米国副大統領のマイクペンスの公式メールアカウントから、フィリピンに足止めされたために助けを求めるメールを受け取ったとします。
実際、そうする必要はありません。 これは実際に起こりました。
ペンスのメールはインディアナ州知事であったときにハッキングされ、彼のアカウントは数人の詐欺に使用されました。 どうしてそうなった? DNCサーバーがハッキングされた方法に似ていますか?
電子メールのハッキングは、現在最も広まっているサイバー脅威のXNUMXつです。 およそ 8のうち10 インターネットを使用する人々は、メールを通じて何らかの形のフィッシング攻撃を受けています。 さらに、 アバナンの2019年グローバルフィッシュレポート、1通に99通はフィッシング攻撃です。
BitDamは、現代のコミュニケーションにおいて電子メールがいかに重要であるかを認識しています。 ビットダム の新しい研究を発表した メール脅威検出の弱点 電子メールセキュリティの主要なプレーヤーの数と調査結果が注目を集めています。 調査チームは、未知の脅威に対処する際に、MicrosoftのOffice365 ATPとGoogleのG Suiteが非常に弱いとされていることを発見しました。 また、検出までの時間(TTD)は、未知の攻撃に初めて遭遇してから最大XNUMX日かかります。
最先端のセキュリティシステムが攻撃を防ぐ方法
メールセキュリティシステムは、リンクと添付ファイルをスキャンして安全かどうかを判断することにより、サイバー脅威に対処します。
その後、リンクを自動的にブロックし、添付ファイルのダウンロードまたは実行を防止できます。 ほとんどの場合、脅威を識別するために、セキュリティシステムはスキャンされたファイルまたはリンクを脅威シグネチャのデータベースと比較します。 さまざまなソースからの脅威データに基づいて起こり得る攻撃を監視するレピュテーションサービスまたは脅威ハンティングプロトコルを採用しています。
ただし、最初のスキャンで安全と見なされるリンクまたは添付ファイルは、必ずしも安全ではありません。 セキュリティシステムが脅威データベースをまだ更新していないために脅威をフィルタリングできない場合が多くあります。 このため、検出のギャップが存在します。 一般的なセキュリティシステムでは、最大XNUMXつの検出ギャップが存在する可能性があります。 これらのギャップは、電子メール攻撃が侵入する脆弱性または機会を表しています。
人工知能を活用して、脅威の学習と検出を自動的かつ効率的にするセキュリティシステムがあります。 彼らは、以前の攻撃からのデータと、ネットワーク管理者またはコンピューター所有者の対応するアクションを使用して、後続のインシデントに対するより良い判断を導き出します。
ファーストエンカウンターのミス率とTTDが高い:現在の電子メールセキュリティの不十分さ
電子メールのセキュリティにおけるすべての進歩にもかかわらず、欠陥はまだ存在しています。 前述したように、主要なメールセキュリティシステムであるOffice365 ATPとG Suiteは、未知の脅威に直面すると検出効果を失います。 BitDamのテスト結果に基づいて、Office 365の平均初回遭遇ミス率は23%ですが、G Suiteは35.5%です。 また、最初の出会い後、TTDが著しく長くなります。 Office365とG SuiteのTTDは、それぞれ48時間と26.4時間で記録されました。
明確に言うと、未知の脅威は、セキュリティシステムが初めて遭遇する脅威であり、まだシグネチャデータベースに存在していません。 ただし、あいまいさは相対的です。 あるシステムで識別されていない脅威は、他のシステムでは知られていない可能性があります。
そのため、Office365とG Suiteのミス率には大きな違いがあります。 とにかく、これらの未知の脅威は、現在の電子メールセキュリティ全般のアキレス腱のようです。 それらは、時間とともに修正される一時的な弱点のようなものであるため、重要ではないように見えますが、攻撃の侵入に重要なウィンドウを開きます。
