メール攻撃スキャナの使用方法と使うべき理由
2022年8月26日、Tony Burgess バラクーダでは、3種類のオンラインスキャナに無料でアクセスできます。 バラクーダ・クラウドアセスメントスキャナ:設定エラーと業界標準のベンチマークへの準拠について、クラウドセキュリティ体制のチェックを行います。 バラクーダ脆弱性検査:オンラインアプリケーションの脆弱性をスキャンします。 バラクーダ・メール攻撃スキャナ:Microsoft 365の受信トレイ内のあらゆる種類の悪質メールの有無をチェックします(これが、このブログの本題です)。 この3つのうち、もっとも多く使用されているのはメール攻撃スキャナです。データ侵害やランサムウェア、サイバー詐欺の大半が悪意のあるメール攻撃によって引き起こされていることを考えると、これは驚くべきことではありません。 あなたの組織でMicrosoft 365の受信トレイが100個以上ある場合、98%の確率で、ゲートウェイの防御をすり抜けた悪意のあるメールが、ユーザーの誤ったクリックや返信を待っており、詐欺やアカウントの乗っ取り、ランサムウェア、データ侵害に至る可能性があります。 メール攻撃スキャナの機能と利点 バラクーダ・メール攻撃スキャナは、弊社の高度なインパーソネーション防止ソリューションを動かすのと同じAIエンジンとMicrosoft 365とのAPIインテグレーションを使用して、メールボックス内のメールを調査します。 スキャナは、悪意ある意図や複数の脅威タイプを検出し、あなたの組織のメールセキュリティ戦略にある抜け穴を明らかにする包括的で詳細なレポートを提供します。また、過去12カ月間の攻撃の数、種類別の内訳、最も頻繁に標的とされるユーザーや従業員、これらの攻撃がドメインのDMARCステータスに与えた影響などを確認することができます。こうした結果を使って、現在のソリューションのパフォーマンスを評価し、改善の優先順位を決め、セキュリティ意識のトレーニング戦略を最適化することができます。 使用手順 メール攻撃スキャナを使用するには、まず Microsoft 365 の管理者資格でサインインします。すると、このツールによる特定の権限の長いリストに対する要求を許可するかと尋ねられます。これらの許可には、メールとユーザー情報へのアクセス、セキュリティとリスク情報、任意のユーザーとしてメールを送信する許可などが含まれ、メール攻撃スキャナがあなたの組織の脅威状況の分析を完了するために必要なものです。もちろん、あなたはこれらの許可を完全に管理し、いつでも取り消すことができます。 スキャン自体は数分でセットアップが完了し、メール機能にも影響はありません。スキャン中は、リアルタイムで結果の集計を見ることができます。また、スキャン終了時には、すぐにメール攻撃スキャナのダッシュボードに移動し、詳細な結果をすべて確認することができます。 安全性は折り紙付き 筆者は、メール攻撃スキャナの使用をためらっているシステム管理者と話をしたことがあります。メール攻撃スキャナが必要とするアクセスに許可することを躊躇しているのです。システム管理者の立場も理解できます。結局のところ、システム管理者は物事を安全に保つことに全力を注いでいるのだから、オンラインツールに重要な権限を与えるよう求められたら、ためらうのはごく当然のことです。 もし、あなたがそのような迷いを感じているのなら、以下の統計を判断材料にしてください。 1万2000もの組織がすでにメール攻撃スキャナを導入しており、悪影響が出たという報告は一切ありません。ですので、早期導入のリスクを負うわけではありません。 2018年以降、1万6000回のスキャンを完了しており、多くのユーザーが複数回スキャンを実行しています。 1300万通のメールボックスをスキャンした結果、1000万件の未検出のスピアフィッシング攻撃が発見され、多くの組織が大きな損害を被る可能性を防ぐことができました。 また、こんな考え方も役立つかもしれません。Barracuda Email Protectionをもし購入したのなら(率直に言って、スキャナの強力さと有用性をあなた自身が確認したなら、少なくとも検討はしていただけるはずです)、そのソリューションにメールシステムへのアクセスを許可することをためらったりはしないでしょう。結局のところ、それが重要な点です。メール攻撃スキャナは、バラクーダのフル機能の有料セキュリティソリューションのうち一部の機能を制限された無料版である、とお考えください。というのも、まさにそのとおりなのです。 簡単かつ迅速、そして安全で、普通にしていたら見つけることのできないサイバー脅威に関する真に重要で有用な情報を提供します。そして、導入時期が早ければ早いほど、なかなか見つけづらい隠れた脅威が示す非常に現実的なリスクに早く対処し、軽減することができます。 お問い合わせはこちらまで。 原文はこちら How to use Email Threat Scanner—and why you should August 26, 2022 https://blog.barracuda.com/2022/08/26/how-to-use-email-threat-scanner-and-why-you-should/
海外ブログ
2022.09.05
バラクーダの注目する脅威:ランサムウェアについての知られざるエピソード
