検出・防御ツールが強化されているにもかかわらず、サイバー犯罪者は人間の行動を組織への入り口として悪用し続けています。
セキュリティインフラストラクチャは強化されていますが、有効な認証情報を盗んでログインすることは、多くの場合、境界防御を突破することより簡単です。これは単なる従業員の過失の問題ではなく、むしろアカウント、アクセス権限、予測可能なワークフローの急速な拡大が、悪用可能な脆弱性をもたらします。AI対応のソーシャルエンジニアリングは、攻撃者がこれらの戦術を迅速かつ説得力をもって拡大することを可能にします。
アイデンティティはエンタープライズのフロントドアになりました。しかし、認識トレーニングなどの従来の対応では、それだけでは保護することはできません。人間が引き起こしたリスクを軽減するには、単に予防するのではなく、エラーを予測し、その影響を制限するように設計されたシステムと統治が必要です。
今日のサイバー攻撃における人間が焦点である理由
人間はサイバーセキュリティの初期段階から攻撃の対象となっており、ビジネスシステムとの相互作用が拡大するにつれて、その傾向は継続する可能性があります。サイバー犯罪者は、ユーザーエラーが優れた攻撃ベクトルを提供することを理解しています。人間要因は依然として データ侵害の60%の重要な構成要素であるため、人々は焦点となったままです。その理由は次のとおりです:
アイデンティティベースの攻撃は有効です
技術ではなく、人間が恐怖、緊急性、好奇心、または信頼に応じてメールやメッセージに対して行動します。攻撃者はこれを悪用して、フィッシング、スミッシング、ビッシング、メール侵害、なりすましを使用します。
特に圧力の下では、人間は定期的にセキュリティプロトコルに反する行動をとります。「本質的に、人々はかなり信頼性が高く、悪意のあるコンテンツを探すように訓練と認識がないと、その心に警告が生じません」と、チューリッヒ企業のセキュリティオペレーションセンター責任者であるDJホエクスマ氏は述べています。「システムが強化されると、ユーザーは人間のままで、相互作用と信頼を続けます。彼らが脅威アクターにとって最も柔軟なターゲットであるため、私たちは彼らが熱心に絶えず攻撃されているのを見ています。」
認証情報が新しい通貨
認証情報は個人のデジタルアイデンティティと、その人がアクセスできるシステムを表します。攻撃者がこれらの認証情報を侵害すると、正当なユーザーのようにネットワークを移動し、機密データへの完全なアクセスを取得できます。「脅威アクターが知っているため、アイデンティティ詐欺が増え続けるのは、これが機能する攻撃ベクトルであり、高度に自動化でき、大量のお金へのアクセスを簡単に許可できるから」とホエクスマ氏は説明しています。
リモートワークによるより多くの脆弱性
個人用デバイスとクラウドアプリケーションの増加により、不正アクセスの機会が増加し、特に防御の最初の防線として人間の判断に依存する自宅またはオフサイト接続を経由します。
日常業務が優先されると、防御が弱まる可能性があります。忙しいワーカーはスピード重視でセキュリティコントロールをバイパスします。保護されていないWi-Fiを使用したり、個人的なメールでビジネスファイルを送信したり、検証なしでMFAリクエストを承認したりします。
攻撃者は人間の防御者より速く適応します
サイバー犯罪者は彼らの心理的戦術とツールを継続的に更新しています。彼らはソーシャルメディアアカウントから現在の情報をスクレイプし、経営幹部のライティングスタイルを模倣し、方法論を継続的に改善しながら時間に敏感な攻撃を開始します。
残念ながら、人間の労働者はそれほど速く適応することはできません。トレーニングでさえ、変更の実施には時間がかかり、複数の間違いの後に行われることが多いです。
従来の対応が失敗する理由
多くのチームはセキュリティ認識トレーニングを導入して、人間に焦点を当てた攻撃の多くに対して従業員の準備を支援しています。しかし、多くは期待していた結果を得ていません。
認識トレーニングだけでは平均して控えめな結果しか得られず、トレーニングにもかかわらず、データ侵害の大多数は依然として人間のエラーを含みます。
