サイバー攻撃によるコストは、企業に壊滅的な打撃を与えかねません。その影響は即座に現われることもありますが、何年もかけてゆっくりと株価や顧客の信頼に影響を与えることもあります。
最新の調査によると、サイバー攻撃が検知されてから解決されるまでに、平均して69日もかかっているとのことです。検知と対応の間に生じるこのギャップの大きさは、攻撃者が目的(サーバの暗号化、データの持ち出し、ランサムウェアの拡散など)を達成する前に攻撃を阻止するための機会が失われていることを意味します。
侵害(インシデント)に迅速に対応するための準備には、人、プロセス、テクノロジーについて時間と資金を投資する必要があります。100%の準備には多大な時間と資金が必要ですが、ここでは、企業がサイバー攻撃に対してどのように準備し、対応し、修復するかという基本的な原則をご説明します。
サイバー攻撃前の準備
最も重要なエンドポイントとサーバを特定
侵害が発生する前に、企業の顧客や従業員についての機密データ、知的財産に関する情報、合併や買収・成長計画など、攻撃者にとって価値のある情報があるかどうかを考えてください。そしてそれらを、ビジネスの円滑な運営に不可欠なエンドポイントやサーバと結びつけてください。この2つを組み合わせると、最も重要な資産を守るためにどのようにサイバーセキュリティへの投資を割り振るべきかが導き出されます。これには、エンドポイントの監視とビジネス上重要なサーバのバックアップが含まれます。
エンドポイントを保護
今日のサイバー攻撃のほとんどは、エンドポイントの侵害から始まります。そのため、サイバー攻撃を受ける前にエンドポイントに検知用のエージェントを導入しておく必要があります。これによりインシデント対応の担当者が、攻撃者がどのように侵入したのか、どこにアクセスしたのか、何を達成しようとしているのかを即座に可視化し、データを得ることができます。
ファーストレスポンダの訓練
すべての企業は、「ファーストレスポンダ」のチームをアサインする必要があります。これはインシデントの発生が疑われるときに呼び出されるチームで、以下の知識を持つ必要があります。
– 疑わしいインシデントについて、どのような手順で調査を実行するのか。
– インシデントをエスカレーションする必要があるかどうかを確認するために、データとテレメトリにアクセスする方法。
– インシデントの最初の48時間を管理する方法。
– どの段階で内部または外部のインシデント対応チームを呼び出すか。
ファーストレスポンダの訓練は、セキュリティ担当者とITスタッフだけが受ければ良いわけではありません。秘書から人事、オフィスマネージャ、アナリストまで、さまざまなタイプのスタッフをファーストレスポンス活動のために訓練する必要があります。
ファーストレスポンダのチームが、すべてのエンドポイント、ハードウェアおよびソフトウェアの配置を含むあらゆるIT資産をカバーできており、明確に役割と責任が分担さていることを確認します。
サイバー攻撃の間
インシデントが確認されたら、次に何をしますか?
ホストをシャットダウンしない
侵害が検知された時によく起こす間違いは、電源ケーブルを引き抜いてしまうことです。電源を遮断することは、封じ込めの観点からは良いことのように思えるかもしれませんが、これはファーストレスポンダの仕事を困難にします。攻撃が完全にメモリ上で行われている場合、そのホストをシャットダウンすると、攻撃者がエンドポイントにアクセスした方法の証拠が完全に失われてしまい、攻撃元と攻撃目標に関する情報収集が妨げられる可能性があります。
この原則は、すべての従業員に繰り返し徹底する必要があります。
インシデント対応チームのコンタクト先を明確にしておく
これがいかに重要であるかを強調しすぎることはありません。企業がこれを行わないままにインシデントが発生した場合、システムの管理者は誰か、レスポンダがエスカレーションの是非について相談すべき人は誰か、予算の承認権者は誰かなどをいちいち調べなければならず、多くの時間が無駄になる可能性があります。インシデント対応においては多くの場合、インフラの重要な部分を切り離すなど、ビジネスを保護するために防御的な行動を取る必要があります。これが事前に準備できていない場合、攻撃を受けている最中に対応策の検討を行うことが難しくなります。
攻撃者を即座に排除することは必ずしも正しくない
攻撃者を社内環境からできるだけ早く追い出したいという気持ちは理解できますが、それは必ずしも正しい対応とは限りません。これは、高度な攻撃者に対する際に特に重要です。攻撃者は、検知されたことを察知すると、その時点でランサムウェアを展開したり、さらに見つかりにくい手法を使って戻ってくるためにいったん撤退したりする可能性があります。周到に準備された一連の対応を行う事で、資産を確実に保護し、攻撃者を排除することができます。
サイバー攻撃後
まずは落ち着いて
侵害への対応はストレスが多く、企業は損害を被る可能性もありますが、それを契機にして企業全体のセキュリティ向上、リソースの強化、セキュリティの必要性の認知を高めるなど、良い方向につなげることもできます。ただしそのためには、以下が重要です。
推奨アクション
エフセキュアは、将来の攻撃の影響を緩和するための改善点について、インシデント後に推奨事項を提供しています。これの良い例は、「Red Forest」アーキテクチャを使用したActive Directoryセキュリティの強化に関するエフセキュア独自の研究(英語)です。これが正しく導入されていれば、その環境が攻撃者に侵害された場合に大きな効果があります。導入には時間と資金の投資が必要ですが、インシデントを解決した直後というのは、こういった改善を行う良い機会です。しかし、企業がこれらの推奨アクションを実行しないことがあり、その場合には攻撃を受ける前と同じリスクプロファイルに戻ります。
継続的な改善と評価
サイバーセキュリティは、ライフサイクルです。脅威を取り巻く状況に対して確実に準備を行うための最良の方法の1つは、インシデントから得られる教訓を元に、これらの推奨事項を実現するための手順を構築することです。予算と時間についての制約があり、すべての推奨事項を導入することは困難ですが、全体の10%でも準備ができれば、まったく準備ができないよりも優秀です。これは、単なる金銭的な投資を意味するのではなく、プロセスや手続きを内部的に改善するということを意味しています。
カテゴリ