ランサムウェアは、地政学的な不確実性と混乱に支配された今年も、あらゆる規模の企業にとって脅威となり続けています。2022年はウクライナでの戦争に始まり、それ以来、多くの有名なサイバー攻撃の目的は、攻撃者の純粋な金銭的利益から、できるだけ多くの混乱と損害を引き起こしたいという願望に変わりました。 ランサムウェアの攻撃は、依然として猛威を振るっています。時には、ワイパー型マルウェアの波と化すこともあります。当社の研究者が2021年8月から2022年7月までの間に大きく報道された106件のランサムウェア攻撃を分析したところ、最も標的とされたすべての業界で攻撃が増加し、特に重要インフラへの攻撃は4倍に増加していることがわかりました。 しかし、こうした大規模な攻撃が話題になる一方で、ランサムウェアと静かに闘い、攻撃を成功させた後に復旧を試みている中小企業も多く存在します。このようなランサムウェアの知られざるストーリーを明らかにするため、今年も当社のSOC-as-a-Serviceチームからデータと事例を集め、SOCが検知した攻撃の量と、SoCが企業への対応をサポートしたランサムウェアインシデント数について調査しました。 SOCが検知したランサムウェアの脅威の量は、今年1月から6月にかけて急増し、1カ月あたり120万件以上となりました。これに対し、実際のランサムウェアのインシデント数は、1月に急増し、5月から鈍化しています。 今回の「バラクーダの注目する脅威」レポートでは、この12ヶ月間の攻撃分析で確認されたランサムウェアの攻撃パターンを検証し、予防と復旧に関する考察を紹介します。 ハイライト ランサムウェア サイバー犯罪者は、電子メールの添付ファイルやリンクとして配信される悪意のあるソフトウェアを使用してネットワークを感染させ、身代金を支払うまでメール、データおよびその他の重要なファイルをロックすることがよくあります。このような進化した巧妙な攻撃は、被害が大きく、コストもかかります。日常業務を麻痺させ、混乱を招き、ダウンタイム、身代金の支払い、復旧費用、その他の予算外で予期せぬ出費による経済的損失をもたらす可能性があるのです。 2021年には、攻撃者が被害者から機密データを盗み出し、そのデータを他の犯罪者に公開したり販売したりしないことを約束する代わりに、支払いを要求する二重の脅迫メールのトレンドが現れました。それに加え、今年の調査では、攻撃者が身代金の支払いを速やかに行わなかった場合、遅延損害金やペナルティを要求するようになった事例が見つかりました。 詳細 バラクーダの研究者が分析した106の大きく報道された攻撃では、依然として5つの主要産業が支配的な標的となっています:教育(15%)、自治体(12%)、医療(12%)、インフラ(8%)、金融(6%)です。 ランサムウェアの攻撃数は、これら5つの業種それぞれで前年と比べて増加し、その他の業種に対する攻撃は、昨年と比較して2倍以上に増加しています。 自治体への攻撃は微増にとどまったものの、過去12ヶ月の分析では、教育機関へのランサムウェア攻撃は2倍以上、医療と金融業界への攻撃は3倍となりました。 また、インフラ関連の攻撃は4倍に増加しており、サイバー犯罪者は、直接的な被害者だけでなく、より大きな被害を与えようとする意図があることがわかります。このことから、私たちは、国家が関与するサイバー攻撃に対していかに脆弱であるかということがわかります。なぜなら、そのようなサイバー攻撃は、インフラを標的とする可能性が最も高いからです。 今年の調査では、大きく報道された攻撃についてより深く掘り下げ、他のどのような業界が標的にされ始めているのかを確認しました。以下のグラフから、サービスプロバイダーが最も多く(14%)攻撃されていることがわかります。ITサービスであれ、その他のビジネスサービスであれ、この種の組織は、顧客のシステムにアクセスできるという性質上、ランサムウェア集団にとって魅力的なターゲットとなります。攻撃者が侵入し拡大戦略を成功させれば、被害者へのアクセスは倍増します。 自動車、ホスピタリティ、メディア、小売、ソフトウェア、テクノロジーなどの組織に対するランサムウェア攻撃も同様に増加しており、バラクーダは、今後も監視を続けていきます。 なお、当社のデータでは、2021年8月から2022年7月の間にサイバーセキュリティ企業へのランサムウェア攻撃は確認されていません。最近明らかになったCiscoへの攻撃は、8月中旬まで確認されなかったため、当社のデータには含まれていません。 主な調査結果 この1年間で、法執行機関によって回収されたランサムウェアの支払額は増加し、ランサムウェア対策として米国と欧州連合が新たなレベルの協力関係を築いています。 このような政府の取り締まりにもかかわらず、ランサムウェアの攻撃者が反抗的であり、延々と恐喝を繰り返すランサムウェアビジネスを続けていることに驚かされます。 また、より強力な認証スキームを持たないVPNシステムに対する攻撃がまだ大量に成功していることにも驚いています。COVID-19の流行によるリモートワークへの急速なシフトは、多くの組織にとってこの分野が弱点であることを露呈しました。サイバー犯罪者がこのような脆弱性を悪用しようとし続けることは理にかなっていますが、企業には認証を改善する時間が十分にあったのです。 良いニュースとしては、大きく報道された攻撃について分析したところ、身代金を支払う被害者は減少し、特に重要なインフラに対する攻撃では、防御の強化により、より多くの企業が毅然とした態度で臨んでいることが挙げられます。 また、FBIをはじめとする法執行機関との連携も効果を上げています。私は、重要インフラへの攻撃は、当局に警鐘を鳴らし、行動を起こさせたと考えています。また、さまざまな国家や政府のリーダーが合意することで、これらの犯罪を取り締まるための協力的な環境が生まれました。 