インサイダー脅威とは、企業内部から発生する組織のセキュリティリスクのことです。 組織のデータやコンピュータ・システムにアクセスできる、あるいはアクセスしたことのある、現在または過去の従業員、請負業者、その他のビジネス関係者が原因となる場合があります。
インサイダー脅威の種類
インサイダー脅威には複数の種類があり、関係者の意図や動機に基づいて定義されます。 このようなインサイダーは、セキュリティ意識の向上やトレーニング演習に無反応であったり、誤った判断をして孤立したエラーを起こしたりします。 いずれにしても、過失は従業員のリスクの中で最もコストのかかるタイプとしてよく挙げられます。
インサイダーの脅威がもたらすリスク
インサイダーが特に危険なのは、組織に侵入しようとするアウトサイダーとは異なり、彼らは通常、日常業務を遂行するために必要なコンピューターシステムやネットワークへの正当なアクセス権を持っているからです。
組織を危険にさらすために積極的に活動する場合、内部の人間は、通常、企業のデータ構造や知的財産がどこに存在するかを熟知しているため、有利になります。
内部の人間は、すでに組織やネットワークに直接アクセスしており、外部の境界線からハッキングする必要がないため、内部の脅威は外部からの攻撃に比べて防御が困難な場合が多いのです。
内部脅威の検知
内部脅威は既存の防御策を容易に回避できるため、検知はより困難です。 しかし、インサイダーは機密データに精通し、アクセスできるため、検知は非常に重要です。 インサイダーの脅威は、ビジネス上正当化される活動と混ざっている可能性があるため、セキュリティチームは、個々のアーティファクトを超えて、侵害を示す行動やその他のパターンを発見できなければなりません。 これらのパターンは、インサイダー脅威のタイプによって異なります。
インサイダーを検知する確率や、攻撃ライフサイクルの中でインサイダーが発見されやすいポイントは、インサイダー脅威のタイプごとに異なります。 怠慢なインサイダーは、侵害される前に既存の脆弱性を特定したり、資格情報が侵害されたときに特定したり、資格情報がコマンド&コントロールに活用されたときに特定したり、そのユーザーに由来する異常な横移動を発見したりすることで検出される可能性があります。 癒着したインサイダーは、悪意のある外部の協力者と通信したり、データを渡したりする際に発見されることがほとんどです。 悪意のあるインサイダーは、必要のない、またはアクセスすべきではない情報にアクセスしたり、情報を流出させたりするパターンを示すことがあります。
インサイダーの脅威を検知する際には、ネットワーク全体のログやエンドポイントエージェントを必要とせず、デバイス、人、その他のエンティティの全体像を把握することが不可欠です。 データや行動のパターンを特定するためには、IPアドレスが変更されてもこれらを追跡する必要があります。
インサイダー脅威の検知 & 調査
Awakeは、異常や悪意を識別することで、ビジネス上正当な活動に紛れ込んだインサイダー脅威攻撃を検知します。 Awake Network Detection and Response Platformは、フルパケットキャプチャデータを解析して、何百ものセキュリティ関連のシグナルを抽出し、デバイスやドメインなどのエンティティや、それらの行動や関係性を推測してプロファイリングします。 また、ユーザーの役割や基本的な行動を明らかにするビジネスコンテキストなど、チームの組織的な知識も取得します。 そして、このプラットフォームは、攻撃者のTTPや組織特有の脅威を行動面から検出します。 すべての行動は、IOC、TTP、マルウェア以外のものを含む脅威のタイムラインに関連付けられます。
このようなレベルの可視化と詳細なフォレンジック分析は、以前は世界で最も洗練されたセキュリティ専門家にしかできませんでした。また、手動で時間のかかるプロセスを経なければできなかったため、インサイダーの脅威が発見されたとしても、遅れて発見されるだけでした。 Awakeは、規模、予算、洗練度にかかわらず、あらゆる組織がインサイダー脅威を検知できるようにし、セキュリティチームがネットワークからの徹底的なインテリジェンスを活用して、決定的で迅速な対応を行うことを可能にしました。
その他の記事
- 謎めいた内部脅威を解決する
- リモートサービス作成による横移動の検出
- 今シーズンのメガブリーチからセキュリティチームが学ぶべきこと