多くの攻撃者は十分な知識を持ち、わずか数分で目標を達成します。目標が達成される前に攻撃を阻止するためには、どうしたら良いでしょうか?
リアルタイムに行われる攻撃の検知、対応、および封じ込めがうまくいくかどうかは、次の3つの主要な領域で準備ができているかどうかにかかっています。
- スピード
- 可視性
- 専門知識
これらの分野で優れた準備を行うには、どうすればよいでしょうか?
スピード
適切なツールを使うことでインシデント対応の担当者が攻撃者よりも素早く行動できれば、迅速な対応が可能になります。
このツールには、いくつかのエリアがあります。
通信
インシデントが起きている間、担当者同士はどのようにコミュニケーションを取れば良いでしょうか?インシデントの進行中何が実際に起こっているのかが理解できず、全貌がわかるのは全てが終ってから、ということがあります。その場合、通信インフラが侵害されたか、危険にさらされている可能性があります。したがって、バックアップとして他にどのような通信手段があるのかを事前に検討しておく必要があります。帯域内と帯域外の異なるオプションには長所と短所があるため、それらのどれがビジネスニーズを満たすかを検討します。
誰が何をしているのか?
インシデントが起きている間、迅速な対応を可能にするためには、適切なリーダーシップが必要です。これは、単に担当者を何人かアサインするということではなく、ビジネスに関わる多くの異なる部署に責任を負ってもらうということです。また、休暇中または不在の個