サイバーセキュリティを取り巻く状況は、あらゆる組織が高度なメールセキュリティソリューションを配備しなければならない程に悪化しています。MSPは、メールに起因するサイバー脅威の存在を十分認識していますが、その多くが、今もなお最新のサイバー攻撃の規模と複雑さを見くびっています。これが多くの場合に、思い込みと無関心の原因となり、脆弱性が対処されないままになる状況を生み出します。
MSPが絶対に避けたいことは、誤った安心感を受け入れたり、与えたりすることです。重大なセキュリティインシデントが起きると、対応や追跡が困難な数多くの問題が生じることがあります。ランサムウェア攻撃が成功するときのような非常に一般的なシナリオを想像してみてください。
標的となる組織は、この攻撃の原因をすぐには把握できません。それらの組織のMSPやIT部門は、おそらく次世代のファイアウォールやセキュア・メール・ゲートウェイ(SEG)、ウィルス対策、パッチ管理を配備していることでしょう。では、何が起きたのでしょうか?サイバー攻撃の根本的な原因の特定は複雑で時間を要する可能性があります。セキュリティチームはセキュリティギャップを探すためにログやデータをくまなく調べなければなりません。
そして、徹底的な調査を経て、ランサムウェア攻撃の原因が1件のスピアフィッシングメールだったことがようやく突き止められます。しかし、Microsoft 365にはセキュリティ機能が組み込まれているのに、どこに問題があったのでしょうか?
統合されているメールセキュリティのみならず、多くの基本的なセキュリティツールは 、高度なスピアフィッシングやソーシャルエンジニアリング攻撃を検出して、それらから保護することができません。今組織に必要なのは、これらの絶え間なく進化する高度な攻撃に対抗できる高度なメール脅威検出ソリューションです。
メール脅威の進化
ご存知のように、フィッシングメールは、ハッカーが標的の環境に侵入するための最も効果的で安価な手段の1つです。Verizonの2022年データ漏洩/侵害調査レポートによると、データ侵害の82%にフィッシングを含む人的要因が含まれていました。
フィッシング攻撃は、日を追うごとに検出が難しくなっています。ハッカーは無数のさまざまなドメインやIPアドレス、URLを使い、フィッシングキャンペーンをしかけるようになりました。インフラストラクチャはますます複雑化しているため、攻撃を予測して準備するのが困難になっています。それは、従来の検出ソフトウェアが既知の脅威しか識別できないことが原因です。
さらに悪いことに、ハッカーは今やAIとマシンラーニングを使ってフィッシング詐欺に磨きをかけています。AIを使用してサイバーセキュリティフィルタを迅速かつ大量に通過できるコンテンツを作成するソフトウェアが作られています。AIは、行動データを収集するためにも活用され、それらのデータを使って、最適なターゲットを特定するのに役立つアルゴリズムを作成できます。
サイバーセキュリティのコミュニティは、脅威が大きく変化しているため、ウィルス対策とファイアウォールが断固たるハッカーの勢いを弱めることはほぼ不可能であることを知っています。では、専門家は保護対策に関して、どのようなソリューションに注目しているのでしょうか?
エンドポイントセキュリティ
ここ数か月で爆発的に話題にのぼるようになったテーマの1つは、エンドポイントのセキュリティです。これは、ネットワーク上の個々のデバイスに関連付けられたデータとワークフローを保護する方法であり、文字通り「エンドポイント」を保護します。
エンドポイント保護は、いくつかの理由からサイバーセキュリティ計画の重要な要素になっています。まず、データは企業の最も価値のある資産であり、数えきれないほどのランサムウェア攻撃は、それらのデータの盗難や損失がどれほど破壊的なものになり得るかを世界に知らしめました。
次に、組織は、エンドポイント数の増加とエンドポイントの種類の増加の両方に対処しなければならなくなりました。リモートワークとBYODポリシーを導入する傾向が共に高まることで、境界型セキュリティの効果がますます低下しています。
エンドポイントセキュリティに重点を置く最も顕著な理由は、脅威自体の進化にまでさかのぼります。ハッカーは、侵入したり、情報を盗んだり、従業員を操って機密情報を提供させたりするための新しい方法を絶えず考え出しているため、防御できない境界を強化するためにリソースを推し進め続けるよりも、顧客のデバイスを保護する方が理にかなっています。
エンドポイントセキュリティのカテゴリーに分類されるツールとソリューションにはいくつか異なるものがありますが、ほぼ不可欠なものとして世間の注目を浴びているのは、高度なメール脅威検出です。
メール脅威の検出とサイバーセキュリティ
脅威の検出はプリエンプティブであり、進行中の攻撃の兆候を探すのではなく、侵入の兆候、または悪意のあるアクターや侵害未遂と関連のある動作を探します。従来の脅威検出は、以前に識別されたシグネチャや「フィンガープリント」およびネットワークトラフィックのベースライン動作からの逸脱を使って脅威を識別します。これは「既知の脅威」の識別として知られているものです。最新の攻撃は高度な特性を備えているため、最高のメール脅威検出ツールの機能はそれだけにとどまりません。
既知の脅威と未知の脅威
前述のように、従来の脅威検出システムのほとんどは、シグネチャと比較分析によってメールを保護します。これらのツールは、特定のアクティビティやトラフィックが潜在的に有害であるかどうかを判断するための危険信号として使われるシグネチャや識別子を収集します。
また、高度なメールセキュリティシステムは、マシンラーニングと統合しているため、未知の脅威でさえもより効率的に検出して防止することができます。それらは、既知の脅威と直接比較しなくても、潜在的に悪意のある活動を見つける方法を時間をかけて学習します。
高度なマシンラーニングは、環境を迅速に学習して理解できるため、異常な動作をすばやく認識して分離することができます。
脅威検出の利用を検討しているMSPならば、いくつかの重要な機能を追及することが必要です。
- 悪意のある添付ファイルとURLのリアルタイム検出。
- 脅威、脅威アクター、およびそれらのターゲットなど、最新の更新頻度の高いインテリジェンスデータベース。
- 送信者、ドメイン、埋め込まれたHTMLコードとリンクのフルスペクトル分析。
- 柔軟で簡単な大規模展開(複数の顧客間で簡単に使用できる)。
- 費用対効果が高く、必要なツールの数を最小限に抑えられる幅広いメールセキュリティ機能をカバーしていること。
メールの脅威検出は、最終的に、執拗な脅威を検出して抑制するための動的で応答性の高いアプローチを提供し、すべてのMSPのセキュリティスタックの一部でなければなりません。
結論
サイバー犯罪者は、ツールと技術を積極的に改良しています。彼らはマルウェアを保護し、攻撃の効果を高めるための拡張機能を追加することに多大な努力を費やしてきました。ランサムウェアのコードさえも進化しており、新しい株では、解読が非常に難しい複雑な暗号化アルゴリズムが採用されています。
サイバーセキュリティの専門家と悪意のあるアクターの間で今も戦いが続いています。軍拡競争や冷戦になぞらえることができるでしょうが、いずれにしても、犯罪者の非情な革新が私たちのセキュリティソリューションを上回るようなことがあってはなりません。MSPとそのベンダーは、同じように迅速かつ効果的でなければならず、私たちは時代を先取りしていかなければなりません。
