クラウドサービスやAI、高速ネットワークの普及に従い、企業のセキュリティ脅威が日々高まり、情報漏洩の手段はそれこそ日進月歩です。それに加えて、ランサムウェアが勃興し、セキュリティ管理者の負担がますます増える一方です。
しかし悪事には必ず痕跡が残ります。監査も決まって社員の [ウェブ閲覧ログ]、[HTTPアップロード操作]などのネットワークログを解析します。こういった外部ネットワーク活動の解析にはいくつかの注意点があります。
インサイダーとハッカーの外部ネットワーク接続における違い
インサイダー(内部ユーザ)の外部接続は一般的に日常の有名ポータルサイト、国内サイトやクラウドサービスが利用されます。ネットワークトラフィックも基本的に勤務時間のログイン時にのみ発生します。
ハッカーの外部接続は逆に接続する国や区域が大きく異なり、また一定のパターンがあります。例えば定期的に決まったターゲットに対して特定ポートで転送します。または複数端末のウイルス感染により、同じホストに送信するようになります。ネットワークトラフィックも終業時間後や決まった間隔で発生し、さらにはログインしなくてもネットワーク活動が行われます。
システムで検知するテンプレートレポートで表示されるウェブアドレス、IPなどの大量なデータも迅速に以下のように仕分ける必要があります。
- 接続国や地域、現段階不明かどうか
- ネットワーク接続時間、明確に区別できない
- コマンドプロンプトでハッキング常用コマンドを実行して接続、記録と警告が難しい
- ダッシュボードでデータを統計
TSFのW-Consoleはこれらの要望にも対応できます。
- 国・地域名を正確に表示できる
管理者は迅速に異常接続対象を特定でき、リスク管理がしやすい。 - 【日時条件】を任意に決めてログを絞り込める
カレンダー機能で条件をさらに絞り込み、時間ごとで表示させることにより疑わしいログをすぐに見つけられる。 - コマンドプロンプトとPowerShellの実行ログを警告
コマンドプロンプトやPowerShellで危険度の高いコマンドが実行されると、即時警告して記録する。(危険なコマンドは自身で定義できます)
兵は神速を尊ぶ
セキュリティ脅威に対応するには、とにかく事前の予防や発生時の検知、事後処理すべての対策を備えなければなりません。これらのセキュリティ対策を持続させるには、組織自身のルールだけでは到底叶うはずもなく、必ずや制御するための外部ツールを導入する必要があります。