ネットワーク セキュリティについては、単一のソリューションだけで、組織が直面するさまざまな脅威を防止することはありません。保護をより包括的にするために、ソフトウェアとハードウェアの組み合わせによって複数層のセキュリティを実現し、さまざまな脅威からネットワークを防御します。これらのツールを慎重に選択、導入、保守するために必要な時間、コスト、人員は、どんな組織にとっても膨大な投資になります。しかし、ネットワーク環境内のものが常に境界の内側にあるわけではなく、ネットワーク保護機能が必ずそれらに適用されるとは限りません。エンドポイントが適切なセキュリティ ソリューション製品で保護されていなければ、こうした個々のエンドポイントは境界セキュリティを迂回し、外部の脅威を環境に侵入させる可能性があります。不適切なエンドポイント セキュリティ製品は、ネットワークを保護するために行われたすべての作業を台無しにすることがあります。
以下では、ネットワーク セキュリティ体制への悪影響を防ぐため、エンドポイントで対処すべき5つのことを説明します。
1.脅威インテリジェンスをネイティブに統合する
2016 Ponemon調査によると、回答者の39%が、組織が脅威インテリジェンスの共有に取り組んでいれば、すべての攻撃をブロックできることを認めています。グローバルな脅威インテリジェンスを採用すると、保護機能の範囲が、1つのソリューションに関する知識だけでなく、グローバル コミュニティの共有インテリジェンスにまで広がります。コミュニティの他のメンバーが新しい攻撃に遭遇すると、その情報が共有されるため、すべてのメンバーは既知の脅威を自動的に検出し、未知の脅威を素早く特定できます。
ネットワークとエンドポイントの両方が脅威インテリジェンスの共有に参加し、拡大し続ける脅威インテリジェンスをそれぞれの環境のデバイスに継続的に適用する必要があります。また、ネットワークとエンドポイントは、エンドポイントで特定、防御されるものがネットワークでも特定、防御されるよう、互いに脅威インテリジェンスを交換する必要があります。
しかし、脅威インテリジェンスだけでは足りません。インテリジェンス フィードを購読するほとんどの組織は、実用的なインテリジェンスに関連付けたり変換できない膨大なデータを処理できずにいます。脅威インテリジェンスを新しい保護策に自動的に変換する機能がなければ、組織は多くのデータを購入しているにすぎません。その脅威インテリジェンスを生成して共有できるように環境内のコンポーネントがネイティブに統合されていない場合、問題はさらに悪化します。ネイティブに統合されておらず、新しい保護策に自動的に変換できないインテリジェンスは、人を増やして解決しなければ、ほとんど役に立ちません。結局、多くの脅威インテリジェンスは、大量の人員を使って分析を必要とする、単なるデータ、あるいはその分析作業になってしまいます。
2.既知および未知の脅威から保護する
従来のセキュリティ製品の大部分は、脅威が既知であれば、組織に侵入する前に、その脅威を検出するよう設計されています。多くの場合、未知の脅威が検出される頃には、重要な資産はすでに侵害されており、検出は意味をなさず攻撃に完全に後手に回ります。さらに攻撃者は、しばしば既存のマルウェアやエクスプロイト テクニックを再利用しながらも、検出を回避するため、既存の攻撃に変更を加えることで、まったく新しい攻撃を編み出したりします。これにより、ありとあらゆる脅威は、大部分のセキュリティ製品による検出を免れます。
ネットワークまたはエンドポイント上の検出と修復は、常に時間がかり、多くの人員を必要とする上、非効率的です。これは、ネットワークとエンドポイントの両方が既知および未知の脅威を防御できれば、避けられる問題です。理想的なのは、エンドポイント セキュリティ ソリューションの防御機能が、シグネチャや、攻撃あるいは脆弱性に関する判別している知識にも依存せず、さまざまな解析および防御方式を組み込んで効果を最大化することです。
3.自動化する
攻撃者は、自動化を進め、拡張性があり、特殊なツールを躊躇わず使ってきます。Ponemon 2016 Economics of a Breach調査によると、回答者の68%が、自動化されたハッキング ツールで攻撃者は簡単に攻撃を実行できると答えています。このような手頃な価格のツールの蔓延を可能にする経済と市場が存在しています。
多くの組織は、ますます高度になる攻撃を防御するため、複雑で多くの人員を必要とするものの不十分な機能しか持たないポイント ソリューションを採用しています。攻撃者に打ち勝つには、攻撃の成功をより困難にさせ、手間の割に儲けが少ない状況を作り出す必要があります。上記の調査の回答者は、攻撃の実行にさらに40時間必要な場合、攻撃の60%を阻止できると述べています。高い拡張性と継続性を備えて、これを実現する唯一の方法は、防御の自動化です。
セキュリティ アナリストを派遣してアラートを調査しなければならないとなると、ネットワークまたはエンドポイントでの検出は拡張性が高いとは言えません。自動化を採用し、攻撃の成功までに要する時間を長引かせる、金銭的な利益を得るには時間がかかりすぎるようにすることで、組織はより攻めにくいターゲットになります。その結果、攻撃者はターゲットを次の犠牲者候補に移します。
4.永続的な保護策を提供する
ユーザーのモバイル化はますます進み、ユーザーは、組織のネットワーク境界の外側にある世界中のポイントから内部のリソースに接続しています。オンライン、オフライン、オンプレミス、オフプレミスなど、接続状態に関わらず、すべてのエンドポイントで同じレベルの保護策が必要です。このような保護策を継続的に維持できないと、エンドポイントが侵害され、ネットワーク保護策がすでに実施されていても、おそらくネットワークも侵害されます。エンドポイント セキュリティは、多くのサイバー攻撃がエンド ユーザーとエンドポイントを標的にし、完全に可視化されていない従来のネットワーク境界を越えてセキュリティを拡張しなければなりません。
5.ネットワーク、エンドポイント、およびクラウド上のアクティビティを完全に可視化する
最新の攻撃は、複数の段階を経て目的を達成します。攻撃を防御するために、組織のネットワーク、エンドポイント、およびクラウド上のすべてのユーザー、デバイス、およびデータを完全に可視化する必要があります。攻撃のコンテキストを理解する、ネットワークとエンドポイントの全体を通じてセキュリティ ポリシーを適用する、そしてセキュリティ イベントを関連付けて組織のセキュリティ体制を強化するには、この可視化が必要になります。ネイティブに統合された脅威インテリジェンスと既知および未知の脅威の自動防御を組み合わせて、永続的な保護を実現すると、接続状況や場所に関わらず、その相乗効果で組織のセキュリティ体制を劇的に改善できます。これにより、場当たり的な攻撃者から組織が狙われにくくなり、標的型攻撃の成功の可能性を最小限に抑えられます。
不適切なエンドポイント セキュリティ ソリューションを選ぶと、エンドポイントが脅威にさらされることになります。また、ネットワークを保護するための多くの作業を妨げたり、台無しにしたりする原因にもなります。エンドポイント セキュリティ ソリューションは、すべてのエンドポイントを継続的に保護するほかに、組織の他の部分に機能を追加し、ネットワーク セキュリティ体制全体を強化する必要があります。
Palo Alto Networks Traps Advanced Endpoint Protectionは、侵害の検出やインシデント対応ではなく、複数メソッドによる防御と専用のマルウェア/エクスプロイト防御メソッドを併用して、既知および未知の脅威から防御します。パロアルトネットワークスのSecurity Operating Platformに含まれるTrapsは、WildFireのクラウドベースの脅威解析サービスを統合し、自動的に脅威インテリジェンスをマルウェア防御に変換して、脅威がエンドポイントを侵害する前に先制して脅威をブロックします。