公開日

サイバー対応力の構築: 世界で最もサイバー対応力の高い組織の 5 つの特徴

著者

"世界で最もサイバー対応が整った組織の防御者は、この激しさに匹敵し、ゲームで敵を倒すために必要なものを備えています。彼らにとって、サイバー対応は静的な状態ではありません。それは、自社の立ち位置を把握し、あらゆることに備え、攻撃をシミュレートしてセキュリティ対策をテストおよび最適化し、脅威を迅速に検出して排除し、ビジネスへの影響を最小限に抑えるために迅速に対応して回復するという継続的な警戒です。

5 フェーズのサイバー ジャーニー これらの 5 つの定義領域にわたるサイバー対応組織の経験とベスト プラクティスを調査することは、サイバー セキュリティの取り組みに沿った戦略に情報を提供するのに役立ち、サイバー レジリエンスを積極的に構築し、ネットワーク内の攻撃を迅速に撃退できるようになります。

サイバー対応組織の 5 つの特徴

  1. サイバー対応組織は自分たちの立ち位置を把握している 「サイバー対応組織は、自社の環境でサイバー攻撃がどのように現れるかを知ることで優位に立つことができます」と、Sygnia のエンタープライズ セキュリティ ディレクターである Yossi Torati 氏は述べています。 「攻撃がいつ起こるかは分からないかもしれませんが、それがどこでどのように発生するのか、そしてそれがビジネスに与える潜在的な影響は知っています。」

進化し続ける組織のサイバー態勢とリスク プロファイルを真に理解できるかどうかは、デジタル環境全体を明確に見る能力にかかっています。サイバー態勢を詳細に評価すると、視野が広がり、次の重要な質問に答えることができます。

最も重要なことは何ですか?ビジネス継続性の維持、知的財産の保護、データ保護規制の遵守の確保など、答えは明白かもしれません。ただし、これを達成するためにセキュリティ計画を真に推進するには、多くの場合、IT 環境、資産、組織構造、ビジネス コンテキストを深く体系的に分析する必要があります。組織の最も重要な資産とプロセスを定義し、それをセキュリティ計画の優先順位に変換することは、サイバー対応を強化するための基礎です。

どのようなリスクに直面しますか?最新のメディア レポートや業界データベースを常に把握しておくことが重要ですが、攻撃者は MITRE ATT&CK フレームワークや NIST NVD を待っていません。進化する AI を利用した脅威、Azure AD Connect の新しい攻撃ベクトル、急増するビジネス メール侵害 (BEC) インシデント、新たなランサムウェア グループ、およびその間のあらゆるものに至るまで、現実世界の攻撃パターンと手法について、それらが公開される前に洞察する必要があります。サイバー態勢を強化し、防御戦略を優先します。何がわからないのか、そしてその不足している情報をどこでどのように入手するのかを知ることが重要です。

私の技術スタックの回復力はどの程度ですか?セキュリティ システムの構成ミス、設計上の欠陥、悪用可能な脆弱性などの弱点領域を明らかにすることで、攻撃者がそれらをどのように利用するかをより深く理解できるようになります。体制評価では、絶えず変化するデジタル環境による技術的なドリフトを特定することもでき、セキュリティ システムが継続的に最適化され、脅威を阻止して ROI を実現するために適切に機能していることを確認します。

組織変革はリスク プロファイルにどのような影響を及ぼしますか?現在のサイバー レジリエンスと、環境の変化が時間の経過とともに自分の姿勢にどのような影響を与えるかを理解する必要があります。たとえば、組織がクラウドに移行するにつれて、新しい取り組みごとに攻撃ベクトルが導入され、新しい ID およびアクセス管理 (IAM) 制御、ネットワーク セグメンテーションの変更、コンプライアンスの考慮事項、強化された可視性要件、専門的な知識とスキルが必要になります。おそらく、合併や買収など、会社の重要なマイルストーンが近づいているのではないでしょうか。ターゲット企業のサイバーセキュリティ体制を理解することは、集団環境を保護し、予期せぬ金銭的支出、訴訟、風評被害を回避するために重要です。

