メール脅威を迅速に特定し
素早く対応する

KnowBe4-PhishER

数ヶ月ではなく、数分でデータ漏洩を封じ込める

お問い合わせ

メール脅威を迅速に特定し、素早く対応する

メールの優先順位付けを自動化することによって、PhishERはIT管理者やセキュリティ担当者の受信ボックス内のノイズをカットし、最も危険な脅威への対応を迅速化・効率化することを可能にします。

PhishER Dashboard

フィッシング攻撃がサイバー攻撃手段として最も広範に使用されている中、多くの”疑わしい”メールが企業や組織・団体へ向けて発信されています。

セキュリティ意識向上トレーニングを組織内に展開しているか否かにかかわらず、日々多くの不審メールを従業員が受信して、何らかの形態でセキュリティ担当者へ報告しています。この不審メールトラフィックの増加は… セキュリティ担当者とっての新たな問題を発生させています。

企業ネットワークを標的とするスパムメールや悪意あるメールの約7-10%は、メールフィルターをすり抜けてしまいます。従業員が報告する10件のメールのうちで、実際には、悪意あるメールは1件ほどしかありません。高リスクのフィッシング攻撃に対処する一方で、インシデントレスポンスチームは、いかにして残り90%のメールに正確かつ効率的に対応しているのでしょうか? この対策として、PhishERが採用されています。

PhishERとは何か?

PhishER は軽量なSOAR (Security Orchestration Automation & Response) プラットフォームです。脅威への対応を自動化し、従業員から報告される大量の悪意のあるメッセージの迅速な対応を可能にします。メールの優先順位付け (トリアージ) を自動化することによって、PhishERはIT管理者やセキュリティ担当者の受信ボックス内のノイズをカットし、最も危険な脅威への対応を迅速化・効率化することを可能にします。

PhishERを使用することで、報告されたメールの90%にあたる脅威ではないメールへの対応を自動化することができ、インシデント対応の効率化というメリットを即座にセキュリティ担当者へもたらしますが、インシデントレスポンス (IR) オーケストレーションの潜在的な価値はそれよりはるかに大きいものです。

例えば、適切な戦略とプランニングによって、今日の脅威に対抗するためのオーケストレーションを実現するインテリジェントなSOCを構築することを可能にします。PhishERは、フィッシングの脅威を軽減するためにインシデントレスポンス(IR)チームが連携する上での重要な構成要素です。悪意のあるメールを自動的に優先順位付けして迅速に対応するために最適です。PhishERは、スタンドアロン製品として、または、KnowBe4の年間サブスクリプション契約のアドオンオプションとしてご利用いただけます。

なぜPhishERを選択するか?

PhishERは使い易い/Webベースのプラットフォームで、フィッシングER (Emergency Room:緊急対策室) としての重要な機能を備えています。疑わしいメールとして報告されたメールメッセージへの初動対応をサポートします。PhishERは、どのメッセージが正当で、どのメッセージがフィッシュメールなのかを優先順位付けして、分析します。このトリアージプロセスによって、インシデントレスポンス (IR) チームは大量のメールメッセージの優先順位付け・分析・管理を迅速に行えるようになります。PhishERが目指すところは、セキュリティ担当者の初動対応を支援し、より多くのメールメッセージに出来る限り自動的に対応し、適切な初動対応を取ることを可能にすることです。

PhishER セキュリティロールを設定することで、メールメッセージの分析・管理における作業負荷をPhishER内でIRチームへ容易に分散することができます。また、Limited(制限付き)およびFull(フル)アクセスをセキュリティロールで設定することで、PhishER内で報告されたメールの重大度に基づいた多階層のインシデントレスポンス(IR)システムを実装することができます。

Geoffrey ParkerがSANS Institute Information Security Reading Roomにホワイトペーパー「Automating Response to Phish Reporting (フィッシングレポーティングへのレスポンスを自動化) 」 を公開しています。トリアージツールの第三者による分析として素晴らしい調査報告です。ここをクリックしてご一読ください

PhishERの日本語データシートはこちらから。

 

