A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
後からではなく今すぐスパイラル:ランサムウェアへの備えを再考する
Season Two
· Episode
11

後からではなく今すぐスパイラル:ランサムウェアへの備えを再考する

このエピソードでは、ホストのRaghu Nandakumaraが、マイクロソフトの脅威インテリジェンス戦略担当ディレクターであるSherrod DeGrippo氏に話を聞き、進化するサイバー脅威の状況と、ランサムウェアに直面したときのレジリエンスの重要性について説明します。脅威アクターの戦術の変化、現代のサイバーセキュリティにおけるゼロトラストの重要な役割、サイバー防御と攻撃の両方に対する AI の影響の増大について論じています。Sherrod氏はまた、セキュリティにおける客観的評価と主観的評価のバランスを取る方法についての洞察も共有し、強力な評価が必要であることを強調しています。 基本的な慣行とオペレーショナル・レジリエンス

トランスクリプト

00:05 ラグーナンダクマラ

ザ・セグメント:ゼロトラスト・リーダーシップ・ポッドキャストへようこそ。私はあなたのホスト、ゼロトラスト・セグメンテーション企業Illumioの業界ソリューション責任者であるRaghu Nandakumaraです。今日は、マイクロソフトの脅威インテリジェンス戦略担当ディレクター、シェロッド・デグリッポが加わりました。

シェロッドは、2022年にサイバーセキュリティウーマンオブザイヤー、2021年にはサイバーセキュリティPRスポークスパーソンオブザイヤーに選ばれました。それ以前は、Proofpointで脅威調査および検出担当副社長を務め、脅威研究者、マルウェアリバースエンジニア、脅威インテリジェンスアナリストからなるグローバルチームを率いていました。サイバーセキュリティにおける彼女のキャリアは19年間に及び、それ以前はNexumでレッドチームサービスを主導、シマンテックのシニアソリューションエンジニア、SecureWorksの上級セキュリティコンサルタント、国家核安全保障局の上級ネットワークセキュリティアナリストなどを歴任してきました。

この対談では、ランサムウェアに対するレジリエンスの重要性と、セキュリティの基本事項に加えて、攻撃者と防御者の両方に対するAIの影響についても強調しています。この会話では、実用的な脅威インテリジェンスとセキュリティにおける人的要素の必要性が浮き彫りになりました。

しかし、エピソードに入る前に、イルミオから一言。[広告スポットを挿入]

シェロッド、まず、会話を始める前に、今日お話しできてとてもわくわくしています。おもしろいことに、それはまったくの偶然でした。そのための準備として、あなたの最近のポッドキャストのエピソードをいくつか聞いていて、ちょうど先週、BBCが作ったLazarus Heistのポッドキャストをもう一度聞くことにしました。きっと皆さんもよくご存知でしょう。だから、あれは偶然だと思った。そして、この2晩それを聞いた結果、インタビューに出て、それから眠りに落ちました。だから、その映画に飽きたのか、あまり良くなかったのか、もっと詳しく書いてあるけど、とにかく、あなたと話せて本当に嬉しいよ。それでは、ご参加いただきありがとうございます。

02:14 シェロッド・デ・グリッポ

ありがとうございます。呼んでくれてありがとう。ご存知の通り、皆さんのメディア消費からも分かるように、北朝鮮は本当にゲームに参入しつつあります。彼らは我々がこれまでに見たことがないようなやり方で取締役会に加わっている。ここ数ヶ月の間に、北朝鮮はいくらかポイントを獲得している。

02:28 ラグーナンダクマラ

もちろんです。今日の会話のどこかでそれについてお話ししたいと思います。しかし、これらのポッドキャストでよくあることですが、テープを巻き戻して、キャリアのすべてが始まった場所に戻って、最終的には今日の役割で何をしているかに戻ってみましょう。

02:48 シェロッド・デ・グリッポ

承知しました。つまり、私が14歳の時に始まったと思います。本当に、私は14歳でした。90年代初頭の話で、10代前半のすごくかっこよかったから本を読んだんだ。スケートボード雑誌の「スラッシャー」、「スラッシャーマガジン」という雑誌を読んだんだ。そしてある月、『スラッシャー』誌の裏に、「スラッシャーBBS(掲示板システム)に電話して」という小さな広告があって、そこには電話番号が載っていました。それで、ご存知の通り、私は父のところに行きました。父は大手のハードコア・コンピューターで、スーパーコンピューターはダメでした。そして私は言いました。「お父さん、これをBBSにしたいんだけど。私は何をすればいいの?」そして彼は言いました。「ええ、モデムがあるから、セットアップできるし、BBS に電話できるようにしてあげよう。」BitFaxビットモデム、つまりWindows 3.1のアプリやアプリケーションを使っていたときのことをとても鮮明に覚えています。彼が「ANSIをオフにしよう」と言ったのを鮮明に覚えています。それは必要ありません。」だから本質的に、彼は非常に早い段階でグラフィック・ビューイングを私から遠ざけました。まるで、14歳の娘がこれらの画像を見る必要はないみたいな感じです。ただスラッシャーの掲示板に電話して、毎日放送されていたんだ。そして、約1か月後、父が「シェロッド」と叫びました。「ああ、困ってるんだ」って思ったんだ。300ドルの電話代がかかってきた。聞いている若者には、長距離電話の料金を支払わなければならず、Thrasher BBSは私にとってローカルではなかったので、1分あたりの料金がかかりました。父はそれが気に入らなかったので、ちょっとおかしくなってしまいました。最初は自分が変人だと思っていました。つまり、ラインマン用のハンドセットを持っていたのです。ベージュのボクシングみたいなことをしたんだけど、色んなものを見せてくれてとてもワクワクしている人にたくさん出会った。結局、大学時代にショッピングモールで働いていて、十分なお金を稼げなかったのですが、キャンパスで「AT&Tで働きなさい」と書かれたポスターを見ました。それで、大学時代にAT&Tで働き始め、そこから技術系の仕事に就き続け、早くからISPの仕事に就きました。私のキャリアはおそらく2000年から2001年までで、そのISPはハッキングされました。ISP のクライアントの 1 人がハッキングされ、「この問題を解決してほしい」と言われました。ご存知のとおり、それはデータセンターでした。そこで、彼らの1回限りの用途とサーバーをすべて引き出し、会議室のテーブルに積み上げ、ホワイトボードで追跡したところ、「仕事に行くよ」と思いました。この仕事は私がやるつもりです。あの頃はインシデント・レスポンスと呼ばれていなかったんだ。そして、ハッキングチームがハッキングしたのは、脆弱な PHP BB インストールでした。彼らはバックグラウンドで再生しているMP3ファイルをたくさん置いたり、単にWAVEファイルを再生したりしていました。とてもプリミティブだったみたいに。そこで私は「セキュリティをやりたい」と思ったんです。物を守りたい。これがどのように機能するのか知りたいです。ハックしたい。物を守りたい。その後まもなく、私は最初の本当の安全保障の仕事に就きました。エネルギー省の一部である国家核安全保障局で働きました。それがきっかけで、私のネットワークセキュリティへのこだわりが芽生えました。私はネットワークセキュリティに夢中になっています。それに、結構長い間、それをやってたんだ。それほど長くはありませんでしたが、その後ベンダーに行って働きました。だから私は過去18年間のキャリアをセキュリティベンダー、シマンテック、セキュアワークス、ネクサム・プルーフポイント、そして現在はマイクロソフトに捧げてきました。ベンダースペースが大好きです。

