fbpx

リスクベース認証の究極のガイド

パスワードだけでは不十分

おそらくご存じのとおり、パスワードだけでアプリケーションを保護することは、侵害のレシピです。あなたが知らないかもしれないことは、状況が悪化しているということです。2016年のベライゾンのデータ侵害調査レポート(DBIR)は、データ侵害のほぼ3分の2が、弱い、デフォルトの、または盗まれたパスワードを含むと述べています。DBIRの2017年版では、その数が80%以上に増加していることがわかりました。この傾向を引き起こしている可能性のある2つの要因:弱いパスワードが一般的であり、それらの弱いパスワードは1ミリ秒未満で推測されます。

静的ルールも十分ではありません

パスワードの脆弱性のため、多要素認証はセキュリティを強化するために重要になりました。しかし、従来のアクセスマネージャーは、現在進化し続けるセキュリティリスクに対応できない静的ルールを使用しています。これらの静的ルールにより、リスクが高いログイン時にMFAを要求しないようになっています。逆に、リスクの低いログインには追加の要素が必要です。これは、両方の世界で最悪の事態につながります。ユーザーにとっての摩擦の増加と、組織にとってのリスクの増加です。

必要なのは、静的ルールをマシンインテリジェンスに置き換えて、ログインのリスクをより適切に測定し、必要に応じてMFAを要求できるようにすることです。これを適応認証と呼びます。このホワイトペーパーでは、静的ルールがログインリスクを正確に測定できず、真に必要なときにMFAを展開できないユースケースについて説明します。また、適応認証がログインリスクをより適切に測定する方法についても説明します。最後に、組織で適応認証を進める方法について説明します。

静的ルールがどのように失敗するか

静的ルールがログインリスクを正確に測定できない例を3つ示します。

失敗1:フィッシング攻撃

フィッシング- マルウェアをインストールしたり、資格情報を取得したりするリンクや添付ファイルをクリックするように受信者を誘導する詐欺メールを送信することは、ハッカーが組織を攻撃するための非常に一般的な方法です。2017年のVerizon DBIRにおける侵害の90%以上は、ある種のフィッシングに関係しています。残念ながら、この種の脅威に対処するための静的ルールは不十分です。これは、静的ルールにIP ホワイトリストが含まれることが多く、企業のすべてのIPアドレスを信頼できるものとして扱い、MFAを必要としないためです。考え方は、行く場合はログインが会社から来ている施設が、それはハイリスクではありません。

しかし、フィッシングメールに従業員のラップトップにマルウェアをインストールするためのリンクが含まれており、このマルウェアが多数の異なるパスワードを繰り返し試行することからなるブルートフォース攻撃を使用してSaaSアプリケーションにアクセスしようとする場合を考えてください。さんがしてみましょういくつかのことを前提とし、それらのアプリケーションは、これらのタイプに対処するために硬化されていないロックアウト、CAPTCHAの、または他のアカウント、いくつかのログインスロットリングを経由して攻撃対策を。最終的に、マルウェアは正しいパスワードを見つけます。その場合、IPのホワイトリストにより、静的ルールはMFAにチャレンジしません。マルウェアはSaaSアプリケーションにアクセスし、攻撃を続行できます。

失敗2:悪意のある訪問者

あなたのオフィスを見回してください。現場の全員が信頼できる従業員ですか?もちろんそうではありません。あなたのオフィスには、請負業者、顧客、ベンダー、求職者、およびサービススタッフがいます。彼らの誰もが少しのソーシャルエンジニアリングでオフィスのWiFi パスワードを発見する可能性があります。ゲストのWiFiにアクセスできないふりをするだけで、緊急にネットワークアクセスが必要になり、善意の従業員がそれを手伝ってくれるかもしれません。ただし、企業が静的ルールを使用してIPホワイトリストを設定すると、結果は悲惨なものになる可能性があります。悪意のある訪問者は、(弱い)パスワードだけを使用して2番目の認証要素を提供することなく、会社のアプリケーションへのログインを試みることができます。

失敗3:信頼できるリモートの従業員

ホームオフィスで数か月働いている従業員を考えてみます。毎日、同じIPアドレス、物理的な場所、ラップトップ、および勤務時間を持っています。また、それらは常に認証するための2番目の要素を提供します。静的ルールに依存する認証製品は、これを常にリスクの高いログインと見なし、ログオンする前にその従業員に2番目の要素を提供するように強制します。認証システムは、いくつかの認証が成功した後、これがリスクの低い状況であることを学習しません。

