ソーシャル・エンジニアリングは、技術的なハッキング技術に頼るのではなく、エンドユーザーの感情や誤りを利用するもので、現代の組織にとって大きな脅威となっている。Firewall Timesが収集した調査によると、すべてのサイバー攻撃の98%は何らかのソーシャル・エンジニアリングが関与しており、悪意のあるデータ侵害の90%までがソーシャル・エンジニアリング攻撃によるものです。
このような数字から、社外ウェブアプリケーションを含むデジタル資産のセキュリティを確保することが最優先事項であることは明らかです。
しかし、ソーシャル・エンジニアリング攻撃は陰湿な性質を持っているため、その防御は特に厄介です。にもかかわらず、ソーシャル・エンジニアリングに対してウェブ・アプリケーションをより耐性のあるものにするためにできることはまだあります。
ここでは、外部のウェブアプリケーションを保護するために従うべき具体的な戦略とベストプラクティスについて詳しく見ていきましょう。
ソーシャル・エンジニアリングのリスクを軽減する
Verizon社の調査によると、Web アプリケーションへの攻撃は侵害全体の 26% を占めています。このことを念頭に置き、ウェブアプリケーションを保護し、ソーシャルエンジニアリングの被害に遭う可能性を減らすために、組織でこれらの戦略を実施することを検討してください。
お気づきのように、これらの戦略はどれも単独では確実ではないので、重層的なアプローチが必要です。
継続的なエンドユーザのトレーニングと意識向上:ソーシャル・エンジニアリング攻撃に対する防御の第一線は、十分な知識を持ったユーザーです。従業員に対して定期的なトレーニングを実施し、フィッシングの手口を見分ける方法や、機密情報を安全に取り扱う方法に関する情報を提供する。
ウェブアプリケーションについては、ウェブサイトの信頼性を確認する方法、安全な接続か安全でない接続かを認識する方法、異なるサービス間でパスワードを再利用しないことの重要性を理解する方法について、ユーザーにトレーニングを実施する。ただし、エンドユーザーに全責任を負わせるのはフェアではないことを忘れないでください。
最小権限の原則に従う:従業員は、業務に必要なデジタル資産にのみアクセスでき、それ以上のファイルにはアクセスできないようにする。ウェブ・アプリケーションの場合、ユーザーの役割に基づいて機密データ、機能、管理インターフェイスへのアクセスを制限することも含まれます。
ソーシャル・エンジニアリングによる情報漏えいの潜在的な被害を最小限に抑えることができます。
ただし、熟練した攻撃者は権限をエスカレートさせることができるため、すべてのアカウントに強力なパスワード保護が必要であることに留意する。
多要素認証(MFA)を導入する:MFAは銀の弾丸ではありませんが、システムにアクセスする前に2つ以上の認証要素をユーザーに要求することで、セキュリティのレイヤーを追加します。
この追加的な保護レイヤーは、攻撃者がすでにソーシャル・エンジニアリングの手口を使ってユーザーの認証情報にアクセスしていたとしても、多くの場合、攻撃者を阻止するのに十分である。
定期的なセキュリティ監査と侵入テストを実施する:ハッカーよりも先にウェブアプリケーションの脆弱性を特定するために、頻繁にセキュリティ監査と侵入テ ストを実施するようにしてください。侵入テストにはソーシャル・エンジニアリングのシミュレーションも含めるようにし、チームの準備状況を把握し、弱点を特定(および改善)できるようにします。
最大の保護レベルを得るには、サービスとしてのペンテスト(PTaaS)ソリューションを検討してください。現代の開発サイクルに対応できない年次のペンテストとは異なり、PTaaSは継続的な監視を提供することで、規模に応じたWebアプリケーションの安全確保を支援します。
インシデント対応計画の策定計画を立てない者は、失敗する計画を立てる」という古いことわざは、サイバーセキュリティにおいても当てはまります。ソーシャル・エンジニアリング攻撃への対応手順を含む、強固なインシデント対応計画を策定してください。
この計画には、攻撃を封じ込め、緩和するための即時の手順と、影響を受ける関係者に通知するためのコミュニケーション計画を概説する必要があります。
開発者と IT 担当者のためのベストプラクティス
ソーシャル・エンジニアリング攻撃から外部ウェブ・アプリケーションを保護するには、意図的かつ包括的なアプローチが必要です。そして確かに、人間の行動は常にサイバーセキュリティの最も予測不可能な側面です。
しかし、組織のリスクを軽減し、回復力を高める方法はあります。以下のベストプラクティスを実施することで、社外のウェブアプリをより確実に保護することができます。
HTTPS と SSL 証明書を使用する:HTTPS と SSL 証明書を使用して、ウェブ・アプリケーションを保護する。これらの証明書を導入することで、ウェブ・アプリケーション・ユーザーのプライバシーとセキュリ ティを保護し、データが暗号化され、サイトの身元が認証され、送信されるデータの完全性が維持されま す。
システムを定期的にアップデートし、パッチを当てる:既知の脆弱性を狙った攻撃から保護するために、システムやソフトウェアを最新のセキュリティパッチで定期的にアップデートしてください。システムを常に最新の状態に保つことは、基本的なセキュリティ対策であり、ネットワークへの容易なアクセスポイントを遮断することで、潜在的な攻撃者を大幅に阻止することができます。
厳格なデータ処理手順を導入する:入力データを厳密に検証し、サニタイズすることで、インジェクション攻撃を防ぐ。例えば、電子メールアドレスが正しくフォーマットされていることを確認するなど、入力の妥当性を検証し、有害な可能性のある HTML や SQL 要素を削除またはエスケープすることで、入力をサニタイズします。
ウェブアプリケーションの監視と監査を定期的に実施する:ウェブアプリケーションのパフォーマンスに関するデータを定期的に収集し、分析することが非常に重要な理由です。ウェブアプリケーションのパフォーマンスとアクティビティを追跡することで、不正アクセスやデータ漏洩、サービス拒否攻撃を早期に発見し、その影響を軽減する、あるいはその影響を未然に阻止する機会を得ることができます。
最も効果的な監視を行うには、疑わしいアクティビティの検出とブロックに特化したツールを使用します。例えば、ウェブ分析ソフトウェアは、異常なトラフィック・パターンやソースを特定し、潜在的な偵察活動を警告することができます。また、ウェブ・アプリケーション・ファイアウォール・ソフトウェアは、悪意のあるパターンがないか受信トラフィックを検査することで、攻撃の試みをリアルタイムでブロックすることができます。
PTaaSで回復力を高める
侵入テストは、Web アプリケーションに潜む脆弱性を発見する最善の方法の 1 つです。しかし、新しいペンテスト・プロバイダーを繰り返し採用するには、コストと時間がかかります。
Outpost24のPen Testing-as-a-Serviceソリューション(PTaaS)は、手動と自動の手法を組み合わせた異なるアプローチを提供し、厳格なテストのセキュリティ監視とリスク検出を継続的に実現します。
Outpost24の大規模な社内専門家集団が、シニア・ペンテスターとともにすべての発見を手動でレビューするため、チームの時間を無駄にする偽陽性の可能性が排除されます。
PTaaSでは、すべての脆弱性が安全なポータルを介して即座に報告され、ペンテスターと直接やり取りできるため、脆弱性がハッカーに悪用される可能性を残したまま最終報告を待つ必要がありません。
Outpost24のPTaaSがお客様の組織にどのように適合するかについて専門家にご相談いただき、ソーシャル・エンジニアリングに対する耐性を高めてください。
主催・執筆:Outpost24
Comments