な動作を検出します。Computer Visionは、シグネチャを隠す画像操作、フィッシング URLを隠すQR Codeなど、従来のフィルタの裏をかく一般的な回避手法を検出します。
画像操作を伴うフィッシングメールの例
3.自然言語処理
AIのもう1つのサブフィールドである自然言語処理(NLP)は、テキストを分析して、脅威を示す可能性のある微妙な文法的な間違いや文体を検出します。NLPモデルは、悪意のあるリンクや添付ファイルは組み込まれていないものの、テキストベースのソーシャルエンジニアリングを使って被害者に行動を促すスピアフィッシングメールから守るための必要な保護を提供します。これには、切迫感や恐怖心を生み出すことも含まれます。
スピアフィッシングメールの例
4.継続的なフィードバック
AIベースの脅威検出には大量のデータが必要です。これらの情報は、AIモデルが従来の防御をすり抜ける脅威を検出できるようにトレーニングするための鍵となります。しかし、データの質も重要です。AIツールは、地理に応じた典型的なサンプルから得た最新のデータから継続的に学習する必要があります。
たとえば、VadeのAI脅威検出エンジンは、世界中の14億個のメールボックスから収集された、自動化されたものとユーザーから報告されたものの両方のリアルタイムインテリジェンスを使用しています。これにより、脅威の検出は、サイバー犯罪者の最新の脅威や戦術から保護しながら、誤検出(正当なメールがフィルタリングされること) または検出漏れ(サイバー脅威がフィルタをすり抜けること)の可能性を最小限に抑えることができます。
統合的な脅威の管理と対応エンジン
AIが進歩したとしても、メールセキュリティツールに関しては、完全な検出は現実的な目標ではありません。一部のサイバー脅威は、最後には初期防御をすり抜けてしまいます。そのため、サイバー脅威が発生した時に迅速に修復するソリューションが必要です。脅威の管理と対応ソリューションは、別のメールセキュリティレイヤーを提供するため、配信後にサイバー脅威を迅速に特定して無力化できるようになります。
AIによる脅威検出と同様に、すべての脅威の管理と対応ツールが同等の保護を提供するわけではありません。これら2つの絶対不可欠な機能を備えたメールセキュリティツールを探しましょう。
1.配信後のスキャンと自動修復
2022年上半期、Vadeは世界中で合計4億4000万件のフィッシングとマルウェアのメールを検出しました。これは、2021年の合計を上回るペースです。新たな脅威が出現し、悪用される可能性が高まると、脅威がユーザーの受信トレイに到達した瞬間を過ぎても持続する保護が必要になります。
配信後のスキャンと自動修復を特徴とする脅威の管理と対応テクノロジーは、内部ネットワーク内でAIによる脅威検出機能を持続します。配信されたメールの動作分析を継続的に実行し、手作業で介入しなくても、脅威を自動的に削除します。
脅威の検出と同様に、これらのソリューションは、以前に調査されたのと同じAIテクノロジーのコアセットと、一連の現在の大規模な関連データからの継続的なインテリジェンスに依存しています。この説明に適合する脅威の管理と対応ソリューションは、悪用されるリスクを減らし、内部セキュリティを改善し、不足しているITリソースを解放します。
2. マニュアル修復のためのオールインワンダッシュボード
脅威の管理と対応に関して言えば、時間は最も重要な変数の1つです。遅れを取ることは、脅威を無力化するか、あるいはユーザーの1人を危険にさらすかの違いを意味する場合があります。
脅威の管理と対応のソリューションは、メールセキュリティを一か所から追跡して管理できなければなりません。これにより、複数の画面やさまざまなツールを使ってサイバー脅威を追跡したり、脅威を1つずつ手作業で無力化したりするなどの時間のかかる骨の折れる仕事が解決されます。たとえば、VadeのMSP Responseを使用すると、1つのインターフェイスを使ってワンクリックで顧客全体の不審なメールを追跡して修復します。
メールベースの脅威インテリジェンスと調査エンジン
セキュリティ情報とイベント管理(SIEM)、エンドポイントでの検出と対応(EDR)、または拡張された検出と対応(XDR)テクノロジーを使用している場合、メールベースの脅威インテリジェンスと調査ソリューションは絶対必要なメールセキュリティツールです。