これは「セキュリティシアター」の例です。これは、セキュリティを向上させるように見えるかもしれませんが、実際にはそうではありません。従業員が第2の要素を繰り返し提供する必要があるため、従業員の生産性が低下します。実際には、セキュリティイベントと情報管理(SIEM)システムに余分なセキュリティイベントを追加することにより、セキュリティが低下します。これにより、実際の脅威の検出が困難になるノイズが追加されます。企業が1日に200,000のセキュリティイベントを見る可能性があるため、これは重要です。このデータのファイアホースに追加すると、セキュリティアナリストがセキュリティインシデントを調査する時間と、ハッカーが攻撃を実行する時間の両方が増加します。ごみが入り、ごみが出ます。

よりスマートなリスクスコアリングのための機械学習

静的ルールはリスクを正確に測定できないため、MFAが必要な場合と必要でない場合を判断するためのより良い方法が必要です。これは、リスクベース認証で行ったことの1つです。アカウント乗っ取りのリスクを減らす必要があるセキュリティチーム向けに構築された適応認証は、機械学習を使用して

各ログイン試行のリスクをスコアリングし、リスクの高いログインを行うユーザーに追加の認証要素を提供するよう要求します。これらには、ワンタイムパスワード(OTP)またはセキュリティの質問を含めることができます。

リスクベース認証はネットワーク、地域、デバイス、時間などの幅広い入力を使用して、ユーザーの典型的な使用パターンや経時的な行動を学習します。通常の使用法からの逸脱が大きいほど、リスクスコアは高くなります。リスクスコアは、信頼性の低いIPアドレス(Tor出口リレーなど)、新しい国または都市、または離れた場所から特定の人が与えられた時間枠でアクセスできない場所からのネットワークトラフィックによっても増加します。

静的ルールとは異なり、リスクベース認証は時間の経過とともに賢くなり、次のようなさまざまなシナリオでリスクを正確にスコアリングできるようになります。

  • フィッシング攻撃
  • 悪意のある訪問者
  • 信頼できる遠隔地の従業員
  • モバイルデバイスの泥棒
  • 匿名化されたハッカー
  • 悪意のあるボットネット
  • アカウントの乗っ取り

適応認証が脅威に対処する方法

適応認証のしくみを説明するには、以下の7つの状況を確認してください。

シナリオ1:フィッシング攻撃、再考

会社のネットワークで実行されている従業員のコンピューターにマルウェアをインストールして、会社のアプリへのログインを繰り返し試行するフィッシング攻撃の前の例をもう一度見てみましょう。簡単にするため、マルウェアが検出を回避するために営業時間中にのみログインを試み、マルウェアが攻撃しているのと同じアカウントでログインしている従業員がいないと仮定します。多くのログイン試行の後、マルウェアが最終的に正しいパスワードを使用すると、適応認証がこの認証試行のリスクプロファイルを表示する方法は次のとおりです。

このログインは会社のネットワークからのものであるため、信頼できないネットワークや地域からのログインに関連するリスクは発生しません。しかし、マルウェアのHTTPクライアントは、これまでに見たことのない新しい「デバイス」であり、高いリスクを示す新しいデバイスフィンガープリントを持っています。したがって、適応認証はマルウェアに2要素認証を使用した認証を要求します。マルウェアは、ソフトウェアである、明らかにすることはできません正確に携帯電話を引き出すと、ワンタイムパスワードを送信します。このため、ログインがブロックされ、フィッシング攻撃が阻止されます。

これは、適応認証に関する重要なポイントを提起します。ファイアウォールの内側にある企業のIPアドレスからのログインであるため、ログイン試行を信頼する必要はありません。それはより高い基準へのログイン試行を保持します。彼らは彼らのデバイスの指紋といつでも異常について精査される必要があります。このため、適応認証はIDのゼロ信頼の概念を実装していると考えることができます。

シナリオ2:悪質な訪問者、再訪

悪意のある訪問者の例に戻ります。ハッカーはあなたのオフィスのWiFi パスワードを取得し、従業員の資格情報を使用してオフィスの時間中にアプリにアクセスしようとします。訪問者が、適応認証でこれまで見たことのないラップトップを使用していて、従業員が現在ログインしていないアカウントを使用していると仮定します。適応認証では、前のフィッシングの例と同様に、この認証試行のリスクプロファイルを表示します。

