人は安全管理における最大の安全障害である」。この引用をどこで見たかは覚えていません。しかし、運転手の電子メールから重要な企業システムに侵入する同様のケースは珍しくありませんし、ますますホットな攻撃は、同様に突破口として人を選ぶようになっています。例えば、Googleに対するAurora攻撃は、従業員がチャットメッセージのリンクをクリックしたために侵入されました。
ファイアウォールが適切に設定され、データが暗号化され、アンチウイルスが最新のものにアップグレードされ、あらゆる対策が講じられているとしても、人もまたリスクの大きな要因であることを忘れてはなりません。この記事では、まず組織の従業員によって引き起こされる可能性のあるセキュリティリスクと、一般的な防御方法について説明します。最後に、SIEMの観点から可能な解決策を試みます。
リスクの種類
ソーシャルエンジニアリング
これを軽減する方法は、通常、特にフィッシングのシミュレーションのような例を通じて、ユーザーのセキュリティ意識向上を図るトレーニングを実施し、フィッシングの結果を公開することです。次に同じような状況に遭遇したとき、彼らはより深く考えるでしょう。
ユーザーのパスワード
1つ目はパスワードの脆弱性で、これを防ぐために様々な戦略があるかもしれません。しかし、仕事における第一の関心事は、仕事をより良く、より早く終わらせることです。そのため、脆弱なパスワードは今でもよく使われています。また、業務上一時的に第三者にパスワードを提供した際に、変更が間に合わないなど、パスワードが漏洩する可能性は他にもたくさんあります。リスクを減らす方法は、厳格なパスワード・ポリシーを導入することです。ただし、英数字の記号を含むパスワードは、辞書に載っているパスワードとしてはまだ弱いかもしれません。
ユーザー資産の脆弱性
大企業では、オフィスのすべてのコンピュータを統一的に管理し、さまざまなパッチを適時にアップグレードしているかもしれません。しかし現在では、ノートパソコン、携帯電話、タブレットなど、職場で使用される可能性のあるデバイスの種類はますます増えています。そして、これらのデバイスに脆弱性がないか、パッチがインストールされているかをチェックするのは、ユーザー自身の責任です。ブラウザなど、ユーザーがオフィスのコンピュータにインストールするサードパーティ製ソフトウェアも、一貫したパッチアップデートポリシーを持っていない可能性があります。リスクは、定期的な脆弱性スキャンによって軽減することができます。
各種クラウドサービスの利用
クラウドサービスはますます広く使われるようになり、ネットブックを例にとれば、誰もが使っています。あなたの会社のデータをウェブドライブに置くリスクがあるとします。大手オンライン・ディスク・プロバイダーが侵入されたり、データが流出したりしたら、その結果は想像を絶するものです。実際、機密情報が第三者に置かれた後は、もはや貴社の管理下にはありません。リスクを減らす方法は、ユーザーのセキュリティ意識を訓練すること、信頼できる大企業のサービスを選ぶようにすること、非常に重要な情報は第三者に渡してはならないことなどが考えられます。
モバイルデバイス
モバイル・インターネットは今、とてもホットになっています。携帯電話には、仕事のメールアドレスや携帯電話の連絡先、メールのパスワードなど、仕事の情報が入っていることがほとんどです。携帯電話の紛失だけでなく、携帯電話を他人に貸すことでも情報漏えいにつながります。今や携帯電話はどれも更新が早く、eBayで売られている中古携帯電話の50%以上に個人情報が保存されているという調査結果もあります。データ復旧技術を考えると、このリスクはもっと大きいかもしれません。TAOBAOでこの割合がどれくらいになるかはわかりません。前述したように、実は携帯電話は定期的にパッチを当てることがほとんどありません。そのため、悪意のあるアプリによる情報漏えいのリスクも高い。ユーザーが操作する端末ですから。そこで、リスクを減らす方法として考えられるのは、いわゆるセキュリティポリシーの策定、セキュリティ啓発教育でしょうか。
解決策の検討
SIEMとは、簡単に言えば、環境内の様々なデバイスやアプリケーションからセキュリティイベントを収集し、一元的な分析や相関分析を行い、リスク管理やアラートを行う製品です。
ユーザーアクティビティの監視の概念は、実際にはすべての非常に一般的です。これは、MSNのアカウントのオフサイトログインがリスクアラートまたは高リスクの操作がアカウントをロックすることになります。ユーザーのログイン会社のメールボックス、ログインサーバーおよびその他のアカウントの活動にこの概念を拡張します。次の2つのシナリオは、このソリューションのアイデアを参照してください。
シナリオ 1: ソーシャルワーカー電子メールパスワード
攻撃者はまずawvsで会社のホームページをスキャンし、いくつかの試行では悪用可能な脆弱性を発見できませんでした。次に、攻撃者はwhoisを使用してウェブマスターの勤務先電子メールを突き止めました。簡単なソーシャル・ワークとソーシャル・ワーク・データベースへのクエリを通じて、攻撃者は管理者の共通パスワードを入手しました。そのため、攻撃者は管理者の電子メールにログインすることに成功したのです。では、SIEMが見ているこのプロセスとは。まず、awvsがウェブサイトをスキャンし、SIEMはこれらのウェブサイトのログを取得して、送信元のipが攻撃を試みていると考え、このipをブラックリストに追加します。攻撃者がメールボックスにログインすると、攻撃者はブラックリストに登録されたIPから上位管理者のメールボックスにログインしていることになります。システムは警告を発します。メールアカウントを一時的に無効にすることもできます。
シナリオ2:機密情報にアクセスする従業員のノートパソコンの管理
ソーシャル・ネットワーキング・サイトのリンクをクリックした結果、会社員の個人用ノートパソコンが乗っ取られました。攻撃者はそのノートパソコンから会社のサーバーの ssh アカウントを見つけました。攻撃者がサーバーにログインしたとき、SIEMは何ができるでしょうか。sshは通常、社内、つまりイントラネットアドレスでサーバーにログインします。そのため、SIEMはログインIPのホワイトリストを作成することができます。会社の仕事の習慣に従って、ログイン時間を一般的に朝の9時から夜の9時に設定することができます。そうすると、攻撃者がサーバーにログインする際、従業員のパソコンを踏み台にせず、直接ログインした場合、SIEMは他の地域(例えば米国)のipがサーバーにログインしたことがわかり、アラートイベントが発生します。攻撃者がステルスのために真夜中にサーバにログオンすることを選択した場合、通常とは異なる時間にログオンするというポリシーがトリガーされ、アラートも生成されます。
諸事情により不適切であればご指摘ください。
