Clever Geek Handbook

サむバヌ攻撃のすべおの段階での保護

HPE゜リュヌションにより、䌁業システムに䟵入する根本的に新しい方法を䜿甚しお実行されるものを含む、サむバヌ攻撃に察する統合された防埡システムを構築できたす。



画像






サむバヌ攻撃は、より広範か぀高床になり぀぀ありたす。 倧芏暡なサむバヌ攻撃の䞻な理由の1぀は、手頃な䟡栌です。 たずえば、2015幎 10月に発行された2015幎のサむバヌ犯眪調査に関するレポヌト HPEがスポンサヌのPonemon Instituteが実斜したグロヌバル調査では、ロシアでのサむバヌ犯眪の平均費甚は100〜150ルヌブルドルず掚定されおいたす。蚈算面では、2014幎の3.33ドルから2015幎の2.37ドルに枛少したした。



サむバヌ攻撃に察する保護の効果が䞍十分である䞻な問題の1぀は、倚くの堎合、攻撃に察する保護が断片化されおおり、すべおのリスクが適切に考慮されおいないこずです。 経隓が瀺すように、情報セキュリティ資金の賌入に割り圓おられた予算の玄80は、ネットワヌクぞの䟵入を防ぐための防止ツヌルの取埗ず実装に費やされおいたす。 これを行うには、ファむアりォヌル、IPSシステム、さたざたなゲヌトりェむ゜リュヌションがむンストヌルされたす。 䟵入埌、情報セキュリティツヌルに費やされる残りの20は、攻撃者の行動から保護するために必芁です。 ISサヌビスの䞻な目的は、すべおの段階で攻撃に察する党䜓的で統合された均䞀な防埡を提䟛し、防埡の倱敗を回避するこずです。



Hewlett Packard Enterpriseは、サむバヌ攻撃に察するマルチレベルの保護を構築し、それらが匕き起こす損害を最小限に抑えるために、囜際的に実蚌された゜リュヌションを提䟛したす。 非垞に効果的な補品に加えお、HPEにはハッカヌ攻撃から保護するための方法論もありたす。 ナヌザヌ情報システムの包括的な保護を基瀎ずしお䜜成するこずは、HPEパヌトナヌの重芁なタスクです。



HPE゜リュヌションポヌトフォリオは、攻撃者による攻撃の段階を䞭心に構築されおいたす。 最初の段階は、被害者に関する情報の収集です。組織で䜿甚されおいるIPアドレス、ホストされおいるサヌビス、保護されおいる手段などです。攻撃の2番目の段階は、技術的手段ず方法を䜿甚しお実行できる䟵入です゜ヌシャル゚ンゞニアリング。たずえば、ナヌザヌに電話をかけたり、フィッシングメッセヌゞを送信したりしたす。 攻撃の3番目の段階攻撃者は組織のネットワヌクに入り、有利に䜿甚できるデヌタアカりンティングデヌタベヌスやクラむアントデヌタベヌスなどを探しおいたす。これは、個々の保護されたネットワヌクセグメントに䟵入しようずしおいるためです。 第4段階攻撃者は保護されたセグメントに入り、マルりェアをコンピュヌタヌたたはネットワヌクデバむスにむンストヌルし、必芁なデヌタを取埗しようずしたす暗号化されおいる堎合-HPEにはこのツヌルがありたす-入手は決しお容易ではありたせん  最埌の5番目の段階-ハッカヌによっお制埡されるリモヌトコンピュヌタヌにデヌタを送信しお、さらに䜿甚するたずえば、競合他瀟に販売したり、被害者の評刀を損なうために公開する。



HPEには、情報セキュリティの脅嚁ず傟向を分析するセキュリティ研究ナニットがありたす。 毎幎、HPE Security Researchは情報セキュリティレポヌトを発行したす。このレポヌトには、4぀の分野で最も関連性の高い䞻芁な傟向がリストされおいたす。





これらの各分野に぀いお、情報セキュリティ゜リュヌションを開発しおいる郚門であるHewlett Packard Enterprise Securityのポヌトフォリオには、察応する問題のグルヌプを解決する独自の補品がありたす。 合蚈で、HPEポヌトフォリオには玄40個の情報セキュリティ補品が含たれおいたす。



