Reading Time: 1 minutes
簡単に偽れる「ID」、簡単に偽れない「動作」
人の行動を注意深く監視することで、その人の真意が見えてくることがあります。同様に、マシンの動作を注意深く監視することで、セキュリティ上の潜在的な問題を明らかにすることができます。
SIEM(Security Information and Event Management)とUEBA(User and Entity Behavior Analytics)を組み合わせることで、企業に所属する多数のユーザーとデバイスを継続的に監視することができます。
UEBAは、機械学習を利用してユーザーの行動の異常を特定し随時報告することができ、悲惨な状況に陥る前に是正措置を講じる、手助けをしてくれます。
UEBAがどのように今日のサイバー脅威からネットワークを守るのか、本記事でご紹介します。
ケース①ランサムウェア攻撃
ある病院の忙しい一日。多数の患者が受付カウンターで順番を待っていると、病院中のコンピュータが次々とフリーズし、ビットコインを要求する身代金要求文が表示されます。このシナリオでは、クリニックの運営だけでなく、何百人もの命が危険にさらされる可能性があります。これは進化型ランサムウェアの一例で、感染したデバイスは、そのUIにアクセスできなくなります。
ランサムウェアの攻撃は、拡散、感染、足場作り、スキャニング、暗号化、支払いという複数の段階を経て行われます。
UEBAでは、過剰なファイルアクセスや非ネイティブファイルの実行を検知し、該当するエンティティのリスクスコアを引き上げる仕組みになっています。これにより、セキュリティ担当者は予防策を講じ、攻撃を初期段階で回避するよう注意を喚起することができます。
ケース②ブルートフォース攻撃
ブルートフォース攻撃者は、主に重要なデータを大量に保有している組織をターゲットにしています。
高等教育機関や政府機関は、その餌食になる可能性が高いです。攻撃者は、組織の機能を停止させるだけでなく、研究ファイルを流出させたり、機密性の高いデータベースを危険にさらしたりすることができます。
UEBAは、ユーザーが何度もログインに失敗した後、再びログインした場合や、オフィスからではなく、遠隔地からサーバーへのアクセスを試みた場合などを識別することができます。これらの行為はリスクスコアを引き上げ、潜在的な脅威を示す指標となり、攻撃を未然に防ぐのに役立ちます。
ケース③内部脅威
何百万人ものクレジットカードの詳細がダークウェブで公開されている、というのはよく知られた話なのではないでしょうか。これらのインシデントが発生する原因としてよく挙げられているのが、金銭的な目的や復讐心による内部犯行となります。
インサイダー攻撃は極めて成功率が高く、ユーザーはすでに重要なデータにアクセスする権限を持っているため、発見が困難です。多くの企業は、不正な攻撃の実行のために盗まれた情報が利用されるまでは、何の手がかりも得られないのです。
データ保護に関する様々なコンプライアンス規制がある中、このような攻撃による影響は組織の信用を落とすだけでなく、法的な問題に発展する可能性もあります。UEBAはこのような場面でも、うまく対処することができます。
例えば、あるユーザーがファイルを印刷しているとします。しかし、そのユーザーが本来すべき行動としては、ファイルやデータベースのエントリーの追加あるいは削除だけのはずです。こういった、本来予想される行動とは逸脱した異常な動作パターンを、UEBAでは特定し検知することができます。また、その行動のリスクレベルが高ければ高いほど、リスクスコアリングは引き上げられます。
情報は貴重な資源であり、貴重なデータを持つすべての組織は、常に情報漏洩の脅威にさらされています。UEBAは、ユーザーの行動を常に学習し、潜在的な脅威を知らせることができる、監視に最適なツールです。このように、UEBAを活用することで、「サイバー攻撃で最も被害を受けた企業」リスト入りを回避することもできます。
【連載】UEBAで脅威と戦う
UEBAの関連記事
- 会社を守る脅威インテリジェンス「UEBA(User and Entity Behavior Analyics)」とは?
- UEBA(User and Entity Behavior Analytics)を大解体!
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。