セキュリティ侵害を想定する:サイバーレジリエンスのベストプラクティス
かどうかという問題ではありませんが いつ 組織や個人がサイバースペースで侵害されます。そう信じているなら、あなたは最も重要な認知的一歩を踏み出したことになります。つまり、「侵害を想定し」、サイバー攻撃に耐えるレジリエンスを構築する準備が整っているということです。
しかし、もし、あなたが 違反を想定、人、プロセス、テクノロジーへのセキュリティ投資についての考え方にとって、これはどういう意味ですか?さらに重要なのは、侵害を受けても安全を確保するためにはどのような戦略を採用すべきかということです。2018 年 10 月 24 日、イルミオはワシントンDCでサイバーセキュリティ戦略および技術リーダーのグループを招集し、侵害の想定について議論し、サイバーレジリエンスのベストプラクティスを特定しました。
以下は、その日の主な調査結果の要約です。これらすべての賢い人々の話を聞きたい方は、ビデオにご期待ください。
重要なポイントトップ3
違反が想定される場合は、次のことを行う必要があります。
- 敵対的な考え方を取り入れましょう。
- ゼロトラスト戦略に従い、ネットワークをマイクロセグメント化しましょう。
- 組織のセキュリティ侵害管理を実践し、準備を整えましょう。
違反を想定:説明
違反を想定するということは、敵対的な考え方を身につけることを意味します。今日、国家の敵対者や犯罪組織には、サイバースペースであなたを攻撃するために辛抱強く取り組むのに必要な資金、人員、時間があります。セキュリティ侵害を想定するということは、自分が最も大切にしているものに対して、必ずしも予期できない方法で攻撃を受ける準備ができているということです。この仮定は、9月11日以降の私たちのDNAに根付いています。第四に 物理世界 — みんなが何か言えることを見かけたら — しかし、この概念はサイバーセキュリティの実践には反映されていません(データとインターネットの利用が急激に拡大したにもかかわらず)。
侵害を想定するということは、まず最も貴重でミッションクリティカルな資産を保護することを意味します。 敵対的なアクターがアドバンテージを得ようとするなら、何を企んで組織を盗んだり、操作したり、破壊したりするのでしょうか?データ漏えいを想定した場合、最も重要な任務を支えるデータを保護することに注力する必要があります。米国人事管理局 (OPM) の場合、2,150 万人の米国政府高官の記録が保存されていたのはデータベースでした。2018 年のシンガポールの医療機関である SingHealth のケースでは、150 万人のシンガポール人の健康データを保存していたのは、公衆衛生クラウド内のデータベースでした。米軍の核指揮統制企業の場合、米国の核抑止力を支えているのは衛星通信システムかもしれない。
データ漏えいを想定するということは、自分が大切にしているものの一部を失うことを計画し、データが漏洩したり劣化したりした状態で業務を行う準備をすることを意味します。違反が発生すると、ミッションの有効性に悪影響が及ぶ可能性があります。だからこそ、米軍は兵站と作戦の冗長化を図っているのです。弾道ミサイルとサイバー攻撃を組み合わせた攻撃から都市を守るには、パトリオット砲台が2つあれば十分かもしれないが、軍はレジリエンシーのために4つ設置してもよい。分散型サービス妨害攻撃またはマルウェア攻撃によって銀行が混乱した場合、銀行は 1 つのネットワークがダウンしても金融業務を継続できるように、冗長ネットワークに投資したほうがよい場合があります。
これらのシナリオを考慮しておけば、侵害後の状況を改善できます。
レジリエンス投資を行うことは、違反を前提とした論理的な結論です。それでも、これらは好ましくない前提です。子供の誕生後に生命保険を購入するのと同様に、最悪のシナリオを考慮しておけば、保険違反後のほうが有利になります。
ゼロトラストとマイクロセグメンテーション
ランダムに投資することはできません。資産を保護するための戦略が必要です。チェース・カニンガム博士は、セキュリティ運用とサイバー分析に関する米国の第一人者の1人であり、ゼロトラスト戦略を実施することにより、組織がレジリエンスを達成する計画を立てるのを支援しています。ゼロトラストは、ネットワーク内のユーザーはネットワーク外のユーザーほど信頼できるわけではないという考えに基づいています。彼が言うように、過去 10 年間に耳にした主要なサイバー攻撃の多くは、1 つの単純な問題によって支えられています。それは、データセンターはオープンで安全ではないということです。
侵入者が気付かれずにネットワーク内に留まるまでの平均滞在時間は 6 か月以上です。2014/15年の人事管理局のような安全性の低いデータセンターでは、中国人侵入者は完全に自由にアクセスできました。ネットワークに入ってくるデータを「何も信用せず、すべて検証する」のであれば、不正行為を防ぐためにデータセンターを内部から保護する必要があります。
新しいクラウドの世界では、昨日のツールでは不十分かもしれません。クラウドそのものと同様に、セキュリティへの投資も脅威とともに進化する必要があります。 マイクロセグメンテーション データセンターのあらゆる部分がどのように相互作用するかについてのポリシーとルールを設定します。これは新しいレイヤー、つまり新しいセキュリティスタックのレジリエンスの最後のレイヤーです。
セキュリティを侵害されずにセキュリティを確保するための準備
戦略的レベルでは、組織はさまざまな管理手段や非技術的手段を通じて侵害を想定し、混乱に備えます。トレーニングが重要です。国防総省内では、米軍は攻撃に備えるためだけでなく、サイバーベースの軍事作戦の完全な中断に備えて訓練を行っています。パトリオットの予備のバッテリーなどの冗長投資以外にも、パイロットとキャプテンは、攻撃を受けた場合に「盲目的に飛ぶ」ようにチームを日々準備しています。つまり、通信なしでF-35を飛ばしたり、グローバル・ポジショニング・システムを使わずに船を海上で操縦したりすることかもしれません。
同様に、企業は危機管理に必要な緊急プロセスを特定して、侵害に備えるプロセスを経る必要があります。最も重要なステップの 1 つは、事実を特定することです。事実がなければ、組織内でも外部でもうまくコミュニケーションをとることはできません。これは、侵害管理のためのプレイブックを作成し、テーブルトップ演習を実施してギャップや欠点を特定し、組織がイベントにどのように対応できるかを確認することに役立ちます。最高のテーブルトップは、組織のコミュニケーションシステムを変更し、データにアクセスせずにチームに対応することを強制するライブ演習です。最後に、組織は侵害について株主や社外の人々とどのようにコミュニケーションをとるかを実践する必要があります。
侵害を受けた後は、責任の所在を責めることと法医学的な判断を行うことがより簡単になります。投資するようリーダーに前もって働きかけるのは難しいです。 メンタルマップを変えて侵害を想定し、攻撃に耐えられるように人員とテクノロジーに投資し、時間をかけて混乱に備えてトレーニングを行うこと。しかし、少額の先行投資を行うだけで、国や組織は最悪のシナリオの発生を防ぎ、侵害を受けないセキュリティを確保することができます。