06:19 ラグー・ナンダクマラ

素晴らしい。つまり、Thrasher誌からマイクロソフトの脅威情報戦略責任者への話はかなりの量です。それはおそらくキャリアパス、あるいは人生の道であり、90年代初頭に尋ねられたら、決して計画することはできなかったでしょう。

06:37 シェロッド・デ・グリッポ

BBSとIRCが私を形作った。BBS IRC とライブジャーナル。これらは確かに私のオリジンの基盤です。その理由のひとつは、私が幼い頃から、父がいつも「学ぶべきことは何でも本があって、その本を手に入れ、本から学べば、何でもできる」と言っていたからだと思います。そして、彼が私の最初の車を買ってくれたとき、彼は私の車に付属していたチルトンのマニュアルを買ってくれました。彼は言いました。「あなたは車を持っていて、今はその車に合う本を持っていて、車を修理することができます。」それで、私はそれをちょっと持って行きました。学ぶべきことは何でも、入ることができる IRC チャンネルがあります。誰かが助けてくれたり、何かを教えてくれたりします。今でも本当にそう思ってる学ぶ必要があることは何でも、本を見つけたり、その人を見つけたり、リソースを見つけたり、学んだり、実行したりすることができます。

07:30 ラグー・ナンダクマラ

今のIRCチャンネルをあなたが持っているRedditに置き換えましょう。そうですね、情報源や知識はあります。それで、あなたはその事件のことを話したんですね。あなたはISPで働いています。クライアントの1人がハッキングされました。あなたは実質的に彼らのインフラストラクチャ全体をラックから取り出し、テーブルに置いて、「これから解決するよ」と言いました。そのプロセスを一歩踏み込んで、攻撃者の性質、行動、動機について何を発見したか、などを話してください。

08:06 シェロッド・デ・グリッポ

うん。そして、それは私にとっても本当に重要な瞬間だったと思います。そこで私は、非常に初期の段階からクラウド機能を冗長化していたこのISPで働いていました。一番下にオフィスがあり、データセンターは2階にありました。寒かったので、そこに行くのは嫌だったんですね。データセンターに行ったことがあるなら、データセンターで働く人は皆、自分の机にコートを着ていて、データセンターに行くときにそれを着ていると思います。私も同じです。それに、そこに行くのも好きじゃなかった。ちょっとね。ラッキングは好きじゃないし、ラックに物を置くのも好きじゃない。面倒で嫌な感じがする。彼らがそこに入ったら、私は行ってもいいよ。しかし、サーバーをラックに入れるのは好きではありません。このお客様には3台の1Uがあり、当時はかなりの導入作業でしたが、このお客様には1Uが3つありますよね。2000 年代初頭、データセンターに 3 台の 1U が冗長化されていました。これは驚くべきことです。だから全部取り出さなきゃいけなかったんだ。カートを持ってたよ。データセンターで働いたことのある人なら誰でも経験したことがあるでしょう。高床の作業をしたことがある人なら、私が何を言っているか分かるでしょう。カートに乗りなさい。ドリルを取り、ラックからネジを外します。これらの巨大で長いサーバーを引き出すのは非常に扱いにくいです。落とさないことを願って、カートに積み上げたり、カートをエレベーターに降ろしたり、机やオフィスに置いたりします。机の上に1Uを持っている人を見かけたら、その人は困っています。彼らはひどい問題を抱えている。それで、それが私だった。会議室があって、「よし、これから考えてみるよ」って言ったんだ。そこで、すべてをモニターに接続して、ログを確認し始めました。これは、今日のほとんどのインシデント対応担当者が本当に得意としている超能力だと思います。彼らは重要なログを理解しています。そして、この会社は小規模ビジネスであり、当時はこのような小規模企業にとっては巨大で巨大なウェブプレゼンスだったことがわかりました。そして、「うわー、このビジネスはかなり進んでいる」と思いました。顧客が質問できるように phpBB を用意し、マニュアルページなどいろいろ用意しています。調べ始めたところ、このバージョンの phpBB が古いことがすぐにわかりました。そして、「ああ、これは本当に古いね」と思いました。そして、phpBB には、動作を継続させながらスプラッシュスクリーンが表示されるように置き換えられるファイルがいくつかありました。それこそが、ご存知の通り、私は彼らを脅威アクターとは呼びたくありません。たぶんティーンエイジャーのグループだったと思います完全に帰属させることはできないけど、彼らはイラン人だったと思う。「ハッキングチームにハックされた」と張り切っていました。バックグラウンドで音楽が流れ、あちこちにGIFが浮かんでいて、最後には叫び声と挨拶という今日まで私の心にとってとても大切なものがありました。一番下には、シャウトとグリート、そしてハッカーのようなハンドルがたくさんあります。その当時は、他のハッカーが邪魔をしてくれたおかげで、自分が好きなウェブサイトを改ざんするのが非常に一般的でした。私は叫び声と挨拶を大いに信じています。それが人生の基本理念だと思います。そこにたどり着くのを助けてくれた人々に感謝します。ハッキングするときは必ずしもそうしないでください。しかし、そうですね。敵対的なグループや敵対的な人々の動機は、必ずしも本当に理解できるものではないことを本当に学びました。私が言うのは、ご存知の通り、多くの人がこう言うでしょう。「なぜ脅威アクターはこんなことをしたのか?彼らの狙いは何?彼らの動機は何か?」実際、これに対する私の反応は、脅威アクターの心の真実は決してわからないということですよね?推測も推測もできると思いますが、結局はわかりません。この人は家族を養おうとしてるからこんなことをしているんですか?BEC(ビジネスメール詐欺)や豚肉処理をしているからでしょうか?人身売買の状況にあり、命の危険を感じているからでしょうか?それは彼らが本当に悪い人で、他人を傷つけたいからでしょうか?彼らはお金だけが欲しいのに、ワイルドで頭がおかしいの?それを本当に知ることはできない。そして今回は、phpBBのオープンディレクトリで、彼らが見つけて探したのは、ちょっと楽しかったと思います。