現在のサイバー レジリエンスと、環境の変化が時間の経過とともに自分の姿勢にどのような影響を与えるかを理解する必要があります。 サイバー態勢を強化するには、何を優先順位で行う必要がありますか?サイバー セキュリティの体制を深く理解することで、重大なギャップを迅速に埋め、大きな影響を与える改善に向けた長期的で戦略的なロードマップの作成に集中できます。戦略的パートナーは、投資の最大化を支援しながら、このプロセスをガイドします。一般的な考えに反して、Sygnia 専門家の経験に基づくと、組織は現在のテクノロジー スタックを最適化することで、理想的なサイバー回復力を約 80% 高めることができます。

戦略的パートナーは、投資の最大化を支援しながら、このプロセスをガイドします。 2. サイバー対応組織は、あらゆる事態に備えて準備を整える サイバー対応の組織は、火のような危機が起こるのを待って計画を立てることはありません。ストレス レベルが急上昇し、コミュニケーションが崩壊し、Sygnia のグローバル クライアント リーダーシップ担当シニア バイスプレジデントであるアダム フィンケルスタイン氏がよく目にするように、このような事態が発生する可能性が高いのです。土曜の夜、まったく予想もしない時間帯にね。」

「あらゆる組織が攻撃されるだろう。 「いつ」準備するかを待ってはいけません」と彼は続けます。

計画を立てたら、作業は終わりではありません。 「準備とは、決定的な瞬間のために何年もトレーニングを続けるオリンピック選手のように、組織として筋肉の記憶を構築することです」とフィンケルシュタイン氏は言います。 「あらゆるレベルで練習するという決意があれば、どんなことにも備えることができるのです。」

最近の攻撃傾向は、事前の計画と目的に合ったインシデント対応戦略の必要性を浮き彫りにしています。 2023 年に記録を打ち破った後、ランサムウェア グループはデータ暗号化から窃取への移行を続け、利益を増やすために二重、三重の恐喝スキームで敷金を引き上げています。また、MOVEit にヒントを得た大量エクスプロイトを実行するためにゼロデイ脆弱性にも焦点を当て、サプライ チェーンやサードパーティへの攻撃を強化し、ネットワーク内に侵入して既存の認証メカニズムをバイパスするために初期アクセス ブローカーに大きく依存しています。

このような攻撃は避けられませんが、今日のデータ侵害の平均コストである 445 万ドルの損失は避けられません。

堅牢でよく実践された計画は秩序と構造を提供するため、攻撃が阻止される前に攻撃を阻止するための適切なチームとフローの準備を整えることができます。

「サイバー事件の後は、終わったばかりの戦争を戦うための計画を適応させようとする本能が働きます」とフィンケルスタイン氏は言います。 「これは重要ですが、知っていることだけを準備するのは想像力の欠如です。サイバー攻撃者は継続的に反復、適応、進歩を繰り返すため、あなたもそうしなければなりません。サイバーへの備えは積極的な警戒であり、常に前向きで未来志向です。」

ランサムウェア対応プレイブックを作成する 3 つの理由 公平な視点と現実世界の専門知識を備えたテクノロジーにとらわれないパートナーは、高度にカスタマイズされた柔軟な計画を設計するのに役立ち、組織がどのような課題に直面しても、サイバー対応を整えて危機に打ち勝つことができます。

1 オンスの予防は、実に 1 ポンドの治療に匹敵します。 Gartner は、2026 年までにセキュリティ資金の少なくとも 20% を復元力と柔軟な設計プログラムに投資する組織は、大規模な爆発攻撃が発生した場合の総復旧時間を半分に短縮できると予測しています。

あらゆる組織が攻撃されるでしょう。 「いつ」準備するかを待ってはいけません。穏やかな時に戦略を立てる。 3. サイバー対応組織は攻撃をシミュレーションしてセキュリティ対策をテストし、最適化する 歴史と経験は、計画を実戦テストすることが、計画を素晴らしいものにして会社の構造に織り込む唯一の方法であることを教えてくれました。

Sygnia の取締役兼執行役員兼サイバーサービス取締役である Chris Crummey 氏は、インシデント対応計画をテストし、サイバー対応を構築するためにシミュレーションがいかに重要であるかを説明するために、よく「ハドソン川の奇跡」を引き合いに出します。

