企業がサイバーセキュリティにおける脅威検出を忘れることができない理由

公開: 2022-09-09

最高の防御ツールを使用していても、攻撃が防御をすり抜けて企業のネットワークに侵入した場合はどうなるでしょうか? ここで、ネットワークに侵入するサイバー攻撃を特定、排除、および回復するのに役立つ脅威検出の出番です。

階層化されたサイバーセキュリティ アプローチにおける脅威検出の位置付け

レイヤード サイバーセキュリティ アプローチとは、企業が複数異なるサイバーセキュリティ イニシアチブを一緒に利用して、1 つのより大きなまとまりのある戦略を形成することです。 その戦略の各側面は、防御の「レイヤー」を形成するために別の側面によってバックアップされます。

階層化されたサイバーセキュリティ アプローチ

一般的に知られているように、レイヤーには次のものがあります。

  • 境界セキュリティ:脅威がビジネス ネットワークに侵入するのを防ぐ、ファイアウォール、ウイルス対策ソフトウェア、およびその他のツール。
  • ネットワーク セキュリティ:ネットワーク接続を保護するための VPN、サイト間接続、および Web フィルタリング。
  • エンドポイント保護:ユーザーが一般的にデータ、情報、およびネットワークにアクセスするために使用するデバイスを保護するために設計されたサイバーセキュリティ プロトコル。
  • セキュリティ意識: 「ヒューマン レイヤー」とも呼ばれ、企業全体のユーザーによるトレーニング、教育、および一般的な認識が含まれます。
  • アプリケーション セキュリティ:サード パーティのアプリケーションや Web サイトの脆弱性をスキャンします。
  • 情報セキュリティ:暗号化技術を使用して保存中および共有中に重要な情報を保護することにより、データの損失を防ぎます。
  • 重要な資産のセキュリティ:侵害後のビジネス継続性のために、ビジネスに不可欠なデータをバックアップします。

各レイヤーはその上下のレイヤーと同じくらい重要ですが、企業は予防 (トレーニング、ウイルス対策ソフトウェア、ファイアウォール、暗号化など) に重点を置く傾向があり、強力なアラート システム (別名) を持つことの重要性を忘れがちです。悪意のある人物がネットワークに侵入したときにそれらを表示するための脅威検出。

結局のところ、世界最高のホーム セキュリティ システムを導入することはできますが、人々を締め出すことに重点を置いていると、それらのシステムを設置していないと、実際に侵入したことに気付かない可能性があります。

サイバーセキュリティにおける脅威検出とは?

脅威の検出は、ネットワークが侵入者によって侵害されたときに迅速に特定できるため、企業のサイバーセキュリティ戦略の最も重要な部分の 1 つです。 脅威を適切に検出しなければ、サイバー犯罪者がネットワークにアクセスし、不明な時間そこにとどまり、罠を仕掛けたり、データを盗んだり、将来の攻撃に備えて情報を収集したりする可能性があります。

残念ながら、現代のビジネスでは、あらゆる攻撃を阻止することは不可能です。 サイバー犯罪者は賢く、容赦なく、順応性があります。 防御を突破する攻撃は避けられません。そのため、企業は、攻撃を防ぐために費やす時間と同じくらい、攻撃後に何が起こるかを検討することが重要です。

脅威の検出と回復計画がなければ、攻撃者の気まぐれに左右されてしまいます。攻撃者がそこにいることを知らず、攻撃者を阻止して開始するための行動計画が設定されていないため、基本的にネットワークを完全に実行している攻撃者です。回復。

脅威検出を構成するツール、プロセス、およびプロトコルとは?

