この記事では、CatoクラウドのセキュリティスタックにおけるIPSセキュリティサービスとインターネットファイアウォールがどのようにフィッシング攻撃からネットワークを保護するかを説明します。
フィッシングは組織にとって最も危険な脅威の1つであり、フィッシング攻撃は企業ネットワークに侵入したり、資格情報やその他の個人データを盗むための初期ベクトルとなる可能性があります。 CatoセキュリティスタックのIPSサービスとインターネットファイアウォールには、トラフィックをフィッシング攻撃として識別し、ネットワークに侵入する前に攻撃をブロックするためのさまざまな技術があります。
Catoのセキュリティチームは、侵害指標(IOC)に基づいて、フィッシング攻撃に対するIPSおよびファイアウォールの保護を作成します。 IOCは、既知のフィッシングキャンペーンに関するドメイン、URL、およびその他のデータを含むさまざまなプライベートおよびオープンソースの脅威インテリジェンスフィードから蓄積されます。 既知のフィッシングキャンペーンのIOCと一致するトラフィックは、IPSエンジンによって自動的にブロックされます。
セキュリティスタックの別の保護レベルでは、フィッシングウェブサイトの特徴に基づいたヒューリスティックとアルゴリズムを利用しています。 セキュリティチームはこれらのネットワークデータをすべて分析し、フィッシング攻撃の発信元となるウェブサイトを識別できる保護策を作成します。 例えば、フィッシングキャンペーンは偽物のOffice365 URLを使って、ユーザーがこのリンクが正当なものだと思い込ませることができます。 ユーザーが誤って悪意のあるOffice365リンクをクリックした場合、IPSまたはファイアウォールがトラフィックをブロックし、フィッシング攻撃を防ぐことができます。
さらに、IPSには最新のフィッシング攻撃技術に対抗するための高度な機械学習アルゴリズムや画像処理モデルを使用する保護が含まれています。 例えば:
- IPS機械学習アルゴリズムは、DGAやサイバースクワッティングなどの技術を使って作成された新規ドメインを使用する攻撃を検出してブロックすることができます。
- IPS画像処理モデルは、偽のアイコンを使用する悪意のあるサイトや、正規のサイトと同一のアイコン、グラフィック、その他の要素を使用するサイトを識別できます。
セキュリティチームは常にCatoクラウド内のネットワークトラフィックを分析しており、ヒューリスティックとアルゴリズムを改良し、新しいフィッシング攻撃を検出する能力を向上させています。
IPSフィッシング保護は、さまざまな戦略を使用して攻撃を検出し、緩和し、さまざまな段階でフィッシング攻撃をブロックする能力を持つことで保護を最大化します。 これらは保護戦略の種類です:
-
アクセスのブロック - これらの保護は、閲覧先をフィッシングサイトとして識別し、サイトへのアクセスをブロックします。 この戦略を使用する例には、以下に基づく保護が含まれます:
- 脅威インテリジェンスフィード
- 潜在的なフィッシングサイトを識別する機械学習モデル
- 新規登録ドメインの識別
- 疑わしいトップレベルドメインを識別するヒューリスティック
- 正規のHTMLタイトルタグが不明なリソースでレンダリングされるのを検出するヒューリスティック
- 認証情報のブロック — 高度なフィッシングページ要素の検出 - ユーザーが既に悪意のあるサイトにアクセスし、ウェブページがブラウザで完全にレンダリングされた後でも、これらの保護機能はフィッシング攻撃をブロックすることができます。 エンジンは高度なヒューリスティックを使用して、Microsoftによって所有または運営されていないページに表示される正規のOffice 365の視覚的および機能的要素を検出します。 攻撃者は信頼されるブランドのアセットと信頼できないドメインとの間の不一致が検出された場合、IPSサービスは認証情報の提出をブロックすることで重要な瞬間に介入します。 重要なのは、ユーザーがブロックページを表示しないことです。 代わりに、システムは認証情報がデバイスやブラウザセッションから外部に送信されるのを静かに防ぎます。 CMA内で「フィッシングサイトへの機密情報の挿入試み」という脅威名で対応するセキュリティイベントが生成されます。
-