どのフライトにも共通しているのは、安全に関する説明です。しかし、2009年1月15日、USエアウェイズ1549便はラガーディア空港を出発した直後に鳥の群れに衝突し、すべてのエンジン出力を失った。経験豊富で機転の利く運航乗務員のおかげで、飛行機はハドソン川に安全に着陸し、全員が生き残りました。しかし、乗船していた 155 人のうち、救命胴衣を着用していたのは 4 人だけで、正しく着用していたのは 1 人だけでした。このため、企業は主要な利害関係者の役割と責任に対する確信を高めるためにシミュレーションを継続する必要があります。

攻撃シミュレーションでは、組織が考えられる最悪の日を経験できるため、何が素晴らしいかを理解できます。 「攻撃シミュレーションでは、組織が考えられる最悪の日を経験できるので、何が素晴らしいかを理解できます」とクラミー氏は言います。 「自分の能力を実弾の下に置くことで、リスクに基づいた意思決定が促進され、『身代金を支払うべきか支払わないのか』や『重要性をどのように判断し、身代金後に SEC の厳しい報告要件を満たすにはどうすればよいか』など、限られた情報で難しい質問に取り組むことができます。」シミュレーションによってギャップや強みも明らかになり、セキュリティ対策を戦略的に最適化できます。最も重要なことは、利害関係者の調整に役立ち、サイバー対応が完全なビジネス対応であることを保証することです」と彼は続けます。

広く受け入れられている 70:20:10 の学習および発達モデルは、人間の学習の 70% が経験によるものであることを示唆しています。裏付けとなる研究では、アイデア発想、没入、ゲーミフィケーションなどのアクティブ ラーニング手法により、知識の保持と能力が大幅に向上することが示されています。集中的なレッドチームやパープルチームなど、技術チームとの実践的なシミュレーションは、理論と実践の間のギャップを埋めるのに役立ちます。同様に、テーブルトーク ウォーゲームは、経営者やセキュリティ リーダーが一か八かの危機に備えるのに役立ちます。

独立したテスト チームは、現実世界の環境で厳しいテストを経て、客観性と厳格な思考をもたらします。従業員が自分自身を高め、スキルを磨くための安全で管理された環境を提供することで、手順知識が本能となり、実際のインシデントが発生したときにより迅速な対応と回復が可能になります。

インシデント対応戦略、アーキテクチャ、運用モデルを外部から見てみると、取り組みを妨げる固有の偏見や欠陥が明らかになる可能性もあります。たとえば、仮想化テクノロジは、防御計画やテストにおいて見落とされることがよくあります。しかし、Sygnia はここ数カ月間、ESXi サーバーを利用したランサムウェア攻撃の急増を観察しており、攻撃者がこれらの盲点を利用して有利に進めていることを示唆しています。

攻撃シミュレーションは必ずしも快適であるとは限りませんが、サイバー対応を構築し、現実の脅威に対する能力を高めるには不可欠です。

グローバルなサイバーセキュリティシミュレーションから得た重要な教訓。 4. サイバー対応組織は脅威を迅速に検出して排除します 現在、攻撃者がネットワークに潜んでいます。彼らは最も機密性の高い資産やシステムに完全にアクセスでき、セキュリティ防御を回避し、実際のユーザーになりすまして隠れることができます。手遅れになる前にそれらを見つけるためのスキル、ツール、フォレンジック データの洞察はありますか?

悪名高いSolarWinds侵害(同社のソフトウェアに侵入し、多数の政府機関やフォーチュン500企業に影響を与えた高度なサプライチェーン攻撃)により、誰もがこの問題と広範なサードパーティへの依存関係について検討する必要がありました。 3 年以上が経過した今でも、侵害の特定には平均 204 日かかっています。脅威データが不足しているためではありません。実際、リソースが不足しているセキュリティ チームのほとんどは、アラートの多さに圧倒されています。