認識トレーニングが失敗する理由は2つあります。1つ目は、十分に挑戦的ではないことです。「脅威アクターは本当に優れています。彼らはユーザーがトレーニングしていることを理解しています。彼らは貴社の組織で実際に起こっていることに真に一致する、最も専門的でキュレーションされた、最も見栄えの良いメールを送信するつもりです」とホエクスマ氏は言います。「ユーザーが失敗する心配があるために難しすぎないメールでトレーニングしない場合、正しくトレーニングしていません。」
2つ目は、多くのチームはトレーニングをしますが、フォローアップテストで強化しないことです。「トレーニングするだけで積極的にテストしないと、トレーニングが機能したかどうか、または追加のトレーニングが必要な分野があるかどうかを知ることができません」とホエクスマ氏は言います。
アイデンティティ関連のリスクを軽減する
貴社の組織内のアイデンティティ関連のリスクを軽減し始める準備はできていますか?始める方法は以下の通りです:
• パスワードを置き換える:パスワードは多くの認証情報侵害の原因であるため、パスキーまたはハードウェア対応MFAで置き換えます。
• デフォルトでセキュリティを実装する:セキュリティがデフォルトで習慣になるため、MFAと暗号化、5分間の自動ロック、および内部クラウド共有を自動化します。
• ストレスを伴う判断を最小化する:エラーはしばしば疲労とストレスを伴う意思決定から生じるため、アラートと不要なセキュリティプロンプトを削減しながら、重要なセキュリティ決定の前に強制的な一時停止を義務付けます。
• 高リスク人間プロセスを排除してリアルタイムフィードバックを提供する:高リスクプロセスを、セキュアなポータル、帯域外検証、ロールベースのアクセスを使用するデュアル承認ワークフローで置き換えます。また、リアルタイムブラウザ警告と支払い確認プロンプトでチームの警戒を保ちます。
• 損害の可能性を制限する:エラーを想定して、セグメント化されたネットワーク、最小権限アクセス、セッショントークンバインディング、および異常検出による自動セッション失効で損害を制限します。
• 疑わしい活動の報告を合理化する:ワンクリック報告、エラーに対するペナルティなし、即座の成功認識により、疑わしいメールの報告を簡単にします。
より賢い防御システムの設計
今日の最も効果的な防御者は、人間の行動を修正しようとする試みから、避けられない間違いを想定してシステムを設計することへアプローチをシフトしています。革新的なチームは、より多くのトレーニングで人間を修正することに苦労するのではなく、人間のエラーを説明し、その周りに機能する賢いシステムを設計しています。
まず、パスワードレス認証、ゼロトラストアーキテクチャ、デフォルトによるセキュリティ設計、再構成された財務プロセス、および肯定的な強化文化内のリアルタイム行動リマインダーを使用して、アイデンティティ侵害を軽減するための式を採用することから始めます。
セッショントークンを個々のデバイスにバインドし、デバイスを個々のユーザーにバインドすることでシステムを強化してください。また、アイデンティティが侵害された場合にアラートするコントロールをインストールします。「違反の左側のすべてのアクションに加えて、最後の最終ステップとしてアイデンティティを監視する必要があります。常に監視し、ユーザーから異常な活動を検出でき、その後、アイデンティティ侵害対応を準備しておく必要があります」とホエクスマ氏はアドバイスしています。
サイバー犯罪者は、人間の行動を悪用することが技術的な脆弱性だけをターゲットにするよりも効果的であることを認識しています。主導的なチームはこれを受け入れ、人間のエラーを想定してシステムを設計し、より安全な将来のためにバイパスしています。
SpearTipは、アドバイザリ、SOC、インシデント対応サービスを通じて、組織がアイデンティティ関連のサイバーリスクを低減するのを支援します。貴社の組織がどのようにより賢い、人間中心の防御を実装してサイバー復元力を強化することができるかを学びましょう。
