Proofpoint Actionable Insights (即座に活用できる知見) は、プルーフポイントの脅威プロテクション プラットフォームが統合データ、検知、調査により提供できる追加の指標と知見です。これらの知見は、脅威を知り、防御のために取るべきアクションを決定する上で、必要な詳細とコンテキストを提供します。
ブログシリーズ「Actionable Insights」の最初の 3 つの記事では、人的リスク、発生源のリスク、およびビジネスメール詐欺 (BEC) のリスクという具体的な知見と、総合的なサイバーセキュリティ対策を強化するためにそれらの知見に基づいて実行できるアクションに焦点を当てました。今回の記事では、厳密な数字や知見から一歩引いて考え、指標に関するコンテキストを理解することの重要性と、Proofpoint TAP (Targeted Attack Protection) Threat Insight ダッシュボードでこの追加コンテキストを見つける方法について紹介します。
コンテキスト(背景情報)を通じて脅威をより深く理解する
Proofpoint TAP Threat Insight ダッシュボードで利用可能な実用的知見を掘り下げてみると、多くの知見は一見わかりやすいように見えますが、重要な点として、それを解釈する人が適切なコンテキスト(背景情報、前後関係の情報)を持っていないと、その知見の価値が制限されたり、間違っていたりする場合が多いことに注意する必要があります。コンテキストによって、アナリストはデータの背後にある現実をより良く理解することができます。
内部ベンチマークやトレンド分析、または外部データソースと自社データとの比較により、レポートにコンテキストを追加することができます。自社の脅威について貴重な知見を得て、独自のベンチマークを設定し、社内の成長に注力するのは 1 つの方法ですが、たとえ改善を行ったとしても、それが十分であるかどうかはどうすれば分かるでしょうか?
適切なコンテキストがあれば、自社の取り組みが十分であるかどうかを理解し、必要に応じてアクションの優先順位をつけ、緊急性を高め、意思決定プロセスを支援することができます。コンテキストは、組織のパフォーマンスを測定し、数字だけではわからない新しい知見の重要性を伝えるのに効果的な方法です。
Insights: 知見
同業他社と比べて、自社が直面する脅威はどうか?
業種間の比較レポートは、上記の質問に答えるのに役立ちます。これは、自社の脅威を理解し、さらに関連業界の他の組織が経験していることと比較するのに役立つ、最も価値のあるコンテキストを提供します。 このレポートでは、サイバー攻撃の種類、その深刻度、それぞれの種類が組織に与える影響度を示すことができます。
たとえば、全体的なリスクは特に高くないが、ある種のリスクが同業他社と比較して格段に多く、組織に影響を及ぼしていることがわかるかもしれません。
図 1: 脅威の種類と深刻度を示す Industry Comparison (業界間の比較) レポート
Proofpoint TAP Threat Insight ダッシュボードにある Industry Comparison (業界間の比較) レポートを、複数の異なる指標に使用することができます。たとえば、図 2 のレポートでは、各脅威の目的別の脅威の割合と、それを類似する業界同士で比較した様子を示しています。
図 2: 脅威の目的の割合を示す Industry Comparison (業界間の比較) レポート
時間の経過とともに脅威はどのように変化しているか?
また、Proofpoint TAP Threat Insight ダッシュボードのあらゆる所で Trend (傾向) レポートを確認することができます。これらのレポートでは、攻撃量が正常かどうか、または標的型攻撃が行われている可能性があるかどうかを理解することができます。
たとえば、その 1 つとして、ある一定期間の攻撃回数と、各タイプの脅威の目的が使用された頻度を内訳として示すレポートがあります。しかし、図 3 のような Threat Objectives Trend (脅威の目的の傾向) レポートでは、これらの数値が通常より高いか低いかを知ることができます。また、全体的な脅威、または異なる脅威目的が、時間の経過とともに増加しているのか減少しているのかを把握することもできます。つまり、Threat Objectives Trend (脅威の目的の傾向) レポートは、「私たちが行っている取り組みは効果があるのか」という問いに答えます。
図 3: 脅威の種類を時系列で表示した Threat Objectives Trend (脅威の目的の傾向) レポート
また、このレポートは、標的型攻撃を示す可能性のあるアクティビティの急増を特定するのにも役立ちます。前述のレポートの例では、3 月 1 日前後にアクティビティが著しく急増し、特に認証情報を窃取する攻撃に関連していることがわかります。この知見は、この問題を調査し、将来的に組織の保護を強化するために必要な追加のコンテキストを提供することができます。
プルーフポイントによる防護は、時間の経過とともにどのような効果をもたらしているか?
Messages Protected Trend (保護されたメッセージの傾向) レポートは、保護されたメッセージの量を時系列で表示します。現在の数値と過去の数値の比較だけでなく、配信前と配信後の保護状況や、漏えいした可能性のあるメッセージも確認することができます。
図 4: Proofpoint TAP によって保護されたメッセージの傾向を示すグラフ
的を絞ったコントロール
脅威レポートにコンテキストを追加することで、より正確で豊富な知見を得ることができ、以下のようにセキュリティ態勢を向上させるために導入できるダウンストリーム制御に役立てることができます。
1.取り組みに優先順位をつける
自社の脅威だけでなく、他社の脅威も理解することで、自社に影響を及ぼす可能性の高い特定の攻撃タイプや目的を認識することができます。
たとえば、認証情報のフィッシング攻撃を一定の割合で減少させ、社内のベンチマークに照らして良好な結果が得られたとします。しかし、Industry Comparison (業界比較) レポートを見てみると、依然として他の組織の 2 倍近い攻撃を受けていることがわかります。このように理解することで、限りある資源を最も重要なプロジェクトに展開することができるのです。
2.より迅速に修復する
傾向グラフを使用してコンテキストを追加することで、標的型攻撃を認識し、その特定の脅威アクティビティに直ちにリソースを展開して問題を迅速に修復することができます。
その他のメリット
また、リスクのコンテキスト情報を集めることで、以下のことが可能になります。
- 組織のメール セキュリティ チームとツールの価値を、脅威の防御とビジネスリスクの低減という観点から実証し、追跡することができます。
- 業界間の比較を理解します。これにより、セキュリティチームは、最も影響の大きい脅威に焦点を当てることで、限られたリソースを最も影響力のあるアクションに費やすことができます。
組織にとっての最大のリスクを理解する
プルーフポイントの Proofpoint TAP Threat Insight ダッシュボードの詳細については、こちらをご覧ください。