主な利点と特徴


KnowBe4の Phish Alert ボタンとの完全なインテグレーションにより、優先度付け (トリアージ) を自動化し、脅威でないメールを自動的に分類する
• セキュリティ担当者の受信ボックス内のノイズをカットし、最も危険な脅威への対応を迅速化・効率化する
セキュリティ担当者の負担を軽減し、脅威ではないと分類されたメールの90%の対応を自動化する
メールメッセージをパターンに基づいて分析・分類し、自社の組織内で拡散するフィッシング攻撃をいち早く特定し、防御する
自社組織内のミッションクリティカルなSLAを満たし、脅威と正常なメールとを分類し、優先順位付け (トリアージ) する
自動化されたメール応答テンプレートによって、さらなる処置が必要とされるメールについて迅速に報告者へフィードバックする
優先順位付け (トリアージ) や警告などの作業のための独自のワークフローを作成することができ、セキュリティ担当者の作業負荷を軽減する
PhishERの機械学習モジュールであるPhishMLによって、PhishERプラットフォームへ入ってくるすべてのメッセージを分析し、 トリアージプロセスがより容易に、より高速に、より正確になる
• PhishRIP™はPhishERのメール検疫隔離機能。Microsoft Office 365にインテグレーションされ、 メールの脅威を監視・検出し、報告、隔離、分析することを可能にし、アクティブなフィッシング攻撃を迅速にシャットダウンする
• PhishFlipPhishER機能の1つです。今、発生している実際のフィッシングメールをフィッシングメール演習用にテンプレート化して、即時に全社レベルの演習を可能にする

お問い合わせ
PhishER ThreatMapPhishER脅威マップを表

いかにPhishERが機能するか

PhishER機能フロー

PhishERは、ルール、タグおよびアクションに基づいてグループ化・カテゴリー化することで、従業員からPhish Alertボタン(PAB)によって報告されたフィッシングメールや不審なメールを優先順位付けして、対応します。メッセージの優先順位付け (トリアージ) プロセスの最初のステップで、PhishERの機械学習モジュールであるPhishMLが、報告された疑わしいメッセージの重大度をタグ付けして、分類します。次に、PhishRIPによって、全社・全組織内のメールボックスに削除されずに存在している不審なメールを迅速に見付け出し、検疫・隔離することができます。さらに、PhishFlipは、今、社内で発生している危険なフィッシング攻撃を無害化し、演習用のテンプレートへ変換して、即時に全社レベルのフィッシングメール演習を可能にします。



自動メッセージ優先順位付け

PhishERは、報告された各メッセージを次の3つのカテゴリー: Clean (正常)、Spam (スパム)、Threat (脅威) の1つに分類して、優先順位を付けます。設定ルールに従って、最適なトリアージプロセスを開発することを支援します。これによって、人の介入なしに、出来る限り多くのメールメッセージを自動的に優先順位付け (トリアージ) することを可能にします。

脅威でないメールの自動優先順位付けによって、インシデントレスポンス (IR) チームは最も危険な脅威により迅速に対応することが可能になります。また、PhishERは、KnowBe4のメールアドインボタンのPhish Alertと容易に統合することができ、Phish Alertボタンで報告されたメールを専用のメールボックスへ転送します。PhishERは、報告されたメッセージの属性をレビューし、優先順位に従って最も危険なメッセージを切り分けます。

簡単かつ高度なルール生成

独自ルールを生成することができます。ビルトインのYARAベースのルールを使用して、既存のYARAルールを編集して利用することが可能です。また、ルール要件を簡素化するためにシステムルールを使うこともできますが、自社のインシデントレスポンスチームのスキルに応じて、ルールをカスタマイズするためにシステムルールをコピーして変更することもできます。

PhishML™

PhishMLはPhishERの機械学習モジュールです。 メッセージの優先順位付け (トリアージ) プロセスの最初のステップで、報告された疑わしいメッセージを特定して、分類します。PhishML™によって、PhishERプラットフォームへ入ってくるすべてのメッセージを分析し、トリアージプロセスがより容易に、より高速に、より正確になるように支援します。

PhishMLは、トレーニングの受講者によって、またはPhishERユーザーコミュニティの他のメンバーによって、タグ付けされたメッセージに基づいて常に学習します。これによって、PhishMLは新しいデータを常時フィードし、正確性を高めています。さらに、より多くのメッセージがPhishERのカテゴリー化に基づいて自動的に優先順位付けされることで、不審メールを見極めるための受講者の負担が軽減されます

PhishRIP

PhishRIP™は、PhishERの電子メール検疫・隔離機能です。Microsoft Office 365にインテグレーションされ、 メールの脅威をRemove(削除)、Inoculate(予防接種)、Protect(防御)することで、アクティブなフィッシング攻撃を迅速にシャットダウンすることを可能にします。PhishRIPの機能:

