サイバーセキュリティ侵害に迅速に対応すべき 5 つの理由

テーブルトップ エクササイズなどのプラクティスは、データ侵害などのストレッサー イベントをシミュレートするものであり、実際の結果はまったくありませんが、マーヴィン ゲイの歌にあるように、「Ain’t Nothing Like the Real Thing.」

誰もが切望する学習の機会ではないかもしれませんが、実際のストレッサー イベントでは、企業は実質的な回答と解決策を求めて、データ侵害またはストレッサー イベントの原因となったセキュリティ障害が、それがシステム的なものであるか特定の時点のインスタンスであるかを確認する必要があります。 、再び発生しません。

侵害が発生した後すぐに取るべき措置があり、その一部は、私の同僚であるフランク ドミツィオによる最近の分析で捉えられています。 イベント後の最初の数日から数週間は、当然のことながら、即時の封じ込め、回復、および継続の取り組みに集中する必要があります。

その後、実際に何が起こったのか、将来どのように防ぐことができるのかを学ぶ絶好の機会があります。 この分析では、セキュリティ制御の失敗を分析し、最終的にはその知識を使用して防御を強化するためのさまざまなアプローチを探ります。 5 つの理由、ブラック ボックス分析、ふりかえりと呼ばれるプラクティスについて説明します。

5つの理由

5 Whys 手法は根本原因分析の手法であり、事後分析のコンテキストでよく使用されます。 これは、「なぜ?」という質問をし続けることによって実行されます。 根本原因を深く掘り下げます。 なぜなぜ分析を行うと、物事が急速に拡大する可能性があります。 1 つの理由が 5 に変わり、5 つのものが 15 に変わります。

これは、セキュリティ インシデントを引き起こした悪用された構造化照会言語 (SQL) インジェクションの脆弱性の例を使用して、5 つの理由 (潜在的な回答と共に) が実際にどのように見えるかです。

  • Web アプリケーションの製品版に未検出の脆弱性があったのはなぜですか? 最近実施された侵入テストでは検出されませんでした。
  • 最近のテストで脆弱性が特定されなかったのはなぜですか? 侵入テストはすべて短期間で時間制限のある作業であり、アプリケーションの脆弱な領域をカバーできませんでした。
  • テストがすべてタイムボックス化されたのはなぜですか? 長時間の侵入テストを行うと、他の形式の脆弱性識別よりもはるかに費用がかかります。
  • チームが静的分析のような他の形式の脆弱性識別に予算を費やさなかったのはなぜですか? チームには、この種の分析をサポートするために利用できるリソースがありませんでした。
  • チームメンバーが他の形式の分析をサポートできないのはなぜですか? これらの分野で経験を積んだ人は誰もおらず、私たちはまだこれらの分野に沿ったトレーニングに投資していません。

事後分析プロセスを率いる者は誰でも、調査の範囲を決定する必要があります。 可能な限り多くの潜在的な障害条件を特定するために、最初の非常に広範なスイープには価値があると私は信じています。 次に、根本原因のより焦点を絞った調査でフォローアップし、可能な限り理由を深く掘り下げます。おそらく、潜在的な修正をより詳細に制御できる場所に焦点を当てます. 最終的には、障害モードまたはリスクを理解することは、それらを修正する意図と計画と組み合わせる必要があります。

ブラックボックス分析

ブラック ボックス分析の概念は、航空業界に由来します。 そこでは、ブラック ボックス分析は、故障または損失イベントの後に航空機のブラック ボックスによってキャプチャされたテレメトリの集中的なデータ主導の研究です。 この種の分析は、データ主導の事後分析として分類でき、障害イベントの要因となった可能性のある利用可能なデータの相関関係を探します。

ブラックボックスの考え方に相当するサイバーセキュリティでは、次の種類のデータを考慮します。

  • パッチの頻度などの先行指標メトリック。 環境全体に広がる特権。 セキュリティ チーム外からの脆弱性レポート。 いくつか例を挙げると、開発者の関与のレベル
  • セキュリティ イベントの直前、最中、直後に発生するセキュリティ テレメトリ。
  • インシデントの前後に発生する市場または規制のダイナミクス。

ふりかえり

レトロスペクティブは、アジャイル ソフトウェア開発でよく使用されるツールですが、セキュリティ設定でも有用です。 ふりかえりはグループ活動であり、さまざまなチームメンバーを集めて、うまくいったこととうまくいかなかったことに関するテーマの問題を特定します。 回顧展では、失敗に関するさまざまな意見や見方が明らかになるでしょう。 ふりかえりを実行するにはさまざまな方法がありますが、私は常に次の方法が役立つと感じています。

  • チーム メンバーからのインプットをテーマごとに整理する (事前に定義されているか、インプットを受けて作成する)
  • 詳細な調査を行うために所有者を割り当てる
  • 部屋に適切な人が参加しているかどうか、より構造化された学習が必要かどうかを確認します

ふりかえり中に事前定義されたプロンプトを使用すると、収集されたフィードバックを構造化するのに役立ちます。 サイバーセキュリティに関連するレトロスペクティブ テーマには次のようなものがあります。

  • ツール/技術
  • ビジネスプロセス
  • セキュリティ チーム内のコミュニケーション
  • 他チームとのコミュニケーション
  • 第三者への依存

おわりに

この分析で概説した 3 つの手法以外にも、違反後の学習を構築する方法は多数あります。 ただし、上記で説明したものは、優れた出発点を提供します。 セキュリティ インシデントに関して何がうまくいかなかったのか、どのようにうまくいかなかったのかをより深く理解することは、環境とチームを適応させて、将来同様のインシデントを防ぐのに役立ちます。


Leave a Comment

Your email address will not be published. Required fields are marked *