実際に発生した3つのランサムウェア攻撃の事例 ほとんどのランサムウェア攻撃はヘッドラインを飾ることはありません。多くの被害者は、攻撃を受けても公表しないことを選択し、その攻撃はしばしば巧妙で、中小企業にとって非常に対処しにくいものです。ここでは、ランサムウェアが中小企業にどのような影響を及ぼしているかを知るために、当社のSOC-as-a-Serviceで確認した3つの例を挙げ、それぞれの攻撃の構造を説明し、攻撃を阻止するのに役立つ解決策について説明します。 事例1: BlackMatter 最初の脅威のベクトル: 攻撃者は、2021年8月に送信されたフィッシングメールを使用して、被害者の1つのアカウントを侵害しました。そこから、インフラ内をスキャンして横方向に侵入することで標的への攻撃を拡大し続け、最終的にハッキングツールをインストールし、データを盗み出しました。 身代金の要求: 2021年9月に身代金の要求を受けた事業者は、マネージドサービスプロバイダーを通じて、SOC-as-a-Serviceチームの支援を求めました。 封じ込めと分析: SOCチームは、イベントログの分析、EDRツールの導入、感染したシステムの隔離、FBIの連絡先などを提供しました。また、この企業のファイアウォールにジオブロックを設定し、モニタリングを開始し、パスワードのリセットを実施しました。 復旧: 暗号化されたマシンはバックアップから再イメージ化され、影響を受けたマシンはオンラインに戻されました。完全なアカウント監査が行われ、多要素認証が有効になりました。 身代金の支払い: このケースでは、企業は身代金の支払いを選択し、当初の要求額の半分のビットコインでの支払いを交渉しました。しかし、残念ながら数週間後、サイバー犯罪者によって盗まれたデータは流出したままとなりました。 事例2: Karakurt 最初の脅威のベクトル: 2021年10月、VPNログインページへのブルートフォース攻撃により、複数のドメインコントローラが侵害されました。その後、サイバー犯罪者は、リモートデスクトッププロトコル(RDP)を使用して、侵害されたシステムに侵入しました。その後、2021年11月、攻撃者はファイアウォールのルールの変更を開始しました。 身代金の要求: この企業は2022年1月に身代金要求を受け、マネージドサービスプロバイダーを通じてSOC-as-a-Serviceチームに助けを求めました。 インシデント対応:チームは、イベントログを解析し、感染したシステムを隔離しました。ファイアウォールにジオブロッキングを設定し、発見されたIOC(indicators of compromise)をブロックしました。ファイルストレージクラウドとリモートデスクトップアプリはブロックされました。お客様の監視を開始し、感染したアカウントをリセットし、専用のSIEMルールを作成しました。 復旧: 同企業は、第三者と連携して復旧とフォレンジックを行いました。 データの流出: 攻撃時に盗まれたデータは、2022年2月にネット上に流出しました。 事例3: Lockbit 最初の脅威のベクトル: SSLVPN のログインページには多要素認証が導入されておらず、攻撃者は盗んだ認証情報を使ってログインしていました。その後、サイバー犯罪者は、悪意のあるPowerShellスクリプトを使用し、システムレベルのダイナミックリンクライブラリ(DLL)をインストールして、さらに認証情報を盗み出し、パスワードを採取していました。 このケースでは、セキュリティ態勢における複数の失敗が、より深刻な結果を招きました。中には、2020年1月にマイクロソフトがセキュリティ更新を停止した、サポートされていないWindows 7を搭載したシステムの侵害などが含まれています。管理者アカウントの侵害により、さらに多くの認証情報が失われ、最終的にはゴールデンチケット攻撃に陥り、攻撃者は極めて回避的な姿勢を保ちながら、ドメインリソースへの追加アクセスを獲得しました。 身代金の要求: 2021年4月、身代金要求を受け、マネージドサービスプロバイダーを通じて、SOC-as-a-Serviceチームの支援を求めました。 インシデント対応: チームは、イベントログと公開サーバーを分析し、疑わしいファイルを隔離し、Active Directoryを再構築しました。 これらの攻撃の共通点 これらの攻撃には、認識しておくべきいくつかの類似点があります。 これらの攻撃は、1日や1週間で起こった出来事ではありません。何カ月にもわたって実行されたものです。 VPNは常に狙われています。それは、あなたのインフラや資産に繋がっているからです。 クレデンシャルは、フィッシング攻撃で盗まれたり、ダークウェブで購入されたりしています。 Microsoft 365のメールクレデンシャルリンクは、利便性のために設計されていますが、SSOはインフラへの多くの潜在的な侵入経路につながることも意味します。 MITRE ATT&CKフレームワーク上に3つのケーススタディを重ねることで、攻撃者が持っているリソースやツールを確認することができます。これらのツールや手法のどのような組み合わせも、組織の防御に課題をもたらす可能性があり、その組み合わせは何百通りも考えられます。 ランサムウェアの攻撃から身を守る方法 このような攻撃から身を守るために、今すぐできる5つの対策があります。 マクロの無効化 – 電子メールで送信されるMicrosoft Officeファイルのマクロスクリプトを無効化することにより、実行を防止します。...