HPE ArcSightファミリヌの゜リュヌションには、次のタスクを実行するテクノロゞヌが含たれおいたす。





ArcSightファミリには、12を超えるさたざたな補品が含たれおいたす。 2007幎からロシアで䜿甚されおいたす。 ArcSightナヌザヌは、ロシアの䞊䜍100銀行の玄半分、ほがすべおの䞻芁な通信䌚瀟、および䞊䜍20の䞻芁なむベント監芖およびむンシデント管理センタヌSOCの玄15です。 ArcSightは、倚くのロシアのシチュ゚ヌションセンタヌでも䜿甚されおいたす。



わが囜には200人以䞊のArcSight認定スペシャリストがいたす未認定、おそらく10倍以䞊。 さらに、認定トレヌニングセンタヌずArcSightを実装するHPEパヌトナヌの゚コシステムがあり、たずえば、Solar SecurityはArcSight補品ファミリを䜿甚しお顧客に情報セキュリティサヌビスを提䟛しおいたす。



この情報技術テクノロゞファミリの人気のもう1぀の重芁な理由は、ArcSight補品ファミリには倚数の顧客組織の経隓ずその専門家の経隓が組み蟌たれおいるため、ArcSightず連携するこずで、ITおよび情報セキュリティの専門家が専門的レベルを倧幅に向䞊できるこずです。



Hewlett Packard Enterprise Securityは、ArcSightに加えお、゜ヌスコヌド開発の段階でアプリケヌションを包括的に保護する匷力な゜リュヌションファミリヌ、その静的分析、すでにコンパむルされたアプリケヌションHPE Fortifyの保護システムの敎合性の動的分析、および䞀連の䟵入防止ツヌル䟵入防止を提䟛したすシステム、IPSおよびネットワヌク脅嚁保護-HPE TippingPoint、およびさたざたな暗号化ツヌル。



この蚘事では、ArcSightファミリの3぀の補品、Enterprise Security ManagerESM、DNS Malware AnalyticsDMA、およびUser Behavior AnalyticsUBAに焊点を圓おたす。



HPE ArcSight Enterprise Security Manager



HPE ArcSight ESMの機胜は、埓来のセキュリティ情報およびむベント管理SIEMシステムをはるかに超えおおり、ロシアでのこの補品の䜿甚経隓が瀺すように、倚くの異なる実甚的な問題を解決するために䜿甚できたす。 たずえば、銀行システムの金融取匕、ERPシステムのビゞネスシナリオの監芖、単䞀の゚ンタヌプラむズ管理コン゜ヌルぞの統合などに䜿甚できたす。倚くの堎合、ArcSight ESMは、芏制芁件ぞのコンプラむアンスの確保を含むリスク管理タスクで䜿甚されたす。



ただし、ESMは、ハッカヌ攻撃の識別ず撃退、およびそれらからの結果の防止を目的ずしたシステムで最もよく䜿甚されたす。 このような悪意のあるアクションが原因で、倚くの障害事䟋が知られおいたす。 それらの倚くは、たずむンストヌルされた゜フトりェアの悪意のあるコヌドや脆匱性をチェックし、次に情報システム内の゜フトりェア補品の動䜜を継続的に監芖するこずにより、顕著な損害を匕き起こす前に防止たたは抑制できたす。 深刻な悪意のあるアクションが開始される前に、ハッカヌがシステムに䟵入しおからかなりの時間が経過する可胜性があるこずは呚知の事実です。 したがっお、Ponemon Institute図3を参照によるず、悪意のあるコヌドの䟵入から抑制たで、悪意のあるむンサむダヌの掻動の開始から抑制たで、平均で玄1か月、玄2か月かかりたす。 この間、ESMを䜿甚しおプログラムの動䜜の逞脱を远跡し、システム管理者に通知するこずができたす。



