侵害を想定する: サイバーレジリエンスのベストプラクティス

それは、組織や個人がサイバースペースで侵害されるかどうかの問題ではなく、 いつ侵害されるか の問題です。そう信じるなら、あなたは最も重要な認知的ステップを踏み出したことになります – 「侵害を想定」し、サイバー攻撃に耐える回復力を構築する準備ができています。

しかし、侵害を 想定した場合、それは人、プロセス、テクノロジーへのセキュリティ投資についてどのように考えるかにどのような意味があるのでしょうか?さらに重要なことは、侵害を超えて安全になるために、組織がどのような戦略を採用すべきかということです。2018年10月24日、イルミオはワシントンD.C.でサイバーセキュリティ戦略とテクノロジーリーダーのグループを招集し、侵害の仮定について話し合い、サイバーレジリエンスのベストプラクティスを特定しました。 

以下は、その日の主な調査結果の概要です。これらの賢い人々の話を聞きたい人は、ビデオに期待してください。 

トップ3のテイクアウェイ

侵害を想定する場合は、次のことを行う必要があります。

1. 敵対的な考え方を取り入れてください。
2. ゼロトラスト戦略に従い、ネットワークをマイクロセグメント化します。
3. 侵害管理のために組織を演習し、準備します。
   
   

侵害を想定する: 説明

侵害を想定するということは、敵対的な考え方を取ることを意味します。今日、国家の敵対者や犯罪組織は、サイバースペースであなたを攻撃するために辛抱強く取り組むために必要な資金、人員、時間を持っています。侵害を想定するということは、必ずしも予想できない方法で、最も大切にしているものに対する攻撃に備えていることを意味します。この仮定は、9月11^日 以降の物理的な世界では、誰もが何か を言うことを知っているものを見た場合 、私たちのDNAに刻まれていますが、その概念はサイバーセキュリティの実践には反映されていません(データとインターネットの使用が指数関数的に拡大したにもかかわらず)。   

侵害を想定するということは、最も貴重なミッションクリティカルな資産を最初に保護することを意味します。 敵対的な行為者が優位に立とうとする場合、組織内で何を盗んだり、操作したり、侵入したりしようとするでしょうか?侵害を想定した場合は、最も重要なミッションを支えるデータの保護に集中する必要があります。米国人事管理局(OPM)の場合、2,150万人の米国政府関係者の記録を保持していたのはデータベースでした。2018年にシンガポールの医療提供者であるSingHealthの場合、150万人のシンガポール人の健康データを保存したのは公衆衛生クラウド内のデータベースでした。米軍の核指揮統制事業の場合、米国の核抑止力を支えるのは衛星通信システムである可能性がある。

侵害を想定するということは、大切なものの一部を失うことを計画し、データが公開または劣化した状態で運用する準備をすることを意味します。侵害が発生した場合、ミッションの有効性に悪いことが起こる可能性があります。そのため、米軍は兵站と作戦のために冗長性を構築しています。弾道ミサイルとサイバー攻撃の組み合わせから都市を守るには、2つのパトリオット砲台で十分かもしれませんが、軍は回復力のために4つの砲台を設置するかもしれません。分散型サービス拒否攻撃またはマルウェア攻撃によって銀行が中断された場合、銀行は、1つのネットワークがダウンした場合に金融業務を継続するために冗長ネットワークに投資したいと思うかもしれません。

これらのシナリオを考慮に入れていれば、侵害後の方が良くなります。

レジリエンス投資を行うことは、侵害の仮定の論理的な結論です。それでも、これらは不快な前提です。子供の誕生後に生命保険に加入するのと同様に、最悪のシナリオを考慮に入れていれば、違反後の方が良いでしょう。     

ゼロトラストとマイクロセグメンテーション

ランダムに投資を行うことはできません。資産を保護するための戦略が必要です。 セキュリティ運用とサイバー分析に関する米国の主要な思想家の 1 人である Chase Cunningham 博士は、ゼロトラスト戦略を実装することで組織がレジリエンスを達成する計画を支援しています。ゼロトラストは、ネットワーク内のユーザーはネットワーク外のユーザーよりも信頼できないという考えに基づいています。彼が主張するように、過去10年間に私たちが耳にした主要なサイバー攻撃の多くは、データセンターがオープンで安全でないという1つの単純な問題によって支えられています。 

侵入者が検出されずにネットワーク内にとどまるまでの平均滞留時間は 6 か月以上です。2014/15年の人事管理局のような安全でないデータセンターで、中国の侵入者は完全なアクセスの自由を獲得しました。ネットワークに入ってくる「何も信頼せず、すべてを検証する」場合は、不正なアクションを防ぐためにデータセンターを内部から保護する必要があります。

新しいクラウドの世界では、昨日のツールでは十分ではないかもしれません。クラウド自体と同様に、セキュリティへの投資も脅威とともに進化する必要があります。マイクロセグメンテーションは 、データセンターのあらゆる部分がどのように相互作用するかについてのポリシーとルールを設定します。これは新しいレイヤーであり、新しいセキュリティスタックにおけるレジリエンスの最後のレイヤーです。

侵害を超えてセキュリティを確保するための準備

戦略的レベルでは、組織は侵害を想定し、さまざまな管理手段や非技術的手段を通じて混乱を計画します。トレーニングが鍵です。国防総省内では、米軍は侵害だけでなく、軍事作戦に対するサイバーベースの完全な混乱に対する訓練を行っています。追加のパトリオットバッテリーなどの冗長投資を超えて、パイロットと機長は、攻撃が発生した場合に「盲目的に飛行」できるようにチームを毎日準備しています。それは、通信なしでF-35を操縦したり、全地球測位システムなしで海を航行したりすることを意味するかもしれません。

同様に、企業は危機管理に必要になる可能性のある緊急プロセスを特定することで、侵害に備えるプロセスを経る必要があります。最も重要なステップの 1 つは、事実を特定することです。それらがなければ、組織内外でうまくコミュニケーションをとることはできません。これは、侵害管理のためのプレイブックを作成し、ギャップや継ぎ目を特定して組織がイベントにどのように対応するかを確認するための卓上演習を行うのに役立ちます。最高の卓上は、組織のコミュニケーションシステムを変更し、チームがデータにアクセスせずに対応することを強制するライブ演習です。最後に、組織は、侵害について株主や外部世界の他の人々とどのようにコミュニケーションをとるかを練習する必要があります。

侵害の後、非難とフォレンジックは物語の簡単な部分です。リーダーに事前に投資を促すのは難しくなります。 メンタルマップを変更して侵害を想定し、攻撃に耐えるための人員とテクノロジーへの投資を行い、混乱に対するトレーニングに時間をかけること。しかし、少額の高度な投資で、国や組織は最悪のシナリオの発生を防ぎ、侵害を超えて安全になることができます。