海外ブログ
2022.09.02
バラクーダの新しいAWSセキュリティコンピテンシーに関するQ&A
2022年8月17日、 Anne Campbell 先日、バラクーダが分散型サービス妨害(DDoS)およびWeb アプリケーションファイアーウォール(WAF)のAWS アプリケーションセキュリティコンピテンシーを取得したというニュースをお伝えしました。この認定は、Barracuda Web Application FirewallがAWSの技術および品質要件を十分に満たしていることを示すものです。つまり、顧客に対してアプリケーションセキュリティに関する深いレベルのソフトウェア専門知識を提供し、顧客のクラウドセキュリティ目標の達成を支援できると認められたのです。 これが何を意味し、どのようにビジネスに役立つかを詳しく説明するために、バラクーダのアライアンス担当副社長であるニコル・ナピルトニアにインタビューし、彼女の洞察を聞きました。 アライアンス担当バイスプレジデント、ニコール・ナピルトニアQ&A 確か、バラクーダはすでにAWSコンピテンシーを保持していましたよね? はい、数年前から複数のAWSセキュリティコンピテンシーを保持しています。Barracuda Web Application Firewallは、2016年からAWS セキュリティコンピテンシーのステータスを取得しています。そして2018年にはBarracuda CloudGen Firewallも同様のステータスを獲得しました。バラクーダはAWS パートナーネットワーク(APN)において2つのセキュリティコンピテンシーを獲得した最初のアドバンストテクノロジーパートナーの1つです。ですから、バラクーダはAWSのこうしたプログラムで長く成功を収めてきているのです。 何が変わったのでしょうか。今回の新しいコンピテンシーは今までと何が違うのですか。 AWSはオンプレミスよりもさらに安全であると自負しています。その結果、AWSコンピテンシーを推進するISV(独立系ソフトウェアベンダー)のハードルを大幅に上げる必要があると考えたのです。 このコンピテンシーを獲得するためには何が必要だったのですか。また、読者がなぜそれを知っておく必要があるのでしょうか。 AWSは、新しいコンピテンシーに多くの要件を設定しています。第1に、実際の顧客との実例を使って、バラクーダのソリューションが実際にどう使われるのかを示す必要がありました。第2に、AWSクラウド全般にわたるクラウドセキュリティとベストプラクティスの基礎知識をバラクーダが持っていることを実証する必要がありました。そして第3に、AWSのアプリケーションを保護する技術力と卓越性があることも実証する必要がありました。 これらすべての要件を満たしていると示すことで、必要な技術的専門知識と実践経験をバラクーダが持っていることが顧客に伝わります。事業規模にかかわらず、顧客がAWSでの複雑なセキュリティプロジェクトを導入し、開発し、実装したいと思ったときに、バラクーダはその支援ができるのです。 バラクーダが獲得した2つの新しいコンピテンシーについてもう少し詳しく教えてください。 はい。1つはDDoS、もう1つはWAF保護のコンピテンシーです。他社がDDoSとWAFの保護を分けていることを顧客はほとんど知りません。バラクーダでは、アプリケーションセキュリティは、例えば、OWASPトップ10だけでなく、すべての潜在的な脅威をカバーする必要があると考えています。 読者にとってのメリットとは何でしょうか。 ごくシンプルなことです。ほとんどの企業がなんらかのかたちでクラウド上でデータを動かしています。しばしば複数のクラウドを利用しており、ほぼすべての企業が何らかのハイブリッドインフラストラクチャを使用しています。バラクーダでは、オンプレミスだけでなく、AWSと他のクラウドの両方で深層防御を追加できます。また、新しいAWSのコンピテンシーを獲得したということは、バラクーダの能力がまたしても社外のお墨付きを得たことになるのです。 セキュリティは組織にとって、クラウドへの移行を考えるうえでの主要な懸念事項です。もちろんネイティブソリューションがそうした組織の懸念の多くに対応していますが、Barracuda Web Application FirewallまたはWAF-as-a-Serviceならばクラウドインフラストラクチャを補強し、保護を拡張できます。そうすれば組織は、セキュリティの心配をする代わりに、ビジネスニーズに注力できるのです。 AWS対応のソリューションとサービスにより、クラウドデプロイメントのセキュリティを確保しましょう。 原文はこちら Q&A about Barracuda’s new AWS Security Competency August 17, 2022 Anne Campbell https://blog.barracuda.com/2022/08/17/qa-about-barracudas-new-aws-security-competency/
海外ブログ
2022.08.30
医療業界ばかりがなぜ狙われる?
2022年8月10日、Tony Burgess このブログを長年読んでくださっている皆様は今、既視感を覚えているのではないでしょうか。医療業界を標的としたサイバー攻撃が激化していると私たちが警告するのはもう何度目でしょうか。 COVID-19が医療資源を圧迫し始めた2020年の春を通じて、特にランサムウェアに関する脅威のレベルが高いという報告が複数あり、それについてはこちらとこちらで書きました。データ侵害や侵入の割合は、2020年から2021年にかけてランサムウェアとともに急増し、こちらとこちらで説明したとおりです。 そしてこの流れは、米国保健社会福祉省のサイバーセキュリティ・コーディネーション・センター(HC3)が最近発表した脅威の状況報告へとつながってきます。医療機関を標的としたWebアプリケーション攻撃キャンペーンが増加している、という内容でした。 複合的な要因がある サイバー犯罪者は倫理的、道徳的に問題がありますが、頭が悪いわけではありません。サイバー犯罪者が医療業界に狙いを定めているのにはれっきとした理由があり、それらを絞り込むと2つになります。 高価値のデータ – 医療機関から盗める可能性のあるデータには、職員や患者に関する個人的な財務データや、患者の個人的な医療データなどがあります。いずれも大規模な侵害に成功すれば、高い金銭的見返りを得ることができるものです。 脆弱性と攻撃対象の拡大 – 医療業界は、新しいテクノロジーの導入やクラウドベースのデジタルトランスフォーメーションの実現が他業界に比べて遅れています。これは、時代遅れのソフトウェアを実行する大量のレガシー医療機器に依存していることや、逆説的ですが、個人データ、特に医療データを保護するためのインセンティブがきわめて高いことに起因しています。現在では、大半の医療機関が(セキュリティ上の問題から)ワークロードをクラウドに移行することへの当初の抵抗を克服していますが、この変革の多くは、ご存じの通り、パンデミックに対応するために急いで行われたものです。リモートワーク・ソリューション、フル機能の患者ポータル、高度な遠隔医療ソリューションの導入が突然必要になったため、場合によっては業務の継続を重視するあまりセキュリティが二の次になりました。 