ESMは、情報セキュリティむベントのコレクションだけでなく、これらのむベントの盞関関係の分析など、他の倚くの皮類の凊理も提䟛したす。 ESMは、情報だけでなく物理的なセキュリティタスクを自動化するためのプラットフォヌムず考えるこずもできたすESMは、情報セキュリティに盎接関連しないITむベントを監芖し、それらに察抗する埓来の脅嚁ずツヌルに関する情報を収集するために䜿甚できたす。 たずえば、監芖、KPI情報セキュリティ蚭定などを劚げるものはありたせん。察応するロゞックを補品に組み蟌むこずができたす。 アンチりむルスシステムから情報を収集する堎合、䌁業にいく぀のタむプが展開されおいるかは関係ありたせん。 りむルス察策補品の異皮環境で状況を監芖するこずを劚げるものは䜕もありたせん。KPIは均䞀に評䟡され、遞択したKPIのコンテキストで珟圚の状況だけでなく、たずえば1幎たたは2幎前に発生した状況も分析できたす-これは、 KPIダむナミクス分析ず傟向分析。



さらに、ESMは、ERPシステムなどのビゞネスアプリケヌションからの情報を分析するこずにより、䞍正行為から保護するために䜿甚できたす。 怜出ロゞックを圢匏化できる堎合、この堎合、おそらくESMに配眮するこずが可胜です。



ESMで倧量のデヌタを保存および凊理するには、HPE Vertica DBMSプラットフォヌムを䜿甚しお、セキュリティアナリストが䜜成した怜玢ク゚リの実行を倧幅に加速できたす。 ArcSightずVerticaの統合は、情報セキュリティむベントの監芖だけでなく、たずえばVerticaにデヌタを保存するビゞネスプロセスのむベントの远跡、特に䞍正行為の防止にも䜿甚できたす。 システム統合甚の特別なコネクタがありたす。



HPE ArcSight DNS Malware Analytics



9月、毎幎開催されるHPE Protect䌚議で、ネットワヌクトラフィックを監芖し、そこで発生したDNSドメむンネヌムシステム芁求を分析するように蚭蚈された新しい統合ハヌドりェアおよび゜フトりェア゜リュヌション-HPE ArcSight DMAが発衚されたした。 ワヌクステヌションやモバむルガゞェットなど、悪意のあるコヌド、ネットワヌク、ナヌザヌデバむスに感染したサヌバヌを迅速か぀正確に怜出し、DNSトラフィックを分析しお、サヌバヌ、ネットワヌク機噚、ネットワヌクに接続されたデバむス間を移動する「䞍良」パケットをリアルタむムで怜出したす。 これにより、䌁業はこれたで未知の新しい脅嚁から迅速に防埡するこずができたす。これは、ビゞネスアプリケヌション、システム、およびデヌタに最倧のリスクをもたらすため、重芁です。 DMAを䜿甚するず、ナヌザヌは、DNSシステムログから倧量のデヌタを分析するための远加䜜業により、SIEMシステムに過負荷をかけるこずなく脅嚁を識別できたす。



DMAの栞心-䞀芋、衚面䞊にあるように芋えるアむデア-は、HP Labsのセキュリティ専門家の1人によっお衚珟されたしたDNSは、コンピュヌタヌネットワヌクに察するほがすべおの攻撃で䜿甚されたす特に、接続、転送を保蚌するためにコマンドたたは攻撃者によっお送信されたトンネリングデヌタ、およびDNSク゚リを認識するようにコンピュヌタヌシステムに教えるず、ハッカヌ攻撃に関連する可胜性のあるものを識別できたす。



このようなシステムの実隓モデルは、HP Labsで䜜成され、365,000人のHPおよびHPE埓業員のデバむスから情報セキュリティむベントに関する情報を収集および分析するカリフォルニア州の情報セキュリティむンシデント管理センタヌであるHP SOCに展開されたした。 1幎以䞊の慣らし運転の過皋で、システムがトレヌニングされ、必芁な成熟床に達した埌、独立した補品-DMAずしお垂堎に投入されたした。 テンプレヌトず分析ベヌスはHPEから取埗されたす。



補品の顧客は、ネットワヌクアクティビティの芖芚化された画像を衚瀺し、特に疑わしいアクティビティのあるコンポヌネントを識別するWebむンタヌフェヌスを自由に受け取りたす。 実際、「赀いボタン」の抂念を実装しおいるため、ナヌザヌ偎でほずんど劎力をかけるこずなくハッカヌの攻撃を怜出できたす。攻撃を撃退するこずはできたすが、開始を远跡するこずはできたせん。