時間が経つにつれて、攻撃者は進化し続け、次のような検出を回避するためのよりステルスな方法を採用しています。

ダイナミック リンク ライブラリ (DLL) サイドローディング。悪意のある DLL ファイルをシステムに配置し、正規のプログラムがそれを自動的にロードします。 対象となる Web アプリケーションにバックドアを確立する Web シェル攻撃。 ファイルレス マルウェア攻撃。悪意のある目的でネイティブ ソフトウェア ツールを使用し、攻撃者がコードをインストールする必要はありません。 LOLBins (living off-the-land binaries の略) は、ファイルレス攻撃手法としてますます人気が高まっています。 オープンソース ソフトウェアの悪用。トンネリング、漏洩、リモート接続に広く使用されているツールを利用します。 サイバー対応組織は、自社に有利にスケールを移行するには、最高の人材とテクノロジーを採用して可視性を高め、進化し続ける脅威と闘い、攻撃を阻止する総合的なセキュリティ アプローチが必要であることを認識しています。ここで、サイバー犯罪との戦いにおいて、管理された拡張検出および対応 (MXDR) が重要な役割を果たします。マネージド XDR は、人工知能と機械学習によって強化され、手動のセキュリティ タスクを自動化し、より深い洞察を可能にし、修復作業を加速します。

Gartner によると、組織の 57% が XDR 戦略を導入した後、セキュリティ脅威をより迅速に解決できるようになりました。

多くの組織は、脅威の監視、検出、対応機能を統合し、ネットワーク、クラウド、OT、エンドポイント、その他すべてのものを単一の画面で企業全体の可視化を可能にするフルマネージド XDR サービスに注目しています。このアプローチでは、アラートがトリガーされると、組織のすべてのデータ ソースからのすべてのデータ タイプが自動的に 1 つの統合されたコンテキスト化されたアラートに関連付けられ、比類のない広さと深さの調査が推進されます。

67% の組織が、問題の防止とトラブルシューティングに必要なサイバー セキュリティ スタッフが不足していると報告しています。 しかし、それは単なる始まりにすぎません。 「セキュリティ運用では、コンテキストがすべてであり、サイバー対応を構築する鍵となります」と Sygnia プロダクト マネージャーの Keren Katz 氏は述べています。 「脅威データは、新たな脅威に関する現実世界のインシデント対応データを継続的に統合し、お客様の環境に合わせてカスタマイズされ、シームレスに配信され、利用される専門家による軽減策の推奨事項と組み合わせることで、真に実用的なものになります。」

グローバルなサイバー専門知識と高度なマネージド XDR の相乗効果により、フォレンジック収集が迅速に行われ、監視から対応までのシームレスな移行が可能になるため、攻撃をより迅速に阻止できます。最も効果的な MXDR 製品は、すぐに使用できる統合機能を備えており、迅速な保護と価値実現までの時間を短縮します。また、24 時間体制の監視とサポートにより、社内の SOC チームの雇用、トレーニング、維持は不要になります。

サイバー セキュリティの取り組みにおいて、卓越した技術と最前線の専門知識を融合する先進的なパートナーは、既知の脅威と新たな脅威に対する平均検出時間 (MTTD) と平均対応時間 (MTTR) を短縮し、継続的な高保証と安全性を確立するチームを支援します。警戒 - 同時に内部セキュリティの負担とオーバーヘッドを軽減します。

セキュリティ運用ではコンテキストがすべてであり、サイバー対応を構築する鍵となります。 5. サイバー対応組織は迅速な対応と復旧に向けて行動を開始します あなたは攻撃を受けています。それで?ビジネスへの影響を最小限に抑えながら問題を解決し、回復するために、最初の数時間で行う決定と手順は非常に重要です。

Sygnia のインシデント対応専門家である Ori Porag 氏は、「攻撃者は圧力ビジネスに携わっているため、時間は刻々と過ぎており、一分一秒を争っています」と述べています。 「彼らは、時計をセットして要求がスケジュール通りに満たされない場合、ファイルを公開したり、暗号化キーを紛失したりするなどの措置を講じると脅して、熱を高めることがよくあります。」

あなたはこの瞬間のために準備をしてきました。あなたは自社のサイバー態勢を完全に理解しています。堅牢で厳密にテストされた計画が用意されており、全員が自分の役割と責任を明確に理解しています。あなたは、実戦で証明された敵対者の考え方を理解し、脅威を迅速に検出しました。あなたは準備ができています。しかし今は、多くのことが同時に起こらなければなりません。あなたも、世の中の多くの組織と同じように、迅速に対応して攻撃を阻止し、組織がビジネスに与える影響をできるだけ少なくするために必要な社内チーム メンバーやツールをすべて持っているわけではありません。

