クレデンシャルベースの攻撃とは？

クレデンシャル盗難は、クレデンシャルベースの攻撃の第 1 段階で、クレデンシャルを盗むプロセスです。攻撃者は一般的にフィッシングを利用してクレデンシャルを窃取します。クレデンシャル・フィッシングの有効性は、セキュリティ防御の弱点に依存するマルウェアやエクスプロイトとは異なり、従業員を欺こうとする人間の相互作用に依存しています。

企業のクレデンシャル盗難は通常、標的を絞った取り組みです。攻撃者はLinkedInのようなソーシャルメディアサイトを探し回り、重要データや情報へのアクセスを許可する認証情報を持つ特定のユーザーを探します。企業のクレデンシャル盗難に使用されるフィッシングメールやウェブサイトは、消費者のクレデンシャル盗難に使用されるものよりもはるかに巧妙です。攻撃者は、このような電子メールやウェブサイトを、正規の企業アプリケーションや通信とほぼ同じように見せることに多大な労力を費やしています。

クレデンシャルに基づく攻撃のこの段階で、セキュリティ認識トレーニングが防御の第一線としての役割を果たします。残念なことに、従業員がフィッシングを100％見分けられるという保証はありません。クレデンシャルの盗難を最小限に抑えるには、企業クレデンシャルを承認されたアプリケーションに限定し、可能性の低い、または未知のアプリケーションやサイトからの使用をブロックする必要があります。セキュリティ製品は、企業の認証情報が組織のネットワークから出るのをブロックし、悪意のあるサイトに送信されるのを防ぎます。

クレデンシャルの濫用とは？

クレデンシャル悪用とは、クレデンシャルベースの攻撃の最終的な手口で、漏洩したパスワードを実際に使用してアプリケーションを認証し、データを盗むことです。

攻撃者がユーザー認証情報とパスワードを入手すると、その認証情報をサイバー犯罪組織で販売したり、組織のネットワークを侵害するために使用したりすることができます。

セグメント化されていない環境では、攻撃者は組織のネットワークを自由に移動することができます。環境が分離され、ユーザーとアプリケーションの可視性が確保されていれば、攻撃者が横方向に移動して重要データにアクセスするのを防ぐセキュリティ対策を講じることができます。

攻撃者が有効なユーザーと同じように操作するための認証情報を手に入れたら、侵入者を特定し、そのユーザーが本当にその認証情報が主張する人物であるかどうかを検証するためにできることはほとんどありません。組織は一般的に、アプリケーション内に多要素認証を実装し、ユーザーに複数回の本人確認を要求します。しかし、組織内で使用される個々のアプリケーションごとにこれを行うことは、拡張性に欠けます。ポリシーベースの多要素認証をネットワーク層、つまりファイアウォール内に実装することで、必要な大規模性とエンドユーザの使いやすさを実現できます。

Palo Alto Networks 次世代セキュリティ プラットフォームは、クレデンシャルの盗難から盗まれたクレデンシャルの悪用まで、複数の場所でクレデンシャルベースの攻撃ライフサイクルを阻止します。次世代ファイアウォール、脅威防御、WildFire、URL Filteringを組み合わせた防御機能により、認証情報の盗難や悪用に使用される既知および未知の攻撃を阻止します。GlobalProtectは、プラットフォームからモバイルワークフォースまで保護を拡張し、アプリケーションにアクセスしているユーザーやデバイスを特定するための追加対策を提供します。