12:28 ラグーナンダクマラ

その話は、私が共感できるレベルがたくさんあると思います。データセンターと高層階での作業のようなものについて話しましょう。確かに、それは私のキャリアの初期の頃に戻りますが、あなたはラックから物を取り出すようなものについて話していて、何よりも何も足元に落とさないことを望んでいるようなものですよね?それは本当の恐怖でもあり心配でもありました。

12:52 シェロッド・デ・グリッポ

または、タイルを引っ張るには巨大な吸盤を使わなければなりません。

12:55 ラグー・ナンダクマラ

ああ、そうだね、やったよ。データセンターの周りに座って、足が下の空洞にぶら下がっていて、ラック内の設定や設定をしている最中でした。そして、あなたが挙げた例は、これらの潜在的に脆弱性を悪用しているようなものですよね?そしてこの場合は PHP で。他のポッドキャストを見てみると、あなたは最近ゲストとして出演していたと思いますが、侵入の 98% は基本的なセキュリティ対策で対処できるとおっしゃっていましたよね?パッチ適用は、そうした重要なセキュリティ対策の 1 つだと思います。ここで私が考えているのは、座って攻撃が成功する理由を見てみると、攻撃者は最終的にこれらのセキュリティプラクティスの1つまたは複数の過失を悪用して広めることが何度もあるように感じます。それで、あなたの意見では、私たちはこれらや基本を十分に重視していると思いますか、それとも私たちは規律として、新しいピカピカのおもちゃに夢中になりすぎていると思いますか?新しいピカピカ機能とは?そして、基本を見失ってしまった、あるいは基本があまりにも退屈すぎるかもしれない。

14:10 シェロッド・デ・グリッポ

基本が大好きです。私は基本を信じています。というのも、私はブルース・シュナイアーのエド・スクーディス・スクール・オブ・セキュリティで育ったようなものだからです。私は基本を信じています。というのも、セキュリティは不安を抱えている人が非常に惹かれるものだからです。

そして、基本を理解できれば、通常は少し気分が良くなります。そして、正直なところ、結局は、十分な不安を抱えている組織が十分ではないということだと思います。この業界の専門家にとって、心配は十分ではなく、生産的な臨床不安も十分ではないと思います。私たちはピカピカのおもちゃに気を取られてしまい、基本はつまらないものだと思っていると思います。しかし、完全な資産インベントリがあることを知っているように感じることには、完全性と満足感があると思います。たとえば、それらのことを完了させる必要のある人を見つけてチームに参加させ、彼らにはそれらが必要だと強く感じるようにします。また、ご存知のとおり、基本だけでは必ずしも実行できないことの 2% について、そしてそれをどのように処理するかについて、私たちは十分に考えていないと思います。私にとって、特に現在のランサムウェアの流行では、セキュリティにおいて本当に欠けていることの 1 つは、テーブルトップではなく、事前の意思決定のようなものだと思います。身代金を要求された場合、身代金を支払うことになるのでしょうか?そして多くの人がスパイラルになり始めて、「待って、今スパイラルになりたいのか?」それとも、実際に身代金が要求されているのにスパイラル状態になりたいのか?さあ、スパイラルしよう。その心配を今済ませて、将来何かが起こった場合に備えましょう。私たちはそれだけでは十分ではないと思います。もっと多くの決定が事前に下され、紙に書き留められることを望んでいます。そうすれば、何かが起こるまでに、経営幹部、技術リーダー、セキュリティ分野の専門家が、文字通り同じ認識を持つことができます。これは、多くのインシデントで発生しているとは感じていないことです。

16:21 ラグー・ナンダクマラ

さて、話を戻しますが、あなたが一瞬で指摘した「不安の欠如」の指摘です。しかし、ランサムウェアの質問について話しましょうね。シェイクスピアの言葉を借りれば、ランサムウェアです。お金を払うか払わないか、それが問題です。