悪意のある訪問者のラップトップはこれまで見られたことがないため、リスクが高いことを示す新しいデバイスフィンガープリントがあり、MFAのプロンプトが表示され、訪問者による従業員アカウントへのアクセスの試みがブロックされます。

シナリオ3:信頼できるリモートの従業員、再訪

次に、同じIPアドレス、物理的な場所、ラップトップから同じ時間のセットで繰り返しログインし、認証するための第2の要素を一貫して提供してきた長年の在宅勤務者の例をもう一度見てみましょう。このパターンが確立されたら、適応認証がこの認証試行のリスクプロファイルを表示する方法を次に示します。

このログインは確立された使用パターンに従っているため、ネットワークの評判、地理的な場所、デバイスの指紋、および時間の異常に関連するリスクレベルは低くなります。在宅勤務者は、自分のアカウントID とパスワードだけでログインすることを許可される可能性があります。さらに、Splunk、Sumo Logic、ELKなどのSIEMシステムでは、通常どおりログインしているリモートの従業員からの誤検知のノイズは発生しません。

静的ホワイトリストは、信頼できるリモートの従業員には機能しません。これらのリモートの従業員が多数いる場合、特に居住地を変更する場合は、ホワイトリストルールが複雑になり、維持するのが面倒になります。さらに悪いことに、従業員が退社し、ホワイトリストに登録されたIPが静的ルールから削除されていない場合、この複雑さがセキュリティのギャップにつながる可能性があります。

シナリオ4:モバイルデバイスの盗難

従業員のロック解除されたモバイルデバイスが営業時間の翌日の夜に盗まれ、その直後に泥棒がそれを使用して企業のアプリにログインしようとしたとします。以下は、適応認証がこの認証試行のリスクプロファイルを表示する方法です。

このデバイスは過去に会社のアプリへのアクセスに使用されていたため、デバイスの指紋に関連するリスクは低くなっています。ただし、泥棒は深夜にデバイスを使用しており、これは異常な時間であり、リスクスコアが上昇します。泥棒は、以前には目に見えなかったネットワークや都市からも侵入しています。これらはリスクスコアをさらに高めます。リスクが高いため、泥棒はMFAに挑戦し、会社のアプリにアクセスできません。

シナリオ5:匿名化されたハッカー

ハッカーが自分のデバイスを使用して、営業時間中にリモートの場所から企業のアプリにアクセスしようとしたと仮定します。匿名を維持するために、Torを使用して身元を保護します。ハッカーがこのユーザーが通常使用するOSとブラウザを正しく推測したとしましょう。適応認証は、この認証試行のリスクプロファイルを次のように表示します。

Tor出口リレーから来ることは、以前に見えなかったIPアドレス、都市、およびデバイスから来るのと同様に、リスクスコアを高くします。このハッカーは、多要素認証を使用した認証を要求され、会社のアプリからそれらをブロックします。

シナリオ6:悪意のあるボットネット

ハッカーがボットネット上の複数のノードで実行されている悪意のあるソフトウェアを使用して、会社のアプリに対してブルートフォースパスワード攻撃を実行し、営業時間中にログインを試みるとします。前回と同様の例、のは、聞かせて、ハッカーが正しく想定し、ユーザーの典型的なOSとブラウザを推測しました。適応認証は、これらの繰り返される認証試行のリスクプロファイルを次のように表示します。

適応認証は多くの問題を検出します。まず、IPはAlienVault Open Threat ExchangeやProject HoneyPot によって悪意のあるものとしてリストされる可能性があります。さらに、IPアドレス、都市、デバイス、および場合によっては国は、これまでに見たことのないものであり、それらすべてがリスクスコアを増加させます。最後に、地理的に離れた2つのボットネットノードがログインを試みた場合、適応認証はそれをユーザーの信じられないほど速い動きとして検出し、さらにリスクを高めます。これらすべてがMFAの使用をトリガーし、悪意のあるソフトウェアによるアクセスをブロックします。

シナリオ7:アカウントの乗っ取り

最後の例として、アジアにいるハッカーが企業アカウントの1つに対する資格情報を発見したとします。彼らは、米国の従業員の1人がこれらの資格情報も使用している通常の営業時間中にこれらを使用してログインします。適応認証はこれを次のように認識します。

