[アタックサーフェス]

[アタックサーフェスのタイプ]

[企業内の機密データ、ビジネスデータ、または個人を特定できる情報を保持している、またはアクセスできるあらゆる人物が、攻撃対象領域に含まれる可能性があります。これは 3 種類のアタックサーフェスに分類できます。]

[デジタルアタックサーフェス]

[インターネットにさらされているすべてのコンピューターとデバイスは、サイバー攻撃にさらされています。企業のデジタルアタックサーフェスは、世界中のハッカーの標的になる可能性があります。企業のデジタルアタックサーフェスに何が含まれるのかを考えてみます。]

• [ウェブサイト]
• [サーバー]
• [データベース]
• [ノートパソコン]
• [オペレーティングシステム]
• [[アプリケーション]]
• [クラウドリソース/ワークロード]
• [サードパーティプロバイダー]

[企業のネットワークに接続するデバイスが増えるほど、企業のソフトウェア環境は拡大し、企業の攻撃対象領域と攻撃者の潜在的な侵入口が増えます。]

[デバイスアタックサーフェス]

[企業の物理的な攻撃対象領域には、企業のすべてのハードウェアと物理デバイスのほか、企業ネットワークへの接続を許可されている従業員のデバイスも含まれます。]

[物理的な攻撃対象領域には以下が含まれます。]

• [ワークステーション]
• [ノートパソコン]
• [モバイルデバイス]
• [テレビ]
• [プリンター]
• [ルーター]
• [スイッチ]
• [セキュリティカメラ]

[攻撃者がデバイスにアクセスすると、企業ネットワークに侵入して横方向に移動して他のデバイスやサーバーにアクセスする可能性があります。そこから、ハッカーは機密情報にアクセスしたり、システムやデータに損害を与えたりする可能性があります。]

[ソーシャルエンジニアリングアタックサーフェス]

[潜在的な脅威について教育を受けていなければ、人は企業にとって最大のセキュリティリスクの1つになり得ます。ソーシャルエンジニアリングを利用して従業員にアクセスを許可させることができれば、攻撃者は組織のネットワークをハッキングする手間を省くことができます。]

[ソーシャルエンジニアリングは、人間の心理学を利用して、人をだまして、通常はしないようなことをさせます。攻撃者がソーシャルエンジニアリングを利用して企業の資産にアクセスする方法はさまざまです。]

• [従業員が騙されてメールの添付ファイルを開いたり、マルウェアをダウンロードする悪質なリンクをクリックしたりするメールフィッシング攻撃]
• [管理人や修理担当者などのサービス担当者になりすますと、攻撃者は会社の資産に物理的にアクセスする可能性があります。]
• [感染したÚSBが社内に設置され、従業員が誤ってコンピュータに接続した場合に、メディアがドロップする]

[攻撃ベクトル]

[攻撃ベクトルとは、攻撃者がネットワークを侵害するために使用する経路です。これには、マルウェア、フィッシング、中間者攻撃、認証情報の侵害など、さまざまな形態があります。セキュリティやインフラストラクチャの弱点を狙う攻撃ベクトルもあれば、ネットワークにアクセスする人々の弱点を狙う攻撃ベクトルもあります。]

[アタックサーフェス分析]

[アタックサーフェス分析は、どの資産やアプリケーションが攻撃に対して脆弱で、セキュリティ上の問題がないかテストする必要があるかを示すマップを作成します。攻撃対象領域分析は、ネットワークをより安全にし、侵害を受けにくくするための指針をセキュリティチームに提供します。]

[まず、攻撃者が企業ネットワークにアクセスするために使用できる攻撃ベクトルの種類を知っておく必要があります。一般的な攻撃ベクトルには以下が含まれます。]