また、未知の脅威が必ずしも完全に新しいマルウェアや攻撃形態であるとは限らないことにも注意してください。 BitDamの調査によると、人工知能の助けを借りて急速に作り出された既存の脅威の単なる変種にすぎません。 これは、非常に簡単に作成でき、未知の脅威の検出が困難なセキュリティシステムに指数関数的に増大する問題を提示することを意味します。
BitDamのテストでは、新しい脅威とその修正バージョンを使用して、主要なセキュリティシステムの検出効果をテストしました。 変更された脅威のほとんどは、「ソース」の脅威がすでに脅威シグネチャデータベースに記録されているにもかかわらず、未確認/不明として認識されました。
電子メールセキュリティシステムが信頼できると見なされるためには、最初の遭遇の検出ミス率が高いというこの欠点を持ち続けることはできません。
メールハッキングとの闘いにおける課題
電子メール攻撃を成功させるには、次の要素の少なくともXNUMXつと組み合わせた持続的な攻撃が必要です。
- 弱いパスワード
- ソーシャルエンジニアリング攻撃の対象となるサイバーセキュリティの文盲メールユーザー
- 信頼できる電子メールセキュリティシステムがない
電子メールをハッキングするために使用される主な方法のXNUMXつは、パスワード推測です。 ハッカーは、単純で教育された(被害者に関する詳細を収集する)当て推量により、動作するパスワードにつまずくまでパスワードを永続的に入力します。 多くの人は、この戦術は理にかなうほど粗雑であると考えるかもしれませんが、アカウント所有者が単純で予測可能なパスワードを使用しているため、メールアカウントが簡単に侵害される場合が多くあります。
ソーシャルエンジニアリングとは、被害者をだまして、秘密にされていると思われる情報を無意識のうちに明らかにしたり、他の方法では提供できないものを与えたりすることです。 フィッシングは間違いなくソーシャルエンジニアリングの最も一般的な形式です。疑いを持たない被害者がユーザー名とパスワードを入力するか、正当に見えるが実際に情報を盗んでいるWebサイトに情報を提供します。
手口はまず、攻撃者が緊急のアクションを必要とする電子メールを被害者に送信することから始まります。 これは、「違反」が発見された後に被害者にオンラインバンキングのパスワードを変更するよう通知することも、被害者が賞品を請求できるように記入する必要があるオンラインフォームにリンクを添付するお祝いメッセージを送信することもできます。 。
電子メールのセキュリティは、マルウェアが混入した添付ファイルによっても侵害される可能性があります。 異常な電子メールの添付ファイルをクリックすると、スパイウェアやキーロガーが意図せずにインストールされ、感染したコンピューターからパスワードやその他の重要なデータを取得する可能性があります。 一部のマルウェアは、ポップアップウィンドウまたはモーダルウィンドウを介してフォームをシミュレートし、被害者をだましてログイン詳細を入力させるように設計されている場合もあります。
現在の主要なセキュリティシステムでは、弱いパスワードや予測可能なパスワードを使用するアカウントを保護できません。 また、ソーシャルエンジニアリングに対する保護を保証することもできません。 マルウェアに感染した添付ファイルとリンクのブロックに焦点を当てることが期待されています。 残念ながら、この点についても、深刻な弱点があります。 先に述べたように、彼らは最初の遭遇ミス率が高く、未知の脅威をブロックする方法を学ぶのに時間が必要です。
推奨されるセキュリティ強化
BitDamは、主要な電子メールセキュリティシステムの動作を改善することを提案しています。脅威にとらわれない保護層の導入です。 BitDamのテストによると、モデルベースの検出アプローチにより、最初の遭遇の検出率が大幅に向上しました。 それはTTDをゼロにまで下げました。 Office365とG Suiteが検出できなかったマルウェアは、BitDamのモデル駆動型手法を使用して効果的に特定されました。
では、このモデルベースのアプローチはどのように機能しますか?
