2020年、新型コロナウィルス
感染拡大の影響を受け、
多くの企業が突然かつ強制的に
テレワークの導入を迫られました。
セキュリティ対策が不十分なままに
スタートした企業も多く、
その隙をついたサイバー攻撃が
急増しています。
一口にサイバー攻撃といっても、金銭要求や、情報搾取、ビジネス妨害、政治的メッセージの発信など、目的は様々。
そしてその目的に合わせるかのように手口は年々巧妙かつ多様化しています。
中でも厄介なのが、ネットワーク侵入したことを気付かせず長期にわたり潜伏し攻撃をしかけるタイプ。
最終的に侵入の痕跡(ログ)まで消す完全犯罪のようなケースもあり、注意が必要です。
実際に起こった事件をもとに犯行手口を見ていきます。
侵入を検知することができないまま、機密情報が継続的に社外の不正なIPに転送されてしまいました。
“疑わしくないメール”を開封しただけで、すんなりと侵入/攻撃されてしまうこの世の中、入り口出口対策のみならず、攻撃をスピーディーに察知し、その経路/範囲の特定から隔離まで迅速に行える体制を整える必要があるといえます。
先ほどのケースでもそうでしたが、一般的にマルウエアはPCの感染を済ませると、次なるステップとしてADサーバへのログインを試みます。
実はこの時、システムログには膨大な「Logon-failure」が。この異常なログを早期に検知することが早期発見&対処へ繋がるというわけです。
糸口はLogon-failureだけではありません。
でも、考えたり、実装したりするのは大変だからムリ・・・
そこでお勧めなのが国産SIEM製品でおなじみALog。
ALogでは、IPA※ やJPCERT※ が発表するガイドラインをもとに、サイバー攻撃の検知に最適なテンプレートパックをご用意しております。
※ IPA:独立行政法人 情報処理推進機構
※ JPCERT:Japan Computer Emergency Response Team
これらをセットするだけで即座にサイバー攻撃自動検知システムの構築が完了します。
イベントID「4625」(ログインの失敗)を
“同じユーザーが30回以上行ったら”
レポートの作成+報告を自動化。
30回を超えたユーザーを迅速に察知
自動作成したレポート(報告書)を添えて管理者へアラート通知
不正 / 不審行動を迅速に察知して、管理者へアラート通知。報告書(レポート)も自動作成。
ALogには、AIリスクスコアリング機能が付いています。
多様な働き方があり、単なる回数や数量で異常を判断するのが難しいという場合でも、「普段」との差異をAIがユーザごとに数値化してくれます。
ALogシリーズは、国内外合わせ4,500社以上の企業で採用されている、まさにログ管理の王道とも呼べる製品です。
様々な情報システムのログを収集し、見やすく分かりやすい形で出力。
ALogが変換したアクセスログはサイバー攻撃対策、内部不正対策、ワークスタイル変革など、多様なシーンへ活用されています。
[2020年最新版]
サイバー攻撃監視はカンタンに自動化できないのか?
専門知識不要、コスト不要の
完全自動化ガイドブック