アプリケーション攻撃のリスクを最小化する アプリケーション層やWebサイトへの攻撃はどんどん頻度が高くなり、また巧妙になっています。対する医療業界のIT専門家は、こうした脅威に対抗し、高額で破壊的なデータ侵害のリスクを劇的に減らすために、次のような手段をとるようになっています。 その最たるものが、概念的にも技術的にもプラットフォームアプローチへと移行することです。それまで使っていたのは、特定の脆弱性や脅威の形態に対処するポイントソリューションでしたが、それを複数の機能や性能を統合して包括的な保護を提供するプラットフォームへと変えたのです。 例えば、Barracuda Cloud Application Protectionは、完全なWebアプリケーションファイアウォール(WAF)機能を高度なセキュリティサービスおよびソリューションの完全なセットと組み合わせて、オンプレミス、クラウド、またはハイブリッド環境のいずれに導入されていても、複数の種類の脅威からアプリケーションを保護します。 どのようなソリューションやプラットフォームを選択するにしても、以下のような機能を備えている必要があります。 OWASPトップ10リストのアプリケーションの脅威に対する保護。SQLインジェクション、クロスサイトスクリプティングなどを含む。 高度なボット保護。攻撃を仕掛けるために使用される高度に洗練されたボットの膨大な増殖に対処するため。 あらゆるタイプの分散型サービス妨害(DDoS)攻撃からの包括的な保護。 API保護。APIベースの新たな脅威が急速に広がっていることに対処するため。 DevOpsとの統合。新規に開発・更新されたアプリケーションを展開する前に安全性を確認するため。 クラウド展開全体におけるセキュリティポリシーコンプライアンスを継続的に監視する機能。 Barracuda WAF-as-a-Serviceは、WebアプリケーションおよびAPI保護(WAAP)プラットフォームの基盤として機能し、上記の多くの機能を提供します。また、非常に重要なことですが、設定、導入、および使用が非常に簡単であるという点が、他のWAFソリューションと一線を画しています。このため、ITセキュリティの予算、人材、スキルが限られている企業にとって理想的なソリューションとなっています。 リスクレベルの把握 個々の企業にとって最初のステップは、自社の最大の脆弱性がどこにあるのかを完全に理解することです。そうすることで、直面しているリスクの規模を把握し、リスク軽減のための取り組みの優先順位を決めることができます。 Barracuda Vulnerability Managerは、特定の脆弱性を特定するために、誰でも使用できる無料のオンラインスキャナです。修復のための具体的な推奨事項を含む包括的なレポートが生成されます。セットアップにかかる時間は約2分。本当に、今すぐ使用することをお勧めします。 より多くの医療機関が標的型攻撃の最新世代に対する高度で効果的な防御策を採用するようになれば、近い将来、この業界がサイバー攻撃の主要な標的であるというブログ記事を掲載しなくなる日が来るかもしれません。 Webアプリケーションの脆弱性を今すぐスキャンしましょう。 原文はこちら What is it about healthcare? August 10, 2022 https://blog.barracuda.com/2022/08/10/what-is-it-about-healthcare/
海外ブログ
2022.08.22
ゼロトラスト成熟度モデル
トピック: Series: Understanding Zero Trust 2022年7月19日、Christine Barry 注:これはゼロトラストの源流と原則についての5回シリーズの第5回です。 この数週間、ゼロトラストの源流と中核的な原則について説明してきました。導入を計画する際には、サイバーセキュリティ・社会基盤安全保障庁(CISA、Cybersecurity & Infrastructure Security Agency)が概説した「ゼロトラスト成熟度モデル」についても理解しておく必要があります。このモデルは、NISTの原則に沿って、企業がゼロトラストの完全な導入へと移行するためのロードマップです。 CISAでは、ゼロトラストを実現するために 5 つの柱を掲げています。 アイデンティティ:エージェンシーユーザーまたはエンティティを一意に記述する属性または一連の属性。 デバイス:ネットワークに接続できるあらゆるハードウェア資産。たとえば IoT(モノのインターネット)デバイス、携帯電話、ノートパソコン、サーバーなど。 ネットワーク:オープンな通信媒体。メッセージを伝送するために使用される、エージェンシー内部ネットワーク、無線ネットワーク、インターネットを含む。 アプリケーションワークロード:オンプレミスおよびクラウド環境で実行されるシステム、コンピュータプログラム、およびサービス。 データ:デバイス、アプリケーション、ネットワーク上で保護されるべきデータ。 成熟度モデルは、これらの柱を横断する形で段階的に実施するもので、それぞれの柱を独立して、異なる時期に展開できることを意味します。全社的なゼロトラストの展開は、自動化、可視化、および動的なポリシー作成が5つの柱すべての統合を必要とする時点に達するまで、この方法で進めることができます。 成熟の3つのステージ CISAは、このモデルの段階的な展開をサポートするために、各柱について 3 つの成熟ステージを概説しています。 従来型: 手動設定と静的なセキュリティポリシー。 先進型: 中央集約的な可視化、アイデンティティ制御、および柱間の連携に基づくポリシー実施。 最適化: 資産やリソースへの属性の割り当てを完全に自動化し、自動トリガーに基づく動的なポリシーを実現し、柱間の相互運用性を高めるためにオープンスタンダードに準拠する。 CISA文書では、各柱の成熟ステージを下記のようにまとめています。 このCISA文書では詳細な説明があり、ゼロトラスト導入の準備段階でこれらの詳細を把握しておくとよいでしょう。NIST とオープングループが概説した成熟度モデルと基本原則を参照することで、実際に導入する段になって知らなかったとあわてることもなくなります。 ゼロトラストの適切な導入は、企業の時間とコストを削減し、規制要件に準拠した安全な環境を維持するのに役立ちます。 リソース ゼロトラストおよびバラクーダゼロトラストソリューションの詳細については、以下のリソースを参照してください。 ZTA(ゼロトラストアーキテクチャ)を構築する時期 Barracuda CloudGen Access:すべてのデバイスと場所からゼロトラストアクセスを実現します。 Secure Access Service Edge (SASE):クラウド移行を高速化し、安全性を確保します。 オンデマンドウェビナー:Barracuda | Vandis | AWS Dev Day: Advanced Zero Trust Access Control CISA Zero Trust Maturity Model NIST Special Publication 800-207 The Open Group Zero Trust Core...