私はそれが大好きです。大好きです。

はい、ソーシャルカットでそれを使います。つまり、私たちは時々、例えば世界中の政府をピックアップするような新しいコメントを求められます。「ねえ、ランサムウェアによる支払いを違法にしたいのよね?そして、あなたはどう思いますか?」そして、コメントが、まあ、オーケー、そうなるよ、それは素晴らしいことだよね?ランサムウェアの内容、ランサムウェアが引き起こす可能性のある要因などが原因ですが、実際的な観点から考えると、すべての組織でそれが可能であるとは限りません。それは、支払いをするか、遅かれ早かれ事業を再開するか、または単に「まあ、実際にはできない、お金を払う余裕はないが、同様に適切に回復するスキルがない」と言うかの選択だからです。それでどこに座るの?それは簡単な、二者択一の決断ではないと思うからです。

17:38 シェロッド・デ・グリッポ

いいえ、それは間違いなく簡単な決断ではありません。だからこそ、私はランサムウェア・レジリエンス・プランニングを強く信じているんだと思います。そして、マイクロソフトはランサムウェアのレジリエンスに関する素晴らしいガイドをリリースしました。組織はこのガイドを参考にして、ランサムウェアに対するレジリエンスの評価だけでなく、レジリエンスの構築にも役立ちます。人々が「ランサムウェアによる支払いを違法にする」と言うときの私の質問です。それに対する私の当面の質問は、違反した場合の罰は何かということです。つまり、組織は身代金を要求され、身代金を要求されないようにするためにお金を払っています。そして今度は、罰金を科して罰することになると思います。そしてその時点で、それはまた以前とは別の関連性によるリスク計算になります。今やリスク計算は、脅威アクターにお金を払ってデータを取り戻すこと、そしてそのために政府に罰金を払わなければならないことに対して行われています。それが必ずしも大成功で満足のいく抑止力になるかどうかはわかりません。技術者として、私たちはもっと多くのことをしなければならないと思います。こういったことがたくさんあって、私たちを救いに来る人はいないと思います。テクノロジー、組織、そして人々をランサムウェアに対して回復力のあるものにする必要があると思います。法律や法令が制定され、ある種のランサムウェアのスーパーヒーローが現れてすべてを修正するだろうとだけ言うことはできません。おっしゃるように、これは非常に複雑な問題であり、レジリエンスの向上に取り組み、そのような事態に備える以外に、必ずしも答えがあるとは思いません。ご存知の通り、犯罪と自分の仕事に重点を置くと、ほとんどの人が本当に理解していると思うのとは違うルールで運営されています。

19:17 ラグーナンダクマラ

その回答の中で、レジリエンスという言葉を何度も言及しましたが、それはレジリエンス、オペレーション、レジリエンス、サイバーレジリエンスであり、最近非常に話題になっています。今では、サイバーカンファレンスがゼロトラストのようなものから AI に焦点が当てられていて、今ではレジリエンスがすべてになっているようなものだと思います。でも、それを、不安の欠如についてあなたが言った他のことと結びつけたいと思います。ランサムウェアのレジリエンス向上のための文化を醸成するにはどうすればよいのでしょう?不安のレベルが本来あるべきレベルに達していないとしたら、どうすればランサムウェアに対するレジリエンスを高めることができるでしょうか?なぜなら、この 2 つは相互に関連していると感じているからです。

20:03 シェロッド・デ・グリッポ

私もそう思います。そして、私はそれについて非常に物議を醸すような熱烈な見方をしています。

20:07 ラグー・ナンダクマラ

聞きたいです。そのために私たちはここにいるんだ。

20:10 シェロッド・デ・グリッポ

ソーシャルメディアや業界では、情熱についての議論がいつも行われていると思います。そんなことには興味ないよ。興味があるんだけど、君には天職があるのか。そして、警備の仕事をすることで、あなたの魂は緊張をほぐしたり、リラックスしたりするようになりますか?何かを確保することは、あなたにとってスピリチュアルな慰めになるのでしょうか?もしそうなら、私たちがこの業界で求めているのはそのような人材です。なぜなら、そのような人々は執拗に効能を追求し、私たちが頼りにしなければならない人々だからです。なぜなら、これは9時から5時の仕事ではないからです。ワークライフバランスなどについて話したいのと同じくらい、燃え尽きてはいけません。しかし、それは私たちが住んでいる世界ではありません。ランサムウェアは 1 日 24 時間発生しています。私たちには、24時間働くのに十分な人員がいないのです。ですから、適切な人材を適切な場所に配置する必要があると思います。そこで懸念が高まるのです。私は、セキュリティベンダーの資金不足、恐れ、不確実性、疑念の時代から来ました。それが10年間続いたマーケティングプランでした。うまくいったとは思いません。それがうまくいけば、私たちは今よりも安全な場所にいるでしょう。しかし、リスク評価とリスク理解には、私たちセキュリティ専門家が体現し、内面化し、セキュリティ以外の同僚に外向きに伝える必要がある要素があると思います。そして、その言語を話すことでそれができると思います。私は実践者で、神経言語プログラミングと呼ばれる、人と話す方法を論じています。あなたは相手が最も親しみやすい感覚に訴えます。聞こえてるの?見てるの?見てるの?感覚?経験しているのか?相手の言語やレベルで話し、リスクとは何かを理解してもらう必要があります。レジリエンスに戻りましょう。回復力があること。私たちがその言語に移行したのは、今避けられないことを考えているからです。私たちは、「侵害を止める」、「攻撃を止める」から「攻撃を止める」へと移行しました。そして、その方がずっと現実的なイメージだと思います。悲観的だとは思いません。現実的だと思う。そして、回復力が高まるほど気分が良くなるはずです。なぜなら、これらのことは、現時点では避けられないことだと思うからです。