これらのソリューションを使用すれば、複数のサイバーセキュリティツールを管理して、たくさんのエンドポイントからのセキュリティデータの監視や分析をする負担を軽減します。メールログのエクスポート、犯罪科学的な証拠の収集、ネットワーク全体の脅威のクロスチェック、インシデント対応プロセスの開発を行うことができます。また、全く異なるメールセキュリティデータを統合し、脅威の可視性を高め、生産性を向上させます。
この記事で取り上げた他のメールセキュリティツールと同様に、すべてのソリューションが同等の価値を提供するわけではありません。これら3つの機能を提供する脅威インテリジェンスと調査ソリューションを探しましょう。
1. ログのエクスポート
ソリューションには、ビジネスを標的とするすべてのメール経由の脅威に関するインテリジェンスの記録を保持し、その記録をSIEM、EDR、またはXDRと互換性のある形式でエクスポートする機能が備わっていなければなりません。
2. ファイルインスペクター
このツールは、ハッシュ、URL、オブジェクト、デコードされたデータ、JavaScriptなどの悪意のある特性や要素を含む、ファイルとメールの添付ファイルに関するインテリジェンスを収集します。
3.メールと添付ファイルのダウンローダー
脅威インテリジェンスと調査ツールを使って、不審なメールと添付ファイルをメールログからダウンロードして、コンテンツを検査できるようにする必要があります。これにより視覚的な証拠が得られ、それをユーザーの認識トレーニングに再利用します。
ユーザの認識トレーニング
2022年データ漏洩/侵害調査報告レポートでは、データ侵害の82%に人的要素が関与していることが明らかになりました。ハッカーがユーザーを攻撃面全体で最も脆弱で魅力的なターゲットと見なすのは当然のことです。
しかし、適切なユーザーの認識トレーニングを行うことで、ユーザーをサイバーセキュリティの最大の弱点から最大の強みに変えることができます。フィッシングやスピアフィッシングメールなどのサイバー脅威を発見して対応するための知識をユーザーに与えることで、強力な最後の砦を築くことができます。
効果的なユーザーの認識を見出すために、これら3つの特徴を備えたプログラムを探しましょう。
1. パーソナライズ
シミュレートされたトレーニングプログラムでは、いつ、誰が、どのようなメール操作をしたのかなど、学習者が実際に遭遇するものとはあまり合致しない仮説的なサイバー脅威にさらされます。これは、学習者や状況に関係なく同じ教育をする標準化されたトレーニングの特徴です。
パーソナライズされた教育は、その反対のモデルを支持します。トレーニングは学習者のニーズと状況を反映して、学習者が学んだことをうまく適用して望ましい結果を出せる可能性を最大限に高めます。
ユーザーの認識トレーニングの場合、プログラムは、そのユーザーが繰り返し遭遇する例を使って、メールを介した脅威を認識して、それに対応する方法を彼らに教えるものでなければなりません。たとえば、Vade Threat Coach™ は、ユーザのメール操作の内容とコンテキストを模倣するオンザフライのユーザーの認識トレーニングを提供します。
2. タイムリー
サイバー脅威は予告なしに発生するため、トレーニングも予告なしに行うべきです。つまり、予め決められた時間に教育するのではなく、ユーザーが最も必要としているときに教育を行うべきです。すなわち、それはサイバー脅威に遭遇した時です。この種のトレーニングは、定着率を高め、有用性を改善し、ユーザーがサイバー被害者になる可能性を軽減します。
3.現実の問題に直結している
サイバー脅威は常に進化しています。サイバーセキュリティベンダーがより高度なソリューションを開発するにつれて、ハッカーは強化された回避手段でそれに応じます。この絶え間なく進化するダイナミクスは当面の間続くことになるため、ユーザの認識トレーニングはそれを説明しなければなりません。つまり、トレーニングでは、世界中の悪意のあるメールのリアルタイム インテリジェンスに基づいて、学習者を最新のサイバー脅威にさらさなければならないということです。
メールセキュリティツール:統合ソリューションの必要性
これらの4つのメールセキュリティツールは、今日の最も洗練されたメールによる脅威から顧客を保護するのに役立ちます。さらに、人員を増やしたり、ビジネスの他の分野に割くための重要な時間やリソースを奪ったりすることなく、マネージドセキュリティサービスの開発と拡大を支援するという付加価値ももたらします。
それでもやはり、サイバーセキュリティは、すでに多数のスタンドアロンのテクノロジーが溢れかえっています。そのため、Vade for M365のような4つのメールセキュリティ ツールを1つのロータッチソリューションに統合するソリューションを探さなければなりません。