海外ブログ
2022.08.15
ゼロトラストのコア原則—オープングループ
トピック: Series: Understanding Zero TrustJuly 13, 2022年7月13日、Christine Barry 注:これはゼロトラストの源流と原則についての5回シリーズの第4回です。 オープングループ(Open Group)は、数百の加盟団体からなり、特定のベンダーおよびテクノロジーに依拠しない国際コンソーシアムです。このコンソーシアムは、技術標準や認証の開発を行っており、2013年に解散したジェリコフォーラム(Jericho Forum)の活動を吸収しています。Open Groupは、ゼロトラストのコア原則を定義したホワイトペーパーを含む出版物のライブラリーを維持管理しています。以下は、11のコア原則を4つの共通テーマに基づいて整理したものです。 1 組織価値とリスク調整の原則は、ビジネス、IT、セキュリティのステークホルダーが全体的な戦略推進要因に対応するための重要な目標に取り組むものである。 1 現代の仕事の実現 2 目標の調整 3 リスク調整 2 ガードレールとガバナンスの原則は、コンプライアンス、リスク、情報セキュリティのステークホルダーが、ゼロトラストを導入し、保証の持続可能性を確保するためのものである。 1 人々のガイダンスとインスピレーション 2 リスクと複雑性の軽減 3 調整と自動化 4 ライフサイクル全体をカバーするセキュリティ 3 テクノロジー原則は、IT 組織、情報セキュリティ、リスクおよびコンプライアンスのステークホルダーを対象とし、アイデンティティ、アクセス、脅威の表面積の減少に関連する懸念など、ZTA の開発の基礎となる技術的な意思決定を決定するものである。 1 資産中心のセキュリティ 2 最小限の特権 4 セキュリティ管理の原則は、機密性、完全性、可用性の保証の強固な基盤を確保するために、セキュリティとITアーキテクトに対処するものである。 1 シンプルかつ広範 2 明示的な信頼性検証 上述の原則やテーマの説明は、The Open Group Zero Trust Core Principles文書から直接引用しています。この文書には、さらに詳細が記載されています。 ゼロトラストの実施例 これらのテーマは、ビジネスニーズやリスクマネジメントの懸念に対応するために利用できます。Open Groupはアクメ銀行の例を挙げています。対面式の銀行であるアクメ銀行はコロナ禍に加え、デジタルトランスフォーメーションと規制の変化によって利益を上げられずにいます。そこでアクメのリーダーが新しい要件に対応する戦略を求めてきました。 アクメ銀行は、従業員が自宅で仕事をし、自分のデバイスを使って仕事をするためのリモートワークをサポートしなければなりません(オンラインモデルで顧客とやり取りする銀行スタッフを含む)。 アジリティを推進するために、アクメ銀行はデジタルにシフトする必要があります。オンラインでのやり取りが増え、対面式の銀行での業務は減っています。 競合他社や顧客の好みに対応するため、営業や顧客との関係(およびアプリケーション)を継続的に進化させる必要があり、そのためには増大する複雑性を管理しなくてはなりません。 The Open Groupの原則とテーマの構成を利用することで、新しいビジネス要件とゼロトラストセキュリティの整合性を保つことができます。最初のテーマである「組織価値とリスク調整」を見てみましょう。 コア原則 1: 現代の仕事の実現 – アダプティブ・アイデンティティというゼロトラスト能力を活用し、急速に進化する消費者ニーズやビジネス関係に対応する。 コア原則 2: 目標調整 – リアルタイム/ほぼリアルタイム・レスポンスというゼロトラスト能力を活用し、脅威の特定、対応、および軽減を行います。 コア原則 3: リスク調整 – 業界標準のリスクフレームワークと自動監査による定量的リスクというゼロトラスト能力を用いて、規制当局にコンプライアンスを報告します。 このようにセキュリティ戦略を構築することで、うっかり何かを見逃すことはありません。また、「ゼロトラスト」のコンセプトをビジネスの言葉を使って伝えることができます。 次回は、「CISAゼロトラスト成熟度モデル」を見ていきます。本シリーズの全記事はこちらからご覧いただけます。 原文はこちらThe core...
海外ブログ
2022.08.09
バラクーダがアプリケーションセキュリティのAWSセキュリティコンピテンシーを取得
2022年7月26日、Rich Turner バラクーダネットワークスは、Web アプリケーションファイアーウォール(WAF)がアマゾン ウェブ サービス(AWS)の厳しいファンデーショナルテクニカルレビューに合格しており、今回、分散型サービス妨害(DDoS)およびWAFのAWS アプリケーションセキュリティコンピテンシーを取得しました。この指定の獲得は、Barracuda Web Application Firewallが、アプリケーションセキュリティに関する深いレベルのソフトウェア専門知識を顧客に提供し、クラウドセキュリティの目標達成を支援するためのAWSの技術および品質要件を十分に満たしていることを示すものです。 このコンピテンシーでは、一般的なセキュリティスキルから特定のアプリケーションの保護まで、幅広く実証することが求められ、それを実際の顧客の事例で裏付けなければならないのです。バラクーダは、Web Application Firewallがお客様のAWSインフラストラクチャでシームレスに機能し、すでに安全なAWSクラウドを強化できるように、たゆまぬ努力を続けていきます。これは、クラウドに移行したワークロードがオンプレミスよりも安全であることを保証するために、ほとんどの顧客が求めている深層部の防御です。 バラクーダをすでにご利用の顧客にとって、このコンピテンシーは驚くことではありません。顧客のクラウドへの移行を通じてセキュリティ目標を達成することを当社のソフトウェアチームは支援することに専念しているのですから。バラクーダのセキュリティソリューションのラインアップをまだ活用していない企業にとって、AWSクラウドを通じて変革する際に、規模や業種を問わず、顧客に徹底した防御を提供することが、外部からの検証ポイントのひとつになります。 Barracuda WAF on AWSの詳細は、弊社のWebサイトでご覧いただけます。 AWS向けソリューションとサービスで、クラウドデプロイメントのセキュリティを確保しましょう。 原文はこちら Barracuda achieves AWS Security Competency for Application Security July 26, 2022 Rich Turner https://blog.barracuda.com/2022/07/26/barracuda-achieves-aws-security-competency-for-application-security/