22:44 ラグーナンダクマラ

そこで、「違反を想定する」、「ある種の考え方」、「もしそうでない場合」の話に戻りたいと思います。なぜなら、セキュリティ統制を構築するためにゼロトラストアプローチをとるようなものですが、うまく結びついていないと思うからです。しかし、その前に、もう一度話を戻しますが、あなたが言及した別の用語は、「有効性」ですよね?私も全く同感です。ベンダー側にいたのは5年弱で、それ以前もそうだったと思います。ありがとうございます。ありがとうございます。素晴らしいです。ここにいるのは素晴らしいことです。もっと早く来ればよかった、楽しんでるよ。もっと早くこっちに来なさい。でも絶対正しい私は完全に同意しますし、FUDに焦点を当てたマーケティングが存在していたという点ではある程度同意しますが、ベンダー側に入ったときの私の見解は、もっと価値に基づいた、有効性に基づいたマーケティングアプローチをとることによって、できることはたくさんあるだろうということでした。しかし、それは難しいことです。なぜなら、私たちは「私たちはより良く、より速く、より強く、より安全だ」と言うことに慣れているからです。しかし、私たちがあなたを作る場所を作るのは私たちにとって本当に難しいです。50% 安全な数字を選んでみましょう。かなりいい数字だよね?95% と言いたいのはわかりますが、50% でも安全性が高いのは良い数字だと思います。しかし、なぜセキュリティ分野では、統制がどれほど効果的か、慣行、プロセスがどれほど効果的かを定量化することがそれほど難しいのでしょうか。ある意味、さらなる検証と、より多くのことができることの正当化を図るためです。

24:14 シェロッド・デ・グリッポ

ええ、それは私が個人的に人として捉えていることの一部だと思います。効果的な人間になりたいです。自分のテクノロジーを自分にとって効果的なものにしたいし、効果的な人間になりたいです。それを測定するのは本当に難しいと思うし、測定するのがとても難しいものが大好きなんです。私がセキュリティに惹かれる理由のひとつは、主観性に満ちているからです。グレーゾーンだらけです。そこには、私たちが取り組んで理解しなければならないような、フワフワした中間点がたくさんあります。つまり、多くの人が同じように感じていると思います。つまり、セキュリティにいるのはそのためです。有効性の測定は非常に困難です。私が長年ネットワークセキュリティとメールセキュリティに携わってきましたが、FNFPは私たちの基本ですよね?偽陰性、偽陽性。ええ、これらは私たちの選択と意思決定の方法を決定づけるものであり、セキュリティにおいて常に完全にデータ主導型のアプローチは信じていませんが、それは非常にデータ主導型です。FNFP の世界では、こうした数字を時間ごとに見ています。そして、できる限り客観的に考える必要があると思いますが、それは難しいことです。というのも、という本があります 何でも測定する方法これによってメトリクスが可能になり、「測定できないものは管理できない」ということわざがあります。そういうことは本当だと思います。しかし、セキュリティにおける客観的な測定と並行して、リーダーがセキュリティの主観的な側面や、意思決定や人間的な側面の多くを理解できるようにする必要があるとも思います。ソーシャル・エンジニアリングは測定が非常に難しいものです。たとえば、このセキュリティ侵害が発生したとします。そのうち、ソーシャルエンジニアリングが原因だったのは何パーセントですか。それを突き止めるのは非常に難しいです。しかし、客観的な数値や客観的なデータを、主観的な意思決定情報と並べることができれば、セキュリティの専門家だけでなく、必ずしも常にこの分野に深く関わっているわけではないリーダーとして、それがどれほど重要かを理解し、選択を行う人々から受けることを期待しているような不安を生み出すためのより良い方法を提供できると思います。

26:26 ラグーナンダクマラ

ええ、その表現の仕方が気に入っています。主観と客観を本当に近づけることができ、一方のデータがもう一方の認識に影響を与え、その逆も可能で、全体像を把握できるという共通点を見つけることができる点です。それでは、ちょっと先に進みましょう。それでは話しましょう。先ほどお話ししたもう1つのことはログです。丸太をトロールするようなものです。素晴らしい。そこに何があるかは驚くべきことですよね?先ほどおっしゃったように、私が考えていたように、SOCの機能はそういうふうに進化してきたと思いますよね?脅威ハンティングが進化したのは、本質的にログ分析の進歩のようなもので、ある種の進歩です。今日、逆コンマ(AI 搭載ツールの一種)で見られるようなものでさえ、ログ分析がますます向上しています。皆さんも何年もの間、さまざまな脅威アクターのログを見てきたと思いますが、その中で気づいたこと、気づいたこと、気づいたこと、その進化の明確な指標は何か?

27:45 シェロッド・デ・グリッポ

ええ、それは本当に、本当に明らかだと思います。私が最初にログに夢中になったのは、最初ではないかもしれませんが、私が最初にログに情熱を傾けていたのは、ウェブサーバーを運営していて、ウェブログを追跡してアクセスを監視することでした。つまり、ウェブサイトのトラフィックが非常に少ない状況だったのです。しかし、これを開いて稼働させておけば、人々がウェブサイトにアクセスするのを見ることができました。これまでアクセスしたことがなければ、リアルタイムでログを見ることができました。私の意見では、これによって私たちのデジタル世界について違った認識が得られると思います。人間の活動が表示されていて、ウェブサイトに行くとすぐにマシンデータ、つまりログエントリとして表示されます。だから、それには本当に特別なところがあると思うんです。そのおかげで、丸太は静的な記録のようなものから、目の前で生きていて、呼吸して、進化しているようなものに変わるのです。今日の脅威アクターは、ログが自分の敵であることを知っているため、特に犯罪分野の脅威アクターのように、時間を節約できるかどうかを検討しています。つまり、オクト・テンペストの脅威アクター、つまりランサムウェアの大手アクターを思い浮かべると、彼らの動きは非常に速いということです。侵入とアクセスから身代金要求までの滞留時間がどんどん小さくなっているため、率直に言って、作成されるログの量が減っています。そして、これらの脅威アクターは、その点では意図的だと思います。彼らはログエントリの量を減らしたいと思っています。これが、最近、ご存知のとおり、この1、2年の間に、土地を離れて暮らすことの人気が爆発的に高まった原因のひとつだと思います。そのホストにすでに存在する既存のツールセットを使用している場合は、これらのログに隠すことができます。ログはいろいろな意味で時間を象徴しているので、ログは常に非常に重要だと思います。そして、記録できるログの数が減り、処理速度が速くなるほど、脅威アクターとしての成功率が高まります。有効性の話に戻りますが、防御側は有効性に重点を置いています。脅威アクターは有効性に重点を置いています。私たちはスロットカーレースを並行して行い、彼らよりも効果的になるよう努めています。そして、ご存知のように、5秒先行してより効果的になることを期待しています。

30:27 ラグーナンダクマラ

今日は基本的にF1レースです。それは生き抜くための意欲だよね?

