この記事では、CatoクラウドのセキュリティスタックにおけるIPSセキュリティサービスとインターネットファイアウォールがどのようにフィッシング攻撃からネットワークを保護するかを説明します。
フィッシングは組織にとって最も危険な脅威の1つであり、フィッシング攻撃は企業ネットワークに侵入したり、資格情報やその他の個人データを盗むための初期ベクトルとなる可能性があります。 CatoセキュリティスタックのIPSサービスとインターネットファイアウォールには、トラフィックをフィッシング攻撃として識別し、ネットワークに侵入する前に攻撃をブロックするためのさまざまな技術があります。
Catoのセキュリティチームは、侵害指標(IOC)に基づいて、フィッシング攻撃に対するIPSおよびファイアウォールの保護を作成します。 IOCは、既知のフィッシングキャンペーンに関するドメイン、URL、およびその他のデータを含むさまざまなプライベートおよびオープンソースの脅威インテリジェンスフィードから蓄積されます。 既知のフィッシングキャンペーンのIOCと一致するトラフィックは、IPSエンジンによって自動的にブロックされます。
セキュリティスタックの別の保護レベルでは、フィッシングウェブサイトの特徴に基づいたヒューリスティックとアルゴリズムを利用しています。 セキュリティチームはこれらのネットワークデータをすべて分析し、フィッシング攻撃の発信元となるウェブサイトを識別できる保護策を作成します。 例えば、フィッシングキャンペーンは偽物のOffice365 URLを使って、ユーザーがこのリンクが正当なものだと思い込ませることができます。 ユーザーが誤って悪意のあるOffice365リンクをクリックした場合、IPSまたはファイアウォールがトラフィックをブロックし、フィッシング攻撃を防ぐことができます。
さらに、IPSには最新のフィッシング攻撃技術に対抗するための高度な機械学習アルゴリズムや画像処理モデルを使用する保護が含まれています。 例えば:
-
IPSの機械学習アルゴリズムは、DGAやサイバー スクワッティングなどの技術を使用して作成された新しいドメインを使用する攻撃を検出してブロックすることができます
-
IPS画像処理モデルは、偽のアイコンを使用する悪意のあるサイトや、正当なサイトのアイコン、グラフィックス、その他の要素と同一の要素を使用するサイトを識別できます
セキュリティチームは常にCatoクラウド内のネットワークトラフィックを分析しており、ヒューリスティックとアルゴリズムを改良し、新しいフィッシング攻撃を検出する能力を向上させています。
IPSフィッシング保護は、さまざまな戦略を使用して攻撃を検出し、緩和し、さまざまな段階でフィッシング攻撃をブロックする能力を持つことで保護を最大化します。 これらは保護戦略の種類です:
-
アクセスのブロック - これらの保護は、閲覧先をフィッシングサイトとして識別し、サイトへのアクセスをブロックします。 この戦略を使用する例には、以下に基づく保護が含まれます:
-
脅威インテリジェンスフィード
-
潜在的なフィッシングサイトを識別する機械学習モデル
-
新規登録ドメインの識別
-
疑わしいトップレベルドメインを識別するヒューリスティクス
-
不明なリソースで正当なHTMLタイトルタグをレンダリングすることを検出するヒューリスティクス
-
-
資格情報の提出をブロック - これらの保護機能は、ユーザーがサイトにアクセスし、ブラウザでサイトがレンダリングされた後でもフィッシング攻撃をブロックできます。 これらの保護機能は、悪意のあるサイトでレンダリングされた正当なウェブページ要素を検出するためにヒューリスティックを使用します。 例えば、Microsoftに属さないサイトで正当なOffice365ロゴが表示されている場合です。 IPSサービスは、ユーザーが資格情報を提出するのをブロックすることでフィッシング攻撃を妨害します。
-
妥協後の検出: リスキーなウェブフォームでの資格情報の提出の識別 - 時々、ユーザーが疑わしいサイトにアクセスすることがありますが、それらは完全に悪意があるわけではないためブロックされません。 疑わしい活動の監視 (SAM) サービスは、ユーザーがそのようなリスキーなサイトで資格情報を提出したときに識別し、潜在的な侵害を管理者に警告するイベントを作成します。
ホーム > イベントでセキュリティイベントを確認し、アカウント内でブロックされたフィッシング攻撃を見つけることができます。 IPSおよびファイアウォールによってブロックされたフィッシング攻撃には、さまざまなイベントサブタイプがあります。 IPSイベントの場合、脅威タイプは評判またはフィッシングとして分類されることがあります。
これは、IPSによってブロックされたフィッシング攻撃イベントの例です:
-
フィッシング攻撃のためのIPSイベント項目:
-
イベントタイプ - セキュリティ
-
イベントサブタイプ - IPS
-
脅威の種類 - 評判
-
脅威の名前 - ドメイン評判に基づくシグネチャー – フィッシング
-
-
脅威の種類 - フィッシング
-
脅威名 - セキュリティチームがこのフィッシング攻撃に対して付ける名前
-
-
フィッシング攻撃に対するインターネットファイアウォールのイベント項目:
-
イベントタイプ - セキュリティ
-
イベントサブタイプ – インターネットファイアウォール
-
カテゴリ - フィッシング
-
-
-
フィッシング攻撃の緩和戦略は、イベント内のシグネチャーIDのフォーマットによって識別されます。以下の通りです:
-
アクセスをブロックする署名は、以下のプレフィックスを持ちます:cid_heur_ba_phishing_detection_
-
資格情報の送信をブロックする署名は、以下のプレフィックスを持ちます:cid_heur_bs_phishing_detection_
-
危険なウェブフォームへの資格情報送信を検出する署名は、以下のプレフィックスを持ちます:cid_sam_cs_phishing_detection_ または cid_sam_suspected_phishing_submission_to_risky_web_form
-
詳細情報は、脅威の評判に基づいたセキュリティイベントの分析を参照してください。
XDR XDR インシデント検出は、フィッシングを含む潜在的なマルウェア攻撃のためのストーリーを生成し、攻撃の調査のためのツールを提供します。 以下は、IPSによってブロックされたフィッシング攻撃のストーリーの例です。 このストーリーは、攻撃の説明、攻撃に関連するドメインおよびURLなどの情報を提供して、攻撃の調査を支援します。
もしあなたのアカウントに対するフィッシング攻撃を侵入防止システムまたはインターネットファイアウォールがブロックしたことが判明した場合、このセクションには推奨される次のステップが記載されています。
-
フィッシング攻撃のターゲットとなった自組織内のエンドユーザーを特定します。
-
エンドユーザーと話し合い、そのウェブサイトとどのような情報を共有していたかを特定します。
-
エンドユーザーに以下のアクションを取るよう指示します:
-
ウェブサイトのパスワードを変更する
-
ウェブサイトに関連するすべてのサービスからハードログオフを開始する
-
-
共有された(または共有される可能性のある)データがどのようなリスクを呈するか確認してください。
0件のコメント
サインインしてコメントを残してください。