海外ブログ
2022.08.09
脅威のスポットライト 悪質なHTML添付ファイル
June 28, 2022年6月28日、Olesia Klevchuk バラクーダのリサーチャーは最近、過去1カ月間にバラクーダシステムでスキャンされた数百万件の添付ファイルのデータを分析し、悪質である可能性が最も高いものを特定しました。 このリサーチによると、他のタイプの添付ファイルと比較して、HTML添付ファイルは突出して悪意のある目的に使用されています。実際、バラクーダがスキャンしたすべてのHTML添付ファイルの21%は悪質でした。 そこで、悪意のあるHTML添付ファイルについて、詳しく見ていきましょう。サイバー犯罪者はどのように利用しているのでしょうか。また、このような攻撃から身を守るにはどうすればよいのでしょうか。 注目すべき脅威 悪意のある HTML 添付ファイル: HTML 添付ファイルは、電子メールによるコミュニケーションで広く使用されています。とりわけ、システムが生成した電子メールレポートによく見られます。ユーザーが定期的に受け取る可能性のあるメールで、そのメッセージには実際のレポートへの URL リンクが含まれています。 攻撃者は、週報を装った電子メールにHTML形式の添付ファイルを埋め込み、ユーザーを騙してフィッシング・リンクをクリックさせるという手口を取っています。ハッカーがメール本文に悪意のあるリンクを含める必要がなく、アンチスパムやアンチウィルスのポリシーを簡単に回避できるようになるという、非常に成功率の高い手法です。 詳細 ハッカーがHTMLの添付ファイルを利用する方法はいくつかあります。まず、クレデンシャルフィッシングです。悪質なHTML添付ファイルには、フィッシング・サイトへのリンクが含まれています。HTMLファイルを開くと、Javaスクリプトを使用してサードパーティのマシンにリダイレクトされ、情報へのアクセスやマルウェアを含む可能性のあるファイルのダウンロードのために、ユーザーに認証情報を入力するように要求します。 しかし、ハッカーは、必ずしも偽のウェブサイトを作成する必要はありません。彼らは、添付ファイルに直接フィッシング・フォームを埋め込んで、最終的にフィッシング・サイトをリンクではなく、添付ファイルとして送信することができるのです。 これらの攻撃は、HTMLの添付ファイル自体に悪意がないため、検出が困難です。攻撃者は、添付ファイル自体にマルウェアを含めるのではなく、別の場所でホストされているJavaスクリプトライブラリを使って複数のリダイレクトを行います。このような攻撃から身を守るには、HTMLファイルの添付されたメール全体を対象としてすべてのリダイレクトを確認し、悪意があるかどうかをメールの内容から分析する必要があります。 悪意のあるHTML添付ファイルから身を守る方法 電子メールのセキュリティ対策で悪意のあるHTML添付ファイルを確実にスキャンし、ブロックする。これらの添付ファイルを正確に特定することは難しく、検出には多くの場合、誤検出が含まれます。最適なソリューションとは、添付ファイルだけでなく、メールのコンテンツを評価する機械学習と静的コード解析が含まれていることです。 悪意のある可能性の高い HTML 添付ファイルを特定し、報告するようユーザーを訓練する。この手の攻撃が多発していることを考えると、ユーザーはすべてのHTML添付ファイル、特に知らない送信元からのものを警戒する必要があります。このような攻撃の例をフィッシング・シミュレーションのキャンペーンに盛り込み、ログイン情報を共有する前に必ずダブルチェックするようユーザーに教育してください。 悪意のあるメールが届いた場合に備え、配信後用修復ツールをいつでも使えるようにしておく。このツールを使って、すべてのユーザーの受信トレイから悪意のあるメールのインスタンスを迅速に特定し、削除しましょう。自動化されたインシデントレスポンスならば、攻撃が組織全体に広がる前にこの作業を迅速に行えます。また、アカウント乗っ取り防止は、ログイン認証が侵害された場合に疑わしいアカウントの活動を監視して警告することができます。 無料レポート – スピアフィッシング:主要な攻撃と攻撃トレンド 原文はこちらThreat Spotlight: Malicious HTML attachmentsJune 28, 2022 Olesia Klevchukhttps://blog.barracuda.com/2022/06/28/threat-spotlight-malicious-html-attachments/
海外ブログ
2022.08.04
自動データバックアップの管理はなぜ今も必要か
2022年6月30日、Tony Burgess バックアップは、テープや他のリムーバブルメディアで実行していた時には、時間がかかり、手がかかり、人為的なミスで失敗する機会の多い作業でした。そのため、Barracuda Backup や Barracuda Cloud-to-Cloud Backup など最新の自動化されたクラウド統合バックアップソリューションは、ITチームにもろ手を上げて歓迎されています。人手を介さず、バックグラウンドで確実に仕事をこなしてくれるのですから。 しかし、最新の強力なバックアップソリューションに任せきりでいることには、実は現実的なリスクがあります。 設定 自動バックアップをインストールした際、その時点のデータ構造を保護するための設定にしたはずです。しかしその後、データ構造は変化していませんか。新しいサーバーを追加したり、新しいパーティションを作成したり、データストアをオンプレミスからクラウドに移動したりしていませんか。バックアップの設定は常に監視し、変化に対応できるよう調整する必要があります。 さまざまなデータがどこにバックアップされているのか、それぞれのデータの重要性はどの程度か、緊急時にどのように迅速に復旧させるかなどを把握していなければ、業務への影響が長引く危険性があります 容量 バックアップソリューションの一部としてオンプレミスアプライアンスを使用している場合、予備容量を把握することは重要です。