30:36 シェロッド・デ・グリッポ

生き残るために運転してください。はい、それがセキュリティです。私たちはここ情報セキュリティで生き延びようとしています。

30:42 ラグーナンダクマラ

私はそれが好きです。ウェブサーバーのログを見ることの楽しさは、本当にありがたいことです。そして、それをプロキシログ、ファイアウォールログ、ロードバランサーログ、ID ログと組み合わせると、全体像を描くことができます。それは、私が開業医の立場だった初期の頃のように、大学を出てそれをすべてまとめることができて、とてもわくわくしました。私は「なんてこった!」って思いました。何が起きているのか、ある程度はわかったけど、このデータのためだけに。そこであなたは海外での生活について話しましたし、脅威アクターが実際に生成するシグナルをできるだけ少なくしたいとか、シグナルは少ないほど良いということについて話しましたよね?シグナルが多いほど検出される可能性が高くなるなどの理由ですが、あなたのおっしゃったことと結びつけると、実際にはその攻撃であり、妥協は避けられないということなので、そのための設計が必要です。あなたの視点からすると、そうですよね?なぜなら、ゼロトラストのアプローチを取ることは、土地で生活できるものを本当に減らすことになると思うことが多いからです。一つの考え方をすれば、ゼロトラストや実際のゼロトラストプロジェクトへの関心があるということです。マイクロソフトにはある種のフェアがあることは知っていると思います。ゼロトラストエコシステムにおける重要な役割を担っているようなものです。たとえば、ゼロトラストがいかにセキュリティを向上させ、セキュリティをある程度向上させているかについて、脅威インテリジェンスの専門家としてどう思いますか。

32:07 シェロッド・デ・グリッポ

ここ数年、ゼロトラストのコンセプトがもたらした最も良い点は、経営幹部のリーダーの共感を強く受けたことだと思います。ほとんどの実務家にとって、ゼロトラストは、毎日行ってきたことの多くだと思います。基本的なことはたくさんあります。ベスト・プラクティスの組み合わせはたくさんあります。あるいは、私が最初に始めたとき、ポストハードニングのように、実務者が本当に慣れ親しんでいたこととか。しかし、ゼロトラストのおかげで、経営幹部、意思決定者、さらには必ずしも技術的な役割を担っていない人々とも同じ言語でコミュニケーションをとることができ、「ああ、それはまずい」や「ああ、これは間違った場所に間違った人がいるのを確実に防ぐための方法だ」などと理解できるようになりました。これは ID とアクセス管理に関するベストプラクティスの包括的な概念です。私が考えるセキュリティにおけるこうしたことですが、私たちも苦労してきました。私たちは専門用語を使いたかったし、独自の命名法を持ちたかったのです。私たちは独自の極秘言語を持ちたかったのです。そして、ゼロトラストのおかげで、リーダーや意思決定者、そしてそれ以外の人々とのコミュニケーションを図ることができ、彼らも私たちと同じ認識を持つことができました。これは、私たちができた最高のことの1つだと思います。

3:30 ラグーナンダクマラ

ええ、それはとても重要だと思います。特に今は、サイバーの重要性を組織内のセキュリティ部門だけでなく、部門を越えて、最高レベルまで伝えなければなりません。それを効果的に伝えることができるアプローチがあることは、とてもありがたいことです。他のすべてを一致させることは大きな恵みです。そして、話をする顧客や同僚などで、このようなことが日常的に見られますか?

34:06 シェロッド・デ・グリッポ

はい、私が話をしたお客様の多くは、完全にゼロトラストに乗っていると思います。そして、彼らはそれをそのように表現しています。1年前に決めた、または2年前に、2026年までにゼロトラストを組織の隅々まで完全に実装したと感じると決めたと言われています。そして、それがセキュリティの焦点に大きな重みと重みをもたらしたと思います。そうすることで、人々が物事を行い、「まあ、これはゼロトラストの一部だから、私たちはそれを成し遂げる必要がある」と言う理由を与えてくれると思います。そして、以前はそのハンドルがいつもあったわけではありませんでした。いつも持っていたわけではなく、今日のように焦点を合わせるなど、うまくいったと思います。率直に言って、ランサムウェアの蔓延は多くの皆さんに知っていただきたいと思います。ほろ苦いことですが、ゼロトラストについてあまり考えていなかった組織や、組織のセキュリティ保護について考えていなかった組織に多くの注目と関心が寄せられました。彼らはランサムウェアを目にしますが、これもやはり不安を呼び起こし、動きを引き起こします。それが私たちが望んでいることだと思います。

35:20 ラグーナンダクマラ

つまり、実はそれが不安を増すと言おうと思っていたのです。しかし、あなたは私を打ち負かしました。繰り返しになりますが、本質的に脅威アクターを監視するという本来の仕事に戻りましょう。組織がセキュリティ機能を向上させ、ゼロトラストのような道を歩む可能性があることを見てきたので、時間の経過に伴う脅威アクターの行動を理解します。私が言おうとしていたような、脅威アクターが採用している手法や手順に実質的な変化が見られましたか?私がそう言いたいのですが、もし間違っていたら訂正してください。その戦術、究極的には戦術は、ハイレベルな戦術であり、一貫性がありますよね?攻撃者はそれを通り抜かなければなりませんが、その実行方法は時間とともに変化します。これらの手法や手順に実際に変化が見られましたか?