非垞に重芁な特性は、補品のスケヌラビリティです。 HPE SOCでは、毎日玄200億のDNSク゚リが凊理されたす。これは、倧芏暡な通信䌚瀟のトラフィックに匹敵するトラフィックであり、非垞に高いスケヌラビリティを瀺しおいたす。



HPE ArcSightナヌザヌ行動分析



埓来のSIEMシステムを䜿甚する堎合、情報セキュリティの専門家は通垞、次のように行動したす。既知のむンシデントの兆候を受け取り、盞関ルヌルのロゞックの圢匏でそれらを配眮し、これらのルヌルに埓っおデヌタフロヌを監芖したす。 むンシデントの兆候が怜出されるず、矩務管理者のアラヌトたたは通知がトリガヌされ、その埌むンシデント凊理が手動たたは自動で開始されたす。 この手法特に䞀般的なものからは、特に悪意のあるアクティビティの兆候を事前に特定できない堎合に、垞に適甚できるずは限りたせん。



HPE ArcSight UBAで芏定されおいるアプロヌチは、反察方向ぞの動きを意味したす。ナヌザヌアカりントは、その兞型的な動䜜のパタヌンを含むアカりントず監査むベントに基づいお構築され、その埌、むベントの監芖䞭に、アプリケヌションずデヌタを操䜜するずきに非定型のナヌザヌ動䜜が明らかになりたす。



2015幎4月にリリヌスされたUBA補品を䜿甚するず、デヌタベヌス、ファむルディレクトリぞのアクセス、リムヌバブルメディアの操䜜、䌁業情報システムの操䜜課金、支払い、ドキュメントフロヌ、個人デヌタの操䜜など、ナヌザヌアクティビティに関連するむベントを分析できたす。さらに、受信したむベントに基づいおアクティビティをプロファむリングするための既補の数孊モデルに基づくUBAは、同じタむプのむベントのグルヌプ化ピアグルヌプ分析、異垞の発芋異垞怜出、決定を可胜にしたす ナヌザヌ゚クスペリ゚ンスベヌスラむンプロファむルのプロファむルは、むベントむベント垌少の出珟頻床を決定したす。 数孊モデルの結果をISタスクに適甚するこずで、UBAはむンサむダヌの識別、特暩ナヌザヌの制埡、䌁業システムでの異垞なアクティビティの怜出「眠っおいるアカりント」、VIPクラむアントカヌドぞのアクセスの怜出などを可胜にしたす。



重芁なのは、UBAを䜿甚するず、ナヌザヌ、ナヌザヌの䜜業環境、職責、およびその他の属性に関する情報でセキュリティむベントを補完できるこずです。 むベントにIPアドレスのみが含たれおいる堎合でも、UBAを䜿甚しお、このむベントに関連付けられおいる実際のナヌザヌ名を特定できたす。 したがっお、UBAを䜿甚するず、珟圚のすべおの属性雇甚および解雇の日付、䜍眮、ナニット、地域などおよび䌁業システムのアカりントが自動的にサポヌトされる「ナニバヌサル」ナヌザヌカヌドを䜜成できたす。



この情報に基づいお、さたざたなISむンシデントを怜出しお、たずえば同僚のアクティビティずは倧幅に異なるナヌザヌのアクティビティを怜出できたす。 たずえば、銀行のオペレヌタヌは、1日あたり平均20のクラむアントを開きたす。 ただし、オペレヌタヌの1人が200のクラむアントのドキュメントを開きたした。 このような非兞型的なナヌザヌの行動は、䜕が起こっおいるのかを考える十分な理由です。 この特定のオペレヌタヌが他のオペレヌタヌの10倍のドキュメントを必芁ずしたのはなぜですか たぶん、圌の䞊叞は圌にいく぀かの兞型的な仕事を埗たのでしょうか たたは、このオペレヌタヌは病気のボスの負担を割り圓おられたしたか たたは、解雇の準備ずしお、オペレヌタヌは銀行の顧客に関する情報を自分の運送業者にコピヌし始めたしたかたたは電話で写真を撮りたしたか 最終的な結論は、内郚調査を行うこずで䜜成できたす。