外部に面した防御を通過する脅威を検出するために、サイバーセキュリティの専門家とアナリストは、さまざまな形式の検出を利用するツールを使用して、さまざまな種類の攻撃と攻撃ベクトルを特定します。 ここでは、4 つの異なる検出技術、その機能、および識別に使用される攻撃の概要を簡単に説明します。

行動ベースの検出:この検出手法は、時間の経過とともに追跡される行動傾向を使用して、異常を特定するのに役立ちます。 動作のデジタル パターン (ユーザー アクティビティ、ネットワーク動作など) を追跡して、標準/適切な動作と異常/悪い動作を判断し、潜在的な脅威を見つけます。 これは、特定のユーザーが通常よりも多くのデータにアクセスしたり、通常は使用しないデータにアクセスしたりするなど、内部の脅威を検出するためによく使用されます (ただし、外部の脅威を検出するためにも使用されます)。

統計ベースの検出:この手法では、数値を測定して、ベースライン、そのベースラインの変動、および外れ値を検出し、異常や潜在的な攻撃を検出します。 これは、ブルート フォースのような機械主導の攻撃を排除するのに特に役立ちます。

アルゴリズムベースの検出:この手法では、機械学習と AI を使用して、システム内で収集されたデータと攻撃の典型的なコールサインに基づいて攻撃を予測および識別します。 アルゴリズムはデータを並べ替えて攻撃の可能性を確認し、その情報に基づいて異常を識別します。

シグネチャ ベースの検出:シグネチャ ベースの検出方法では、既知の悪意のある攻撃 (マルウェア、ランサムウェアなど) の属性を探して、ファイアウォールやウイルス対策ソフトウェアによってブロックまたは除外されていない攻撃を識別します。

企業にとって脅威検出のない生活

適切な脅威検出ツールが導入されていないと、ビジネスに重大な悪影響が生じる可能性があります。 サイバー犯罪者がビジネス ネットワーク全体を自由に歩き回るのを許すと、ビジネス オペレーション、データ セキュリティ、プライバシーなどに大きな損害を与える可能性があります。 簡単に言えば、犯罪者はある時点で防御を打ち破る方法を見つけます。脅威の検出と対応の計画が整っていなければ、手遅れになるまでそれらの攻撃に気付かない可能性があります。

検出されないマルウェアは、ゆっくりとデータを収集し、情報を盗み、ネットワークを分析しながら、長期間活動を休止する可能性があります。 これにより、サイバー犯罪者は防御を理解し、より大規模な攻撃に備えるための時間を確保できます。 さらに、長期にわたるデータの盗難は、ビジネス、顧客、および従業員に損害を与える可能性があり、特定のセキュリティ規制に準拠していないことが判明した場合、多額の罰金が科せられる可能性があります。

攻撃が発見されずに対応されない期間が長引くほど、企業が完全に回復できたとしても、その費用が高くなる傾向があります。

脅威が検出された後はどうなりますか?

違反や攻撃が検出されると、企業の災害復旧計画が有効になります。

関連:ディザスタ リカバリ計画には、運用に不可欠なビジネス情報と資産を確実に保護、バックアップ、復元して、ダウンタイムの長期化を回避するための一連の手順が含まれます。 さらに、この計画には、復旧時に誰が何を処理するかについての組織の役割と責任を策定すること、および災害シナリオを評価して、全員が準備を整え、次に何をすべきかを確実に把握することが含まれます。

企業は脅威検出をどのように実装できますか?

ビジネスに脅威検出ツールを実装することは、特に小規模または経験の浅い IT またはサイバーセキュリティ チームを持っている場合、大きな効果をもたらす可能性があります。 テクノロジーを最大限に活用し、変化する脅威を特定し続けるためにテクノロジーが適切に機能していることを確認するために、多くのトレーニング、テスト、および監視が必要です。

そのために、マネージド セキュリティ サービス プロバイダーと提携して、ツール、専門知識、およびこれらのツールを適切に実装および運用するために必要な時間をビジネスに提供することをお勧めします。

パズルの 1 ピースとしての脅威検出

また、脅威の検出は、教育から防止、検出、回復までのあらゆる角度をカバーする階層化されたサイバーセキュリティ アプローチの一部にすぎないことを覚えておくことも重要です。 本格的な階層化されたセキュリティ アプローチがビジネスにとって何を意味するのか、また最新の脅威に対してセキュリティを維持するためにどのようにそれを達成できるかについて、電子ブック「 What Makes a Good Cyber​​security Defense for a Modern SMB?」を参照してください。