36:11 シェロッド・デ・グリッポ

脅威アクターは常に変化し、進化していくと思います。ご存知のように、彼らは私たちと同じように、再び有効性を求めています。そのため、達成したい目標を達成するために武器庫に持ち込めるツールが何であれ、彼らはそうするでしょう。興味深いことに、私が脅威の状況を注意深く見て以来、このようなトレンディなものが常に存在しています。ご存知のように、MFA、バイパス、中間攻撃者のフィッシングは、現在非常に人気があります。その人気の理由の1つは、私たちが特に犯罪環境に関しては活動していることだと思います。金銭的に動機付けられた脅威アクターは、エコシステムとして活動しているからです。つまり、「ああ、今度は真ん中のフィッシングキットで攻撃者を作らなきゃ」といったようなランサムウェアグループではありません。これらのページをアップしないといけない。買わなくちゃ...「いや、行くだけだよ。彼らはプロバイダーを見つけます。彼らは彼らに支払います。彼らはそのツールをプロバイダーから入手します。他のプロバイダーのツール、インフラストラクチャ、コード、購入したサービスと組み合わせて活用し、それらすべてをまとめることで、ランサムウェアの最終目標に到達します。そのため、エコシステムが進化し、新しいプレーヤーがエコシステムに加わり、私たちが組織犯罪について話すにつれて、新しいプレーヤーが登場するにつれて、新しいトレンドが出現します。そして、これらの傾向が現れた理由は、一部の脅威アクターが他のアクターよりもマーケティングに優れているからだと私は考えています。エコシステムの中には、文字通り営業のようなことをしている人もいます。彼らはセールを行います。Storm 1101という脅威アクターが、Naked pagesと呼ばれるものを運営しています。Storm 1101は、中間のMFAフィッシングキットに含まれる攻撃者です。彼らは、すでに顧客であれば、割引を受けることができると教えてくれます。彼らはあなたに代わってライブカスタマーサービスを提供します。彼らはスペシャルを用意し、今年の初めに新年スペシャルを開催しました。彼らは忠実な顧客になってくれた顧客に感謝するでしょう。地元の小さな企業が想像するように。ですから、率直に言って、トレンドの中には、エコシステム内のマーケティング能力から生まれたものもあると思います。ツールのマーケティングと販売に長けていれば、そのツールの人気が高まる可能性が高いです。そこで、中間のフィッシングキットに攻撃を仕掛け、土地を離れて暮らすこと、必ずしもエコシステムに結びついていないものの、必ずしもエコシステムに結びついていないもの、何がうまくいくかについて話す人々、そして人々が共有しているさまざまな戦術を持っているものを攻撃します。そういうこと。そして、私たちはいつも時事問題、ソーシャルエンジニアリングを見ています。確かに、選挙、自然災害、ホリデーシーズンなど、その時に世界で起きている大きな出来事が何であれ、脅威アクターはそれが心理的に共鳴することを知っていて、ソーシャルエンジニアリングに利用しています。

39:08 ラグーナンダクマラ

それで、そのようなテクニックや手順が私たちのリストに載っているのを見ますよね?

39:14 シェロッド・デ・グリッポ

そのため、四半期ごとの TTPs トレンドのトップ 10 リストが必要です。

39:19 ラグーナンダクマラ

うん、そう思う!もしかしたら、大成功を収めたポッドキャストでホストするのにふさわしいものかもしれません。多分それはアイデアでしょう。しかし、一つだけ話を戻しておきたいのは、防御側が攻撃者にテクニックや手順を廃止させることに成功し、基本的に失敗することをほぼ保証し、何か違うことを強要したことがあるかということです。

39:49 シェロッド・デ・グリッポ

はい、100%。リスナーはみんな、「私は彼女と戦うつもりだ」と言っています。最後にルートキットを扱ったのはいつだ?消費者に対する個別のランサムウェア攻撃を最後に受けたのはいつですか?ブラウザボールト用のエクスプロイトキットを最後に扱ったのはいつですか?つまり、今でも発生していますが、攻撃対象領域は縮小されています。マクロを含む悪質な文書が最後に成功したのはいつですか。マイクロソフトは 2 年前、つまり 3 年前にこれを無効にしました。攻撃対象領域は縮小されつつあります。しかし、攻撃対象領域を継続的に縮小しているからといって、脅威アクターがまだ創造性に欠けるわけではありません。これもまた、私たちが置かれているF1の状況を生き延びようとする原動力の一部です。それは永遠にエスカレーションと進化を続けるでしょう。私がセキュリティを気に入っている理由のひとつは、セキュリティが主観的なものだからです。そして、もう一度言いますが、私は大げさなのはわかっています。私は熱烈だよガール安心感は感情だ安心できるかい?安全ですか?それは無理だ。「はい、安全です」とは言えません。CISO があなたのところに来て、「この組織は安全ですか?」と言ったらさあ!

41:12 ラグーナンダクマラ

ああ 100%。

41:15 シェロッド・デ・グリッポ

うん。つまり、セキュリティが感情のビジネスであることを多くの人が認めたくないのと同じくらい、私たちは感情のビジネスに携わっているようなものです。そして、そのフィーリングを効果的にするために、手元にあるあらゆるテクニカルツールを使って、そのフィーリングを現実のものにしています。しかし、結局のところ、私たちは安全なのでしょうか?それは主観的です。あくまで推測です。

41:43 ラグーナンダクマラ

私はそれがとても好きです。セキュリティ:私たちはフィーリング・ビジネスに携わっています。いいヒントだねこの情報を利用して、サイバーセキュリティのスキルやスキル不足を補うための支援を売り込むべきです。もう一度言っておきますが、誰かがルートキットを使用したり、ブラウザの脆弱性を悪用したりしているのを最後に聞いたのはいつですか?私がこれに答えるのは、私が聞いたのは、マイクロソフトのテクノロジーインテリジェントポッドキャストを1つだけ聴いたからだと思います。あなたはそれらの一部を復活させた北朝鮮の脅威アクターについて話していたのですが、これは最後だったと思います。