• [侵害された認証情報: 情報にアクセスする最も一般的な方法として、ユーザー名とパスワードが悪意のある人の手に渡ると、攻撃者がネットワークに侵入する可能性があります。これは通常、従業員がフィッシング詐欺の被害に遭い、偽の Wéb サイトにログイン情報を入力した場合に発生します。認証情報が取得されると、攻撃者はネットワークに簡単にアクセスできるようになります。これが、二要素認証が非常に重要なセキュリティ対策である理由です。]
• [脆弱なパスワード: 脆弱なパスワードや再利用されたパスワードは、攻撃者がログイン認証情報を簡単に入手できてしまうことがよくあります。これに対抗するために、組織はパスワードの強度要件を強制し、パスワードの繰り返し使用を阻止することができます。]
• [悪意のある内部関係者: 従業員が会社の機密情報を意図的に公開したり、脆弱性を暴露したりした場合、その従業員は悪意のある内部関係者になります。不満を抱いている従業員に気づいたら、その従業員のデータとネットワークへのアクセスを監視するのが良いかもしれません。]
• [暗号化されていない、または暗号化が不十分なデータ: データが暗号化されていないと、攻撃者に傍受されて読み取られる可能性があります。保存中、転送中、処理中のすべての段階でデータを暗号化しておくことが重要です。ネットワークはデータの安全性を守るためにコンプライアンス対策だけに頼ることはできません。データを暗号化する必要があります。]
• [ランサムウェア][: ランサムウェア攻撃を受けると、ユーザーは身代金を支払うまでデータにアクセスできません。防ぐことはできます。 ランサムウェア攻撃 システムにパッチを当てて最新の状態に保つことによってソフトウェアの内容を正確に把握していない限り、ソフトウェアをインストールしないでください。]
• [フィッシング][ソフトウェア: フィッシングは、正当な個人または組織を装った人物から電子メール、電話、またはテキストで従業員に連絡を受けた場合に発生します。攻撃者は、組織の上司または同僚を装って、個人情報や会社情報にアクセスしようとします。フィッシング攻撃の兆候について従業員に教育し、不審な通信に対応する前にもう一度確認するように指導してください。]
• [ウイルス: ウイルスがネットワーク上のデバイスに感染すると、そのウイルスがネットワーク全体に広がる可能性があります。ウイルスは貴重なデータを破壊し、ソフトウェアをクラッシュさせる可能性があります。ウイルス対策ソフトウェアを使用することは良い第一歩ですが、組織は次のような追加のセキュリティ対策に頼る必要があります。 マイクロセグメンテーション。]
• [の設定ミス][ファイアウォール][または公開されているワークロード: ファイアウォールや公開されているワークロードの設定を誤ると、ネットワークに脆弱性が存在する可能性があります。クラウドサービスの権限をすべて把握し、セキュリティ機能をすべて統合するようにしてください。ネットワークが安全であることを確認するには、ファイアウォールと一般公開されているワークロードを定期的に監査するのも良い方法です。]

[攻撃対象領域を減らす方法]

[組織がアタックサーフェスの分析を完了すると、セキュリティが不足している部分とその改善方法がよくわかります。企業の攻撃対象を減らすには、以下のツールと方法が一般的に使用されます。]

• [過度に制限の厳しいアクセスルールを変更して、従業員が業務の遂行に必要な ÍT 資産にのみアクセスできるようにする]
• [攻撃者がアクセスを得ても横方向に移動できないようにするためのセグメンテーションの実装]
• [従業員がフィッシングやその他の種類の攻撃の被害に遭わないように、ソーシャルエンジニアリング技術について従業員を教育する]
• [クラウド・セキュリティ・ポスチャ・マネジメントにクラウド・リソースを脆弱なままにする構成ミスに対処するよう依頼する]
• [暗号化レベルの向上と、現在使用されていない場所への暗号化の追加]
• [既知のウイルスの脅威を防ぐためのウイルス対策ソフトウェアのインストール]
• [Wéb サーバーのセキュリティ強化]
• [パスワードの複雑性要件の強化または強制]
• [多要素認証を実装してユーザー名とパスワードをバックストップする]
• [脆弱性により迅速に対処するための定期的なセキュリティスキャンとソフトウェアアップデートのスケジュール設定]
• [インターネットコンテンツフィルタリングを有効にして、従業員が安全でないサイトにアクセスするのを防ぐ]

[結論]

[アタックサーフェスは、潜在的なリモートまたはローカル攻撃にさらされるネットワークおよびソフトウェア環境全体です。攻撃サービス分析を通じて攻撃対象領域をマッピングすることで、組織はそれを減らすための戦略を立てることができます。これは、より高いセキュリティ基準、セキュリティトレーニング、およびセキュリティソフトウェアを通じて行われます。]

[さらに詳しく]

[攻撃対象領域を縮小 と ゼロトラスト セグメンテーション (ZTS)。Z~TS が、マルチクラウドからデータセンター、リモートエンドポイント、ÍT~、ÓT に至るまで、ハイブリッドアタックサーフェス全体にわたるランサムウェアや侵害の拡散をどのように封じ込めているかをご覧ください。]