また、大量のデータを追加すると、容量が圧迫され、データ保護が中断する可能性があることをユーザに周知することも重要です。 バラクーダの顧客で、13の拠点を持つある企業は、それぞれクラウドレプリケーション付きのBarracuda Backupアプライアンスを使用しており、十分なバックアップ容量があります。ところが、従業員のひとりが数テラバイトのGISマッピングデータを各拠点に送信し、各拠点でそのデータをバックアップアプライアンスに追加しました。そのとたん、容量が緊急の課題となったのです。(幸い、より大容量の交換ユニットが各拠点に夜間配送され、IT 部門の助けを借りずに簡単に交換することができました)。 訓練、訓練、また訓練! 最新の自動バックアップソリューションを使用すれば、特定の重要なファイルであれ、データでいっぱいのサーバー全体であれ、失われたデータを通常数分で復旧させることができます。しかし、それは関係者がそのプロセスの訓練をしていて、それぞれの役割と自由に使える機能を理解している場合に限られます。 そのため、部署横断チームによる訓練を定期的に実施し、データの復元作業が正しく行われ、プロセスが円滑かつ迅速に実行されることを確認することが非常に重要です。いちばんよいのは、いくつかのシナリオに基づく訓練をすることです。ランサムウェア攻撃を受けた場合、誤ってデータを削除してしまった場合、解雇時に自動的に削除された元社員のOneDriveファイルが必要になった場合、といった具合です。 自動化しても人の手は必要 かつてのようなリムーバブルメディアベースのバックアップソリューションの管理から解放されて得た自由をどうか楽しんでください。しかし、最新の自動化されたデータ保護を最適化するためには、容量と設定を監視し、定期的にデータ復元の訓練を行うことを怠ってはいけません。バックアップは自動化されても、データを完全に保護するためには人の手が必要なのです。 バックアップシステムを設定しましょう 原文はこちら Why automated data backups still need to be managed June 30, 2022 Tony Burgess https://blog.barracuda.com/2022/06/30/why-automated-data-backups-still-need-to-be-managed/
海外ブログ
2022.07.19
ゼロトラストの中核となる原則 – NIST
トピック: Series: Understanding Zero Trust 2022年7月6日、Christine Barry 注:これはゼロトラストの源流と原則についての5回シリーズの第3回です。 ゼロトラストの定義に貢献し、普及を提唱している組織が2つあります。この記事では、以前に紹介した文書でNIST(米国国立標準技術研究所)が定義したゼロトラストの核となる原則を確認します。 NISTは、米国の技術革新と産業競争力を促進するために設立された研究所であり、政府機関です。連邦法では、NISTは情報セキュリティの標準とガイドラインを開発する責任を負うと規定されています。これらの標準とガイドラインの準拠は、ほとんどの組織で任意となっています。 NISTが提唱するゼロトラスト7つの原則 NISTが発行したレポート「NIST Special Publication 800-207」は、「企業のセキュリティ設計者のためにゼロトラストを説明する」ために作成され、ゼロトラストの7つの基本原則が記されています。以下はその原則と、それぞれの非公式な要約です。 すべてのデータソースとコンピューティングサービスはリソースとみなされる。IoT(Internet of Things)、SaaSアプリケーション、プリンター、その他接続された機器やサービスもここに含まれる。 すべての通信は、ネットワークの場所に関係なく保護される。ネットワーク内部からの内部トランザクションのリクエストは、外部からのリクエストと同じセキュリティ要件を満たす必要がある。 個々の企業リソースへのアクセスは、セッション単位で付与される。信頼は自動的には付与されず、タスクを完了するために必要な最小限の権限を超えてはならない。 リソースへのアクセスは、クライアントのID、アプリケーション/サービス、要求している資産の観測可能な状態を含む動的ポリシーによって決定され、他の行動および環境属性が含まれる場合もある。ポリシーとは、組織が対象者、データ資産、またはアプリケーションに割り当てる属性に基づく一連のアクセス規則である。この原則では、動的ポリシーとは何であり、ポリシーで使用される属性は何かを説明する。 企業は、所有するすべての資産と関連する資産の完全性とセキュリティ状態を監視し、測定する。どの資産も本質的に信頼できるものではなく、安全性が低い可能性のある資産は、最も安全な状態にある資産とは異なる方法で扱われるべきである。 すべてのリソースの認証と認可は動的であり、アクセスが許可される前に厳格に実施される。ゼロトラストは、「アクセスを取得し、脅威をスキャンして評価し、適応し、継続的なコミュニケーションで信頼を継続的に再評価するという恒常的なサイクル」である。 企業は、資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に活用する。継続的なデータ収集により、ポリシーの作成と施行を改善するための知見が得られる。 これらの原則は、NISTの定義するゼロトラストを達成するために何が必要かを示しています。ゼロトラスト・モデルに必要なリソース、属性、およびその他の構成要素を定義しています。また、この原則は、すべてのリクエストは検証されなければならず、最小特権の概念がすべてのリクエストに適用されるというスタンスを強調しています。NISTの文書はこちらから確認できます。ゼロトラストを包括的に理解したい人にとって必読の書と言えるでしょう。 このシリーズの次の投稿では、ゼロトラストとBoundaryless Information Flow™の基本原則に関するThe Open Groupのホワイトペーパーをレビューする予定です。 このシリーズのすべての投稿は、こちらで読むことができます。 原文はこちら The core principles of Zero Trust – NIST July 6, 2022 Christine Barry https://blog.barracuda.com/2022/07/06/the-core-principles-of-zero-trust-nist/
海外ブログ
2022.07.19