42:17 シェロッド・デ・グリッポ

はい!みんな「何?」みたいだった連中はブラウザ保管庫を連鎖させていて、残り日数はゼロで、チェーンブラウザを悪用している。「何?あれは、すごくクールだったと思う。なぜなら、私たちは「ああ、こんなの見たことないよ」って思ったから。皆さん、これは長い間見ていません。これはヴィンテージです。」そして、それは本当だと思います。そんなものはもうあまり見かけません。そして、私たちがそうすると、それは風景の中で大きな話題になります。おっと、これはニュースだ、みたいな

42:44 ラグーナンダクマラ

いいですね。それでは、ラップする前にタスクを少し変えましょうね。もちろん、私のプロデューサーはこう言っています。「ねえ、AI、人工知能について話さないと、私たちはできないだろう。ソーシャルアルゴは、ちょっとこれを降格させるだけだ。だから私はそれを数回言っているだけなのですが、皆さんに人工という文脈で聞きたいことがあります。あなたは人工知能について非常に興味深い見解を持っていると思います。人工知能のAは、人工知能の加速と人工の比較です。しかし、世界経済フォーラムが開催されました。過去12か月以内に、セキュリティリーダーを対象に調査を行ったと思います。問題は、サイバーにおけるAIが誰に利益をもたらしていると思うかということですよね?55~60%のデータが、防御側よりも攻撃側の方がメリットが大きいと答えたようなものだったと思います。約25〜30%が、ディフェンダーなどに利益をもたらすと答えています。残りは同等だと言っていましたよね。現在の状況から、今日のサイバーにおけるAIの活用についてどう思いますか?そうだよね?誰にメリットがあると思いますか?これにより、どのようなことが可能になると思いますか?ディフェンダー側でもアタッカー側でも、それが気になることはありますか?

43:59 シェロッド・デ・グリッポ

私はAIの信者です。毎日使っています。ストリーミングサブスクリプションみたいにドロップしたので、有料のChatGPTに切り替えることができました。私はAIと、AIによって目の前にある機会が大好きです。しかし、AIはツールであり、ある意味では、先ほどお話しした、土地を離れて暮らすものとほとんど似ています。これは誰にでも利用できるツールです。これならずっと使える。それを悪の為に使うこともできる。まったく使わずにスキップすることもできますが、一部の脅威アクターもまだその段階にあると思います。マイクロソフトでは、脅威アクターがこれを活用しているのを見てきました。北朝鮮、ロシア、中国、イランの AI 利用に関する情報レポートを公開しました。これからも発展していくものだと思います。現在、脅威アクターが新しいことを行うために大々的に活用することは見られません。これは、セキュリティ基盤がしっかりしていることを意味するので、ある意味では安心できると思います。基本はまだ機能しています。繰り返しになりますが、加速の話に戻ると、そこが緊張します。私たちは、脅威アクターをより速くし、規模を拡大し、これまでに見たことのない範囲内で行動できるようにするための対策を講じています。これは実現のためのツールです。私がいつも使っている例としては、何年もの間データ漏えいが見られてきたというものがあります。何年もの間、データ漏えいがダウンロード可能になるのを見てきました。その侵害データを LLM に入れて、その侵害データについて LLM に質問し始めることができます。これは、正規表現ではできないことです。あなたがどんな正規表現ウィザードであろうと私は気にしません。私は彼ら全員に会いました。私は正規表現の魔法使いに囲まれて生活しています。正規表現に感情を求めることはできません。女性従業員と男性従業員が不適切な会話をしているすべての事例を正規表現に求めることはできません。これらの通信で起きているインサイダー取引をすべて見つけるように正規表現に頼むことはできません。このようなことを考えていると、脅威アクターがまるで超人的になりつつあるようなレベルにまで達しているのです。つまり、その能力が加速するのです。これにより、彼らはより速くなります。これにより、組織に身代金を要求し、ファイルを取り出し、ファイルを調べて、犯罪的で強要可能な情報を数分で発見し、戻ってこう言うことができます。「実際は、100万人と言っていました。今は2時です。」

46:37 ラグーナンダクマラ

主観と目的が結びついて、それを可能にしたり、加速させたりしていると思います。正規表現がそういうものなら、客観的なアプローチですね。主観的なのはあなたが説明したことですよね?ITにはできないが、AIにはできること。

46:58 シェロッド・デ・グリッポ

そして、それを瞬時に行うことができます。待ち時間もありません。処理時間はありません。数秒で完了します。そして、ご存知のように、脅威アクターは従来、欲しいものを手に入れるために必要なことをします。そして、彼らは通常、それを超えることはしません。しかし、いったん彼らがそれを理解し、それをより速く、より効果的に行うことができるとわかれば、物事はひび割れるようなものになると思います。

47:29 ラグーナンダクマラ

まとめるにあたり、もうすぐ他の場所に行く必要があることを認識しています。ホットテイクをもう一つください。では、脅威情報の未来についてです。

47:43 シェロッド・デ・グリッポ

脅威情報の未来?脅威情報の未来はますます実用的になっており、組織のセキュリティ体制の有効性と直接的な相関関係は続いていると思います。それこそが未来のあるべき姿です。それこそが、セキュリティ体制をより効果的にするか、リーダーが情報に基づいた意思決定を行えるようにするか、私たちが進まなければならないところです。

48:13 ラグーナンダクマラ

シェロッド、どうもありがとう。とてもわくわくするような会話でした。今日は時間を割いてくださり、本当にありがとうございました。

48:21 シェロッド・デ・グリッポ

本当に楽しかったよ、ラグー。呼んでくれてありがとう!