この記事は、Duo Security の Product Manager, Data & Analyticsである Rahul Hirani と、Product Marketing Manager である Ted Kietzman によるブログ「NEW! Get Behavioral Security Analytics with Duo Trust Monitor (Beta)」(2020/2/18)の抄訳です。
Duo は、複数のトラスト制御を設けてすべてのアクセス試行を評価することで、従業員によるアクセスを保護します。まず、市場をリードする Duo の多要素認証ソリューションは、ユーザの本人確認を行うことで、最も一般的な攻撃ベクトルである「クレデンシャル盗難」から保護します。さらにアクセスデバイスのセキュリティポスチャを評価し、エンドポイントがセキュリティ基準を満たしているかを確認します。Duo の認証では、柔軟できめ細かいアクセスポリシーエンジンが使用されます。これにより、重要な企業リソースへのアクセス権を最小限のユーザに限定できます。こうしたトラスト制御をさらに拡張してユーザとデバイスの行動や動作も監視できるように、Duo Trust Monitor のベータ版を公開しました。
Duo Trust Monitor とは?
Duo Trust Monitor はセキュリティ分析機能です。お客様の Duo 導入環境において、危険性のあるユーザの行動を発見して通知します。具体的には、過去の Duo アクティビティとテレメトリをすべてモデル化し、従業員とデバイスの行動や動作に関するベースラインプロファイルを作成します。こうして作成されたユーザ、同僚、組織の行動プロファイルは、新しいアクセス試行が検出されるたびに、比較用のベースとして使われます。ユーザが行動プロファイルから大幅に逸脱した場合、Duo Trust Monitor はそのケースを「異常」として通知します。
「異常」には、新しい IP やデバイス、通常と異なる認証要素や時間帯、高リスクユーザによるアクセス試行、高リスクアプリケーションに対するアクセス試行、検知された非現実的な地域移動パターンやブルートフォースアタックなど、さまざまなケースが考えられます。
表示される通知は、たとえば以下のようなものです。
Duo Trust Monitor は、異常な行動(新しい地域やデバイスからのログインなど)を通知するだけでなく、きわめて例外的(発生率 1% 未満)なアクセス試行も検出します。不審なアクセスを検出した場合はセキュリティインサイトを適用して、ラベルを追加します。たとえば、特定の場所や時間帯における異常な行動は、不審な地域のカテゴリでグループ化されるため、トリアージが容易になります。Duo Trust Monitor が特定したケースについて、実際には問題ないとお客様がフィードバックした場合、自動学習により後続の類似イベントは除外されます。
Duo Trust Monitor はセキュリティの強化にどのように役立つか?
Duo Trust Monitor がもたらすメリットには、次のようなものがあります。
1.環境の可視化とポリシーの強化
行動履歴に基づいてユーザのベースラインを作成し、それに基づいて異常なアクセス試行を検出・把握できるため、自社環境に関する深い分析情報を得られます。不審なアクセスを特定し、そのアクセスがセキュリティに及ぼす影響をコンテキストと共に記録するという、手間の掛かる作業を自動化できます。たとえば、ソフトウェアエンジニアが財務アプリケーションに初めてアクセスしようとすると異常な行動としてマークされます。このような行動についてセキュリティポリシーで制限していない場合は特に、リスク回避の面で大きく役立つでしょう。行動に必ずしも悪意があるとは限りませんが、アクセスポリシーの変更を検討するきっかけになる可能性もあります。
2.情報に基づくリスクの検出と防止
重要度が高く、非常に高いアクセス権限を必要とするアプリケーションやユーザグループを指定できます。これらのアプリケーションへの変則的なアクセスが発生したり、高い権限を持つユーザのログイン情報が不審に使用されたりした場合、コンテキストを把握することが不可欠です。たとえば、幹部のログイン手順が異常に「ダウングレード」された場合(つまり、プッシュなどのより安全な二次認証要素から、安全性の劣る SMS などの認証要素に移行された場合)、スピアフィッシングやアカウント乗っ取りなどの兆候として通知されます。これによりチームが優先的かつ迅速に対応し、本人への確認、デバイスの検疫、対象ユーザグループのアクセスポリシーの更新(より安全な MFA の必須化)などを実施できます。
3.セキュリティ調査の効率化
これまでのセキュリティ調査でコンテキストを収集するには、Duo と他のツールを行き来して、未加工のログデータやテンプレート化されたレポートを隅々まで確認する必要がありました。しかし Duo Trust Monitor は、危険性のあるアクセス試行を自動的にハイライトします。つまり、わかりやすい視覚化と説明により、コンテキストを含めて異常行動を把握できるのです。
さらに、異常だと判断された理由をセキュリティチームが詳しく検証できるよう、個々の異常に関連するアクセス履歴が提供されます。あらゆるセキュリティ プロフェッショナルが簡単に使えるワークフローを実現できます。
Duo Trust Monitor の分析情報を未加工データや最新の SIEM 形式でエクスポートできるよう、幅広いエクスポートオプションも用意されています。
Duoラボでは、多要素認証に関するレポートを公開しております。