サイバーニュース.jp

世界のサイバーなニュースを配信

メールセキュリティにもっと「シートベルト」を:クリック率が誤った指標である理由

カテゴリ:

クリック率が誤った指標である理由

多くのセキュリティチームが未だにフィッシング対策の指標としてクリック率を測定しています。これは追跡しやすく、プレゼンテーション資料に含めやすい一方で、非常に誤解を招く指標でもあります。「潮の満ち引きを測る」ようなもので、自然に変動し、現実世界への影響を予測することは稀です。より意味のある問いは、ほとんどのプログラムが答えられないものです。すなわち、もし攻撃者がメールボックスに侵入した場合、どれほどの損害を与えられるのか?これこそが真の成熟度指標であり、完了率やURLにマウスオーバーしたかどうかではありません。たとえクリック率がごくわずかであっても、たった一人の従業員が注意を払わなかっただけで事態は起こり得ます。さらに、フィッシング攻撃を伴わないメールボックス侵害が増加している現状も無視できません。

フィッシングは単なる入り口に過ぎない:危機はその後に発生する

CISOが夜も眠れないようなインシデントにおいて、フィッシングは単にアクセスを得るための手段に過ぎません。真の問題は、攻撃者が内部に侵入した後何が起こるかです。彼らは何年分もの機密性の高いメールボックスデータや共有ファイルを窃取します。メールボックスを使って下流アプリケーションのパスワードをリセットしたり、侵害されたIDを使って信頼できる情報源から他の従業員にフィッシングを仕掛けたりします。ここでMFA(多要素認証)は万能ではありません。MFAを完全に迂回してクラウドワークスペースに侵入する方法は数多く存在します。もし侵害が避けられないのであれば、目標は完璧な防止からレジリエンス(回復力)への移行へと変わるべきです。

レジリエントなメールセキュリティのための多層アプローチ

今日市場に出回っているほとんどのメールセキュリティツールは、インバウンド攻撃の阻止、つまり「防止」にのみ焦点を当てています。これはもちろん重要ですが、唯一の防御策であってはなりません。現代の攻撃はあまりにも速く、大規模で、巧妙です。インバウンド保護のみに依存するプログラムは、もはや不十分です。

  • 防止 (Prevention):インバウンドの脅威をブロックし、誤った設定を修正し、リスクのあるファイル共有を強化します。攻撃が発生する前にできる限り多くの対策を講じます。
  • 検出と回復 (Detect and recover):損傷が発生する前に、侵害や乗っ取りの兆候を発見するための可視性を持ちます。異常なログイン行動だけでなく、データアクセスパターン、メール転送ルール、ファイル共有行動など、アカウントが通常とは異なる振る舞いをしていないかを監視します。
  • コンテインメント (Containment):攻撃者がアカウントを侵害した後、被害の範囲を縮小し、与えられる損害を最小限に抑えるための常時稼働のリスク軽減策です。機密データの持ち出し、横方向の移動、環境全体への攻撃の拡散能力を制限します。

ほとんどの組織は防止策においてかなりうまくやっていますが、その範囲は限定的であることが多いです。より成熟した組織は、ある程度の検出および対応能力を持っています。しかし、コンテインメントを効果的に管理している組織はごくわずかです。

失われた層:コンテインメント

コンテインメントは華やかではなく、既存のセキュリティカテゴリにきれいに収まるわけでもありません。しかし、それは侵害の深刻さに絶大な影響を与える可能性があります。次のように考えてみてください。防止は車のメンテナンス、安全運転、事故の回避です。検出と対応は、事故後に全員が無事であることを確認し、助けを呼ぶことです。コンテインメントはシートベルトとエアバッグです。クラッシュの被害を軽減するための安全対策なのです。

コンテインメントは単なるスローガンではなく、攻撃者の侵害後の目標に対処することを目的とした実践的なコントロールの集合体です。

  • メールボックスからのデータ持ち出しを困難に:アカウントへのアクセスが、何年分ものPII(個人識別情報)や財務報告書への無制限なアクセスを意味するのはなぜでしょうか?機密メッセージに追加の認証を要求する内部セグメンテーションは、攻撃者が「奪える」ものを制限します。
  • パスワードリセットによる横方向の移動を阻止:侵害の軌道を変化させるコントロールが一つあるとすれば、それはこれです。パスワードリセットメールを傍受し、追加のMFAチャレンジを強制することで、侵害されたメールボックスが侵害されたIDになることを防ぎます。
  • 「設定の負債」を解消:攻撃者は古いデフォルト設定を好みます。IMAP/POP(MFAを迂回する)の無効化や、アプリ固有のパスワードのクリーンアップは、被害範囲を大幅に縮小する基本的な衛生対策です。

手動トリアージからの脱却

ほとんどのチームにとっての障害は時間です。すべてのファイル権限を手動で監査したり、すべてのユーザー報告をトリアージしたりする帯域幅を持つ人はいません。コンテインメントに真剣に取り組むのであれば、退屈な作業を自動的に行うシステムが必要です。つまり、バックグラウンドでリスクを検出し、修復するシステムです。これにより、チームは判断が本当に必要なときにだけ介入すればよくなります。

代わりに測定すべきこと

もしクリック率が単なる潮の満ち引きに過ぎないとしたら、以下の指標こそがあなたのリスクを実際に反映する指標です。

  • メールボックスの戦利品化可能性 (Mailbox lootability):追加の認証なしで、どれだけの機密コンテンツにアクセス可能か?
  • リセットパスの露出度 (Reset-path exposure):メールのみのパスワードリセットを介して、どれだけの重要なアプリにアクセス可能か?
  • 封じ込めまでの時間 (Time-to-contain):攻撃者が内部に侵入した後、その行動をどれだけ迅速に制限できるか?

メールセキュリティは何年もの間、「玄関」に執着してきました。今こそ問うべき時です。もし攻撃者が今メールボックスに侵入しているとしたら、次の10分間で何ができるのか、そしてその権限をどれだけ早く奪えるのか?

元記事: https://www.bleepingcomputer.com/news/security/email-security-needs-more-seatbelts-why-click-rate-is-the-wrong-metric/

投稿をさらに読み込む