地理的に離れた2つの場所からアカウントにアクセスしているという事実により、リスクスコアが高くなります。アカウントが数時間離れてアクセスされたとしても、誰かが米国からアジアに12時間未満で飛行できないという事実は、異常に速いユーザーの動きを示し、リスクスコアも増加します。

このリスクスコアの上昇により、両方のユーザー(従業員とハッカー)はMFAを介して自分自身を認証する必要があります。ハッカーは自身の認証に失敗し、企業アプリへのアクセスをブロックされます。

組織内での適応認証の実装

以下は、組織に適応認証を実装するときに探す機能です。

組み込みの分析

それはだ、各ログイン試行、リスクスコア、表示できるようにする重要と各スコアの要因を。リスクベース認証は、リアルタイムで正確にそれを提供します。たとえば、上記のシナリオ1のフィッシング攻撃は、リスクベース認証を使用する管理者にどのように表示されるかを次に示します。

  • Lee BrownはOTPのためにチャレンジ
    • 実行者:Lee Brown
    • I P アドレス:174.66.263.4
    • 実施時刻:1分前(29-Mar 13:11)
    • ユーザー名:Lee Brown
    • リスクレベル:中リスク(34/100)
    • リスクの理由:
      • iPhone上のSafariはまれに使用されている
      • 新しいIPアドレスからのアクセス
    • イベント時間(ISO8601 ):2017-03-29T13:11:40-07:00

SIEM統合

Splunk、Sumo Logic、Elastic、その他の企業のいずれの企業であっても、ほとんどのセキュリティチームはすでにセキュリティ分析を実施しています。リスクベース認証は、さまざまな認証イベントをこれらのシステムにストリーミングします。これらのイベントには、ログイン試行とそのリスクスコア、リスクの理由、ユーザー名、およびIP アドレスが含まれます。データはJSON形式で送信されます。これは、幅広いSIEMシステムで使用でき、進行中の攻撃をより迅速に分析するために、ポーリングではなくストリーミングを介してリアルタイムで送信されます。これらのイベントがSIEMシステムに入ると、他のイベントと同様にクエリを実行して分析できます。

あなたのMFAは、より良くなりました

一部の認証製品では、MFAツールを使用する必要があり、閉じたエコシステムに強制されます。リスクベース認証ではありません。独自のリスクベース認証によるOTPとの連携に加えて、適応認証は、Duo、Google Authenticator、Symantec VIP Access、Yubico Yubikey 、RSA SecurID、VASCO DIGIPASSおよびIDENTIKEY、Gemalto SafeNet Authentication Manager、Swivel PINsafe などのさまざまなMFAプロバイダーとも連携します。これらのMFA製品のいずれかを使用して2番目の要素を送信するには、リスクスコアの高い認証が必要になる場合があります。

置き去りにされたユーザーはいません

スマートフォンを持たないユーザーの場合、リスクベース認証はSMS経由でワンタイムパスワードを送信して、追加の認証要素を提供できます。セキュリティの質問は、追加の認証要素としても使用できます。

高い生産性MFA

従来の多要素認証製品は使いにくいものでした。電話のロックを解除し、モバイルMFAを開き、「番号を送信」ボタンを押す必要があります。または、短時間で手動で数字を入力することもできます。この摩擦により、組織がセキュリティ態勢を改善する必要があるMFAの展開が遅れました。

リスクベース認証によるOTP(多要素認証で使用するためのワンタイムパスワードを生成するモバイルアプリケーション)とシームレスに統合されます。

リスクベース認証によるOTPを使用すると、ユーザーは携帯電話のロック画面またはApple Watchにプッシュ通知を表示し、ログイン試行を受け入れるか拒否するかを選択できます。これにより、ユーザーエクスペリエンスが向上し、MFA の採用が増え、組織のセキュリティ体制が向上します。

多要素すべて

パスワードのみの認証の弱点を考えると、SaaSアプリケーション、クラウドインフラストラクチャ、VPN、WiFiを含むすべてのIT資産にMFAを適用することは理にかなっています。リスクベース認証は、Office 365、G Suite、Salesforce.com、アマゾンウェブサービス(AWS)、Microsoft Azure、Google Cloudなどのクラウドインフラストラクチャ、Cisco、F5、およびPulse SecureのVPN、Cisco MerakiとArubaのWiFiなどのSaaSアプリを保護します。

SNSでもご購読できます。

コメントを残す

*