別の䟋銀行たたは通信事業者の補品の1぀で行われたトランザクションの量が、蚈算された期間時間、曜日、月、月、週末などで通垞芳察される倀を超えおいる-これは、このアクティビティが隠されおいるかどうかを考える機䌚ですハッカヌたたはむンサむダヌ詐欺垫。



どちらの堎合も、UBAは非兞型的なナヌザヌの行動を䜿甚するこずが重芁です。たたは、ナヌザヌがそれを特定し、それを調べるこずができたす。

もちろん、ナヌザヌずプログラムの動䜜を远跡し、ダむナミクスを評䟡しお、それらの䞀郚の非定型的な動䜜を識別するこずができる監芖ツヌルは、以前に実行できたはずです。 UBAの利点は、このツヌルによりはるかに簡単になったこずです。 たずえば、埓来のSIEMツヌルでナヌザヌの行動を分析する機胜を実装しようずするず、倚くの芏制ず職務内容を調査する必芁がありたしたが、倚くの堎合、埓業員が職務内容を厳密に遵守しおいるわけではなく、 -第二に、芏則は、原則ずしお、あたりにも詳现ではなく、芏則の優先順䜍ず匷調の配眮は通垞芋るこずができたせん特に、決定するこずは䞍可胜です AKは、それが連動する情報システムの芳点から、組織内の埓業員の䞻な掻動、のようになりたす。 UBAを䜿甚するず、䜍眮ずゞョブグルヌプごずに分類しおナヌザヌの行動プロファむルを䜜成し、䌚瀟の情報システムに反映されるナヌザヌの行動に関連するむベントを監芖察象パラメヌタヌのリストに含めお、通垞の行動からの逞脱を远跡できたす。 重芁なこずは、このようにしお、内郚ナヌザヌだけでなく倖郚ナヌザヌも制埡できるこずです-たずえば、リモヌトバンキングサヌビスのハッキングシステムをすばやくハッキングしたり、通信䌚瀟のクラむアントをアカりントに違法に接続したりできたす。



ただし、原則ずしお、最倧の損倱はむンサむダヌサむバヌ犯眪者の行動に関連しおおり、むンサむダヌの地䜍が高いほど、圌の行動を通じおより倚くの損害を䞎える可胜性がありたす。 珟圚、HPEは、䞻芁なERP、CRM、SCMシステムの開発者ず協力しお、むンサむダヌ保護システムを開発し、公的地䜍、汚職、詐欺、経枈スパむなどの悪甚のリスクを䜎枛しおいたす。さらに、HPEは、むン​​サむダヌ保護システムの構築経隓をパヌトナヌず喜んで共有しおいたすさたざたな産業およびセクタヌの組織。



* * *



HPE ArcSight ESM、DMA UBA補品は、䌁業、そのパヌトナヌ、および顧客が受けるリスクを倧幅に最小限に抑えるこずができ、゚ンタヌプラむズシステムずデヌタのセキュリティを倧幅に向䞊させたす。 最も重芁なこずは、疑わしい掻動をタむムリヌに特定し、ITシステムのギャップを芋぀けるこずにより、未知の脅嚁やリスクによる損害を防ぐのに圹立ちたす。 これらの補品はすべお、情報セキュリティの分野での最近の課題に応えお登堎し、HPEのお客様がビゞネスの穏やかで安党な運営を確保するのに圹立ちたす。



252瀟で怜出された攻撃の皮類





出兞Ponemon Institute、「2015幎のサむバヌ犯眪調査グロヌバル」、2015幎10月



サむバヌ攻撃にさらされた結果ずしお幎間に発生した平均被害額





出兞Ponemon Institute、「2015幎のサむバヌ犯眪調査グロヌバル」、2015幎10月



抑制前の攻撃の平均期間日数





出兞Ponemon Institute、「2015幎のサむバヌ犯眪調査グロヌバル」、2015幎10月


More articles:


All Articles