今後 2 ~ 3 年間のサイバー インシデントに対応するために必要なツールと人材が組織にあると考えているセキュリティ専門家は 52% のみです。 ここでは、経験豊富なインシデント対応チームが不可欠です。あなたが集中して計画を立てている間、次のような複数の並行ワークストリームを管理してインシデント解決を加速できます。

危機管理。危機を通じて経営幹部を専門的に指導し、すべての利害関係者と効果的にコミュニケーションをとり、試練の間中法律、規制、広報、社内の取り組みをサポートします。 封じ込め。環境内の影響を受けていない領域を手つかずのままにし、攻撃者の手が届かない状態に保ちます。 熟練したトリアージと調査。最初の侵入ポイント、攻撃のキルチェーンと侵害の範囲、攻撃者のツールと戦術、現在の脅威レベルを特定します。 戦術的な交渉。プレイヤーと攻撃者の間の連絡役として機能します。これにより、貴重な時間を獲得し、敵の目標に光を当てることができ、敵の煙幕を見破って調査と対応に集中できるようになります。

「安全なアイランド」環境を使用して、復旧までの時間を短縮し、ビジネスをより早く再開するための初日の修復作業。 カスタマイズされた脅威監視により、追加の悪意のあるアクティビティや再侵入の試みが確実に検出され、即座にブロックされます。 高度に組織化されたインシデント対応アプローチにより、世界最大規模の組織の一部が大規模な攻撃から正常に回復することができました。最初の侵害から 2 週間以内に、麻痺を引き起こす PYSA ランサムウェア攻撃から完全に回復した世界的な製造会社を考えてみましょう。そして、大手通信プロバイダーは、半年間にわたって自社を包囲してきた企業スパイ活動を中止した。最後に、この大手仮想通貨取引所は、そのセキュリティ慣行を徹底的に見直す国家攻撃の標的となり、現在、ますます標的が絞られているこの分野で他の金融機関のモデルとしての役割を果たしています。

犯罪組織、国家支援の攻撃者、悪意のある内部関係者に直面している場合でも、信頼できるアドバイザーがそばにいてくれると、危機時でも平穏な時でも、一か八かのサイバー課題を乗り切り、危機を乗り越える自信が得られます。より強く。

サイバーの準備はできていますか? サイバー対応組織とは、サイバー セキュリティに挑戦する可能性のあるあらゆることに最もよく備えている組織です。これは、積極的にサイバー防御を強化する人々、攻撃の影響をシームレスに管理できるパートナーとの関係を築いている人々、そして積極的な警戒と準備の状態を維持する人々を定義します。

サイバーに備えるために休むことはできませんが、私たちも休むことはできません。 2 人の攻撃者がまったく同じ動作をするとは考えていません。私たちは、昨日の攻撃が明日も同じようになるとは考えていません。私たちは、テンプレート化されたアプローチに頼ったり、自動的に標準ソリューションをデフォルトにしたりしません。そして、私たちは方法を見つけるまで立ち止まりません。"

日本語版は Ai 支援を使用しているため、小さな間違いが存在する可能性があることをご了承ください。 サイバー対応力の構築: 世界で最もサイバー対応力の高い組織の 5 つの特徴

著者

Ai Base Network (ABN), ABN ASIAは、アカデミアに深く関わり、アメリカ、オランダ、ハンガリー、日本、韓国、シンガポール、ベトナムでの仕事経験を持つ人々によって設立されました。ABN ASIAは、学問とテクノロジーが機会と出会う場所です。最先端のソリューションと優れたソフトウェア開発サービスにより、ビジネスがレベルアップし、グローバルシーンに挑戦できるよう支援しています。 私たちの取り組み: より速く。 より良い。 より信頼性が高くなります。 ほとんどの場合、価格も安くなります。

いつでも、ITサービス、デジタルコンサルティング、既製のソフトウェアソリューション、または提案依頼書(RFP)をお探しの際は、お気軽にお問い合わせください。お問い合わせ先は[email protected]です。お客様のテクノロジーに関するニーズにお応えします。

ABNAsia.org

© ABN ASIA

Twitterで議論するGitHubで表示する

共有: