どのようなしくみか
エンドポイントで遂行される脅威は、通常次を通して組織内に侵入します:
- 企業ネットワークに導入された、ユーザーの感染したデバイス。このデバイスがマルウェアを散布し、垂直に拡散。
- 感染した携行可能なデバイス。
- アンチウイルス、ディスククリーンアップ、または他の実用ソフトウェアとの名目で、悪意のあるソフトウェアのダウンロードおよびインストールを行うよう、だまされたユーザー。
攻撃者は、感染させたUSBドライブを組織の駐車場周辺に置いておくというような戦略を使用する場合があります。従業員が拾って、ネットワークに接続したシステムに差し込むことを予期したものです。 しかし、このような攻撃を成功させるにはコストがかかるため攻撃者にもリスクがあります。離れた場所にいて、国内に攻撃を助けるための訓練された人材が必要な場合は特にそうです。
エンドポイントでの保護は、リモートで働くユーザーが増えている今、ユーザーが自分のデバイスを企業ネットワークに接続する場合、さらに複雑になります。 組織はユーザーのデバイスのすべてのトラフィックが企業のセキュリティコントロールを通るわけではないことを認めなくてはなりません。そして多くの場合、組織には特定のエンドポイントセキュリティのソリューションを実施するデバイスのコントロールがありません。
日和見的な攻撃者と、組織に標的型脅威をもたらそうとする者は、ソーシャルエンジニアリングを用いたメールを使用する傾向があります。これらはユーザーエンドポイントに不正アクセスするため、企業のメールアカウントに送信されます。
これは攻撃者が離れた場所にいるため実行が容易で、コスト効率も高い方法です。複数のユーザーに向けて異なる時間帯に攻撃を行えるようになります。
2013年Verizon社のデータ漏洩調査レポートにて、たった3通の標的型フィッシングメールで実行するキャンペーンを解説 ことにより、攻撃者が少なくとも一人のユーザーにクリックさせて行うマシンのセキュリティ侵害に、50%以上の成功の可能性を与えてしまうと説明しています。10通送ることは、少なくとも一人のユーザーがクリックしてデバイスのセキュリティ侵害を起こすことを保証するようなものです。
セキュリティが侵害されると、組織の膨大な情報と、重要なシステムとデータへの鍵であるアクセス認証情報がエンドポイントから流出します。 侵害されたエンドポイントがネットワークに接続している場合、露出のリスクはさらに高まり、攻撃者は組織のネットワークにつながっているエンドポイントを通じて垂直に拡散します。
最強の防御は重層的なセキュリティアプローチで、悪意のある動作をチェックする、エンドポイントにおける最良のセキュリティソリューション、シグネチャーマッチング、デバイスのトラフィックを調べる他のソリューションなどが含まれます。 さらに、メールで配信される脅威を早い段階で検知し、保護することは、エンドポイントで遂行される組織への大量の脅威を阻止するうえで最も重要な戦略です。