生徒によるプロキシバイパス行為は、K-12ネットワークにおける最も一般的な脅威として静かに台頭している。マルウェアでもフィッシングでもない。プロキシバイパスである。そして、K-12ネットワーク全体で、マルウェアよりも7倍も多くのブロック対象となっている。.

学生たちは創意工夫に富み、意欲的で、ますます高度なツールを使いこなしています。現在利用可能な回避策（プロキシフレームワーク、ゲームアグリゲーター、共有バイパスリンク、ブラウザの脆弱性など）は、2015年頃の「プロキシをググるだけ」といった手軽な方法ではありません。それらは進化し、分散化しており、従来のフィルタリングでは捕捉がますます困難になっています。.

ほとんどのフィルターは、それらを防ぐように設計されていませんでした。.

従来のフィルタリングが不十分な理由

ほとんどのコンテンツフィルタリングは、URLまたはドメインをブロックリストと照合することで機能します。アドレスがリストに載っている場合はブロックし、載っていない場合は許可します。.

そのやり方は、回避策が単純だった時代には理にかなっていた。しかし、今日の学生たちが使っている方法には通用しない。

• プロキシフレームワーク Ultraviolet、Scramjet、Rammerheadなど、一見クリーンなURLの背後でブラウザ内で直接トラフィックをトンネル化するツール。
• ゲームアグリゲーター NebulaやInterstellarのような一般的な見た目のページの中に埋め込みランチャーをホストしている
• Googleサイト 学生ネットワーク全体にバイパスリンクを配布するために使用される
• 拡張機能なしの Chrome セッション フィルター拡張機能を決して読み込まないブラウザウィンドウを開くことで、フィルターを完全に回避する

これらはいずれもホスト名レベルでのバイパス試行には見えない。. それがポイントだ。.

静的ルールは静的な脅威を捕捉する。バイパスは動く標的であり、その動きはますます速くなっている。.

URLが何を教えてくれないかを検出する

ページ上のテキストをスキャンするだけでは不十分です。動作レベルでバイパスを阻止するには、異なるアプローチが必要です。つまり、リクエストの送信先だけでなく、ブラウザ内で実際に何が実行されているかを分析する必要があるのです。.

それが ライトスピードフィルター 新しい Live Intelligence機能 そうです。.

学生がページを読み込むと、Lightspeed Filter™ はそれをリアルタイムで分析し、次のような信号を評価します。

• DOM構造とページ構成
• ページによって開始されたネットワークアクティビティ
• JavaScriptの実行と動作
• コード内に存在するプロキシライブラリには、UltravioletやRammerheadなどのツールが含まれます。

これらの信号は、既知のバイパスパターンと照合して評価されます。信頼性の高い指標は即座に遮断をトリガーします。信頼性の低い信号は、閾値に達するまで加重スコアとして蓄積されます。.

重要なのは、分析はページ読み込みで終了しないということです。セッションは継続的に監視され、最初の読み込み後に動作が変化する遅延回避や動的回避を検出します。これは、一部の回避ツールが最初のフィルタチェックを通過するまで意図的に疑わしい動作を遅らせるため、重要な点です。.

その結果、ドメインやURLの一致に依存しない検出機能が実現した。.

階層型セキュリティモデルに組み込まれている

バイパスは単一の手法で行われるものではなく、進化し変化し続ける一連のエクスプロイトであり、ますます高度化しており、必ずしもページコンテンツに限定されず、ブラウザ、オペレーティングシステム、あるいはネットワーク自体を標的にすることもあります。.

Live Intelligenceは、Lightspeed Filterの多層構造アプローチにおける1つのレイヤーであり、以下の機能と連携して動作します。

• ゼロデイ脅威対策 未知のサイトおよび新規登録サイト向け
• きめ細かなセキュリティ分類 動的でポリシーベースのブロッキング
• ChromeOSアプリとデバイス 保護 拡張機能を回避する脅威に対して
• デバイス内およびネットワークレベルのフィルタリング 主要なデバイスとオペレーティングシステムすべてにおいて

各層は、他の層では覆いきれない隙間を埋めるように設計されています。これは意図的なものです。.

リアルタイムのバイパス検出機能は、特にLive Intelligenceレイヤーを強化し、プロキシの実行時に動作ベースの識別機能を追加することで、これまで見過ごされてきた手法に対処します。.

視界を確保するのに鈍器は必要ない

検知とブロックは2つの異なる制御手段であり、これらを分離しておくことが重要です。学校はネットワーク上で何が起こっているかを完全に把握する必要があります。それは単に活動をブロックするためだけでなく、監査を行い、新たな脅威を特定し、問題になる前にパターンを理解するためです。.

Lightspeed Filterの感度コントロールを使用すると、管理者はポリシー（「緩和」、「標準」、「厳格」）に基づいて、異なるユーザーグループ、学年、またはスタッフごとにバイパス検出を調整できます。ブロックはカテゴリレベルでも調整できるため、学校はさまざまな脅威タイプに対して検出の適用方法を正確に制御できます。学区によっては、プロキシフレームワークを学区全体で自動的にブロックしつつ、特定のグループに対してはゲームアグリゲーターのブロックを無効にするなど、盲点を作らずに、必要な範囲で混乱を軽減できます。いずれの場合も、すべてのカテゴリで検出は継続して実行されるため、ブロックが適用されていないからといって、何も見えなくなることはありません。.

その柔軟性は実際には重要です。目標は、すべてのデバイスを無差別にロックダウンすることではありません。. これは、ITチームと安全管理チームに、それぞれの環境において適切な判断を下すための情報と制御権限を与えるためのものです。.

これはあなたのネットワークにとって何を意味するのか

プロキシバイパスは、K-12ネットワークにおける他のあらゆる脅威カテゴリーを件数で上回っている。生徒たちが使用しているツールは高度で、広く共有されており、従来のフィルタリングを回避するように特別に設計されている。.

これに対処するには、ブラウザのアドレスだけでなく、ブラウザ内で実際に何が実行されているかを評価する、動作レベルでの検出が必要です。Lightspeed Filterに搭載されたLive Intelligenceは、まさにそのようなバイパス検出とブロック機能を提供します。.

現在のフィルターが主にURLまたはドメインの一致に依存している場合、抜け穴があります。そして、まさにその抜け穴こそがバイパス活動の温床となります。Lightspeed Filter™がどのようにバイパスの検出とブロックに対応しているかについては、こちらをご覧ください。 フィルターバイパス防止ページ。.