ポストコンプロミス検出 — 高リスクWebフォームでの認証情報の提出を識別 - ユーザーが悪意のあると断定できない疑わしいドメインにアクセスする場合があり、直ちにブロックされないことがあります。 そのような場合には、疑わしい活動の監視(SAM)サービスが重要な二次保護層を提供します。 SAMは、高リスクまたは信頼できないWebフォームにおけるユーザーのやり取りを継続的に監視し、認証情報収集を示す挙動を検出します。 ユーザーがそのようなサイトで企業の認証情報を入力または送信した場合、SAMは詳細なイベントを生成し、管理者に潜在的な脅威を警告して即座に対処できるようにします。これらの検出を有効にするには、TLSインスペクションを有効にして、暗号化されたトラフィックを検査し、悪意のあるページ内での正規のMicrosoftアセットの誤用を識別できるようにする必要があります。また、以下のMicrosoftドメインに対してもTLSインスペクションを有効にする必要があります。
- windows.net
- windows.com
- msauthimages.net
- msauth.net
- msftauthimages.net
ホーム > イベントでセキュリティイベントを確認し、アカウント内でブロックされたフィッシング攻撃を見つけることができます。 IPSおよびファイアウォールによってブロックされたフィッシング攻撃には、さまざまなイベントサブタイプがあります。 IPSイベントの場合、脅威タイプは評判またはフィッシングとして分類されることがあります。
これは、IPSによってブロックされたフィッシング攻撃イベントの例です:
-
フィッシング攻撃のためのIPSイベント項目:
- イベントタイプ - セキュリティ
- イベントサブタイプ - IPS
-
脅威の種類 - 評判
- 脅威の名前 - ドメイン評判に基づくシグネチャー – フィッシング
-
脅威の種類 - フィッシング
- 脅威名 - セキュリティチームがこのフィッシング攻撃に対して付ける名前
-
フィッシング攻撃に対するインターネットファイアウォールのイベント項目:
- イベントタイプ - セキュリティ
- イベントサブタイプ – インターネットファイアウォール
- カテゴリ - フィッシング
-
フィッシング攻撃の緩和戦略は、イベント内のシグネチャーIDのフォーマットによって識別されます。以下の通りです:
- アクセスをブロックする署名は、以下のプレフィックスを持ちます:cid_heur_ba_phishing_detection_
- 資格情報の送信をブロックする署名は、以下のプレフィックスを持ちます:cid_heur_bs_phishing_detection_
- 危険なウェブフォームへの資格情報送信を検出する署名は、以下のプレフィックスを持ちます:cid_sam_cs_phishing_detection_ または cid_sam_suspected_phishing_submission_to_risky_web_form
詳細情報は、脅威の評判に基づいたセキュリティイベントの分析を参照してください。
XDR XDR インシデント検出は、フィッシングを含む潜在的なマルウェア攻撃のためのストーリーを生成し、攻撃の調査のためのツールを提供します。 以下は、IPSによってブロックされたフィッシング攻撃のストーリーの例です。 このストーリーは、攻撃の説明、攻撃に関連するドメインおよびURLなどの情報を提供して、攻撃の調査を支援します。
もしあなたのアカウントに対するフィッシング攻撃を侵入防止システムまたはインターネットファイアウォールがブロックしたことが判明した場合、このセクションには推奨される次のステップが記載されています。
- フィッシング攻撃のターゲットとなった自組織内のエンドユーザーを特定します。
- エンドユーザーと話し合い、そのウェブサイトとどのような情報を共有していたかを特定します。
-
エンドユーザーに以下のアクションを取るよう指示します:
- ウェブサイトのパスワードを変更する
- ウェブサイトに関連するすべてのサービスからハードログオフを開始する
- 共有された(または共有される可能性のある)データがどのようなリスクを呈するか確認してください。
0件のコメント
サインインしてコメントを残してください。