  • Remove(削除): PhishERが脅威を特定すると、受信トレイ、送信済みフォルダー、ゴミ箱フォルダーを含むすべてのメールフォルダーから同じまたは同様な脅威メッセージを削除します。
  • Inoculate(予防接種): 多くの場合、企業や組織内で同じ脅威メールを複数のエンドユーザーが受信しています。しかしながら、迅速に、IT管理者やインシデントレスポンスチームに報告されないことがあります。PhishRIPは、このような報告されていない危険なメールをいち早く検出し、報告・隔離・分析を可能にします。
  • Protect(防御): 初動対応後に、発生した脅威を詳細に分析して、今後の継続的な防御に適用できるようにします。PhishRIPによって、影響を受けるエンドユーザーに自動的に警告メッセージを送信することができます。同時に、他のエンドユーザーのメールボックスから危険なメッセージ削除して、隔離します。また、削除後に、正当であると識別された場合には、削除されたメッセージはエンドユーザーのメールボックス内に復元されます。

 

PhishFlip

 

PhishFlip、今、発生している実際のフィッシングメールをフィッシングメール演習用にテンプレート化して、即時に全社レベルの演習を可能にします。PhishFlipを使うことで、今、発生している個人宛の危険な攻撃を無害化して、即座に全社レベルで情報共有することを可能にし、タイムリーなメール演習を実現することができます。PhishFlipは、Phish Alertボタン(PAB)によって現場の従業員からIT管理者へ報告されたフィッシング攻撃の脅威を適用し、フィッシングメール演習へ展開します。

PhishFlipは、PhishRIPによって検疫・隔離された、実際に発生している個人宛のフィッシング攻撃を無害化し、演習テンプレートへ変換し、現実そのもののフィッシング攻撃を再現します。次に、PhishRIPが他の従業員に同一の危険なフィッシングメールが届いていないかを特定し、同一のフィッシングメールが存在する場合は、PhishFlipがこれを安全なテンプレート化された演習メールに置き換えて、メール演習を実施することを可能にします。PhishFlipによって、実際に発生している危険なフィッシング脅威を全社レベルで即時に対処する実践的な演習を手に入れることができます。

 

 ER (Emergency Room:緊急対策室) 

PhishERのER (Emergency Room:緊急対策室) は、報告された同様なメッセージを特定し分類することができます。この機能には、事前フィルタリングされたビューが含まれており、各自のPhishER受信ボックス内で未対応であるメッセージを仕分けます。これらのメッセージは共通性によって動的にグループ化され、Top Subject Line (上位主題)、Top Sender (上位発信者)、Top Attachment (上位添付) および Top URL (上位URL)別に事前フィルタリングされたメッセージのシステムビューに含められます。各ERはインタラクティブで、メッセージのフィルタリングされた受信ボックスビューをドリルダウンすることが可能です。また、すべての関連メッセージを横断して同時にアクションを取ることができます。ER全体を俯瞰することで、最も危険なメッセージを含み、注意を払う必要があるERを即座に優先順位付けすることを可能にします。

SOARとは何か?

SOARは、Security Orchestration, Automation and Responseの略で、「接続されているセキュリティアプリケーションやプロセスを横断してのセキュリティタスクの自動化・運用・効率化」と定義されています。 
どんなに技術力の高いセキュリティチームでも、対応スピードという要件は、容易に達成できるものではありません。サイバーセキュリティをいくつかの視点からみると、「対応が遅い」という問題が浮き彫りにされます、例えば、ツールからツールへの情報のコピーや転送などです。脅威の特定からインシデント対応の優先順位付け (トリアージ) など、IRチームやSOCは単純であるが繰り返し発生する作業の山を処理するのに苦戦しています。これは、多くの場合、チームの対応スピードをスローダウンされると同時に、チームをイライラさせることにつながります。最悪の場合は、結果として、対処すべき脅威が単純作業の狭間に落ちて、対処されないことさえありえます。 
  • オーケストレーション - さまざまなセキュリティアプリケーションやプロセスを繋ぎ、統合します。
  • オートメーション - サイバーセキュリティ・プロフェッショナルによってこれまでは手動で対応しなければならなかった作業をマシンベースのセキュリティアプリケーション内で自動ハンドリングします。

データのエンリッチ化とインテリジェンス

PhishERは、添付ファイルや悪意あるドメインを解析するためにVirusTotalのような外部サービスと統合することもできます。URL Unwindingを使って、PhishERは短縮URLを自動的に拡張します。これによって、最終デスティネーションの潜在的な脅威レベルを確認することが可能になります。

SIEMインテグレーション

PhishERは、SplunkやQRadarなどのSIEMプラットフォームとのプッシュ型でデータ連携することでSIEM統合を実現しています。複数のsyslogデスティネーションがサポートされており、さまざまな要件に対応し、その他のシステムとのデータ連携も可能にしています。


PhishERについての5分間のビデオをご覧ください。

 

PhishERの最新機能について個別のライブデモをご希望の方は、「お問い合わせ」をクリックしてお申し込みください!

お問い合わせ