基本的に、スキャンしたファイルと既存の脅威のデータを比較することに焦点を当てることがなくなります。 代わりに、特定のファイルとのインターフェース時にアプリケーションがどのように動作するかを調べます。 これは、アプリケーション実行の「クリーンな」フローがどのように見えるかのモデル(したがって「モデル駆動型」の記述)を生成します。
不要なコードやマルウェアが含まれているファイルを処理している場合、アプリケーションの動作は異なります。 ファイルを処理するときにアプリがスムーズに動作しない場合、唯一の論理的な判断は、ファイルが異常、悪意がある、または有害であることです。 そのため、ブロックする必要があります。
このモデル駆動型の戦略は、データ駆動型の方法に取って代わるものではありません。 それはサプリメントとして役立つことを意図しています。 誤検知もある可能性があるため、脅威データの比較と組み合わせて使用して、ブロックされた脅威が実際に有害であることを確認することをお勧めします。
BitDamの調査方法
BitDamは2019年365月に調査を開始し、さまざまなソースから何千もの「新しい」悪意のあるファイルのサンプルを収集しました。 OfficeXNUMX ATPとG Suiteに焦点を当てましたが、ProofPoint TAPは継続的な調査が進むにつれて追加される予定です。
このプロセスは次のように要約できます。
- コレクション— 研究者は、多数の悪意のあるファイルのサンプルを入手します。 そのほとんどはOfficeおよびPDFファイルです。
- 資格— サンプルを収集した後、研究者はそれらが実際に悪意のある/有害であることを確認します。 実際に有害なファイルのみがテストに使用されます。
- 変更— 検証された悪意のあるファイルは、セキュリティシステムによって新しい脅威と見なされるように変更されます。 BitDamの研究者は、この変更にXNUMXつの方法を採用しました。 XNUMXつの方法は、無害なデータを追加してファイルのハッシュを変更することでした。 もうXNUMXつの方法では、マクロの静的署名を変更する必要がありました。
- 送信 - 最近収集された悪意のあるファイルとその亜種(変更されたコピー)は、適切な保護が行われていると考えられるメールボックスに送信されます。 G Suite Enterpriseメールボックスの場合、事前配信モードのサンドボックスなどの詳細オプションが有効になります。
- 監視と測定— その後、メールボックスが追跡され、脅威の検出効率が測定されます。 脅威の検出を過ぎたファイルは、最初の30時間(ファイルの送信後)に20分ごとにメールボックスに再送信されます。 次のXNUMX時間では、再送信頻度はXNUMX時間ごとにXNUMX回に減ります。 再送信の頻度は、さらにXNUMX日間はXNUMX時間にXNUMX回にさらに削減されます。
- データの収集と分析— その後、テストによって生成されたすべての詳細がコンパイルされ、検査されます。
BitDamはまだMicrosoftおよびGoogleの脅威レジストリに入力されていない最新のマルウェアにアクセスできないため、収集された悪意のあるファイルの変更はプロセスの重要な部分です。 ファイルはメール(OutlookおよびGmail)経由で送信されることに注意してください。 MicrosoftとGoogleのセキュリティシステムは、テストメールの作成中に悪意のあるファイルの添付をすぐにブロックしていました。
研究者は、GoogleとMicrosoftがまったく新しい未知の脅威と見なすように、脅威を修正する方法を考案しました。 したがって、セキュリティシステムの添付ファイルをブロックする機能は大幅に低下しました。
マルウェアスキャンを実行しないSendGridなどの電子メールサービスを使用するオプションがありました。 しかし、研究者たちは、使用したアカウントが24時間未満で凍結してしまうことを発見しました。
まとめ
繰り返しになりますが、BitDamは、MicrosoftおよびGoogleの脅威署名データベースにまだないマルウェアを収集したとは主張していません。 BitDamがテストを完了し、パラダイムシフトが適切であるという大胆な結論を出すには、いくつかの課題をクリアする必要がありました。
研究者がテストのために送信した電子メールにマルウェアの添付ファイルを追加したという事実は、セキュリティシステムが派生的な脅威を未知のものと見なすには最小限の修正で十分であることを証明しています。 検出の有効性が損なわれるため、最初の遭遇ミス率が高くなります。
未知の攻撃は重大なリスクをもたらします。これは主に、ほとんどの電子メールセキュリティソリューションのデータ駆動型の性質によるものです。 モデルベースの戦略でセキュリティシステムを強化する必要があるため、検出は脅威シグネチャの更新のみに依存しません。
さらに、サイバーセキュリティについて人々を教育し続けることが重要です。 メールセキュリティシステムは包括的な保護を提供しません。 特に、予測可能なパスワードと騙しやすさ(フィッシングやソーシャルエンジニアリングの餌食になりやすい)の使用によって可能になった攻撃の侵入を阻止することはできません。
ソース:http://feedproxy.google.com/~r/TheHackersNews/~3/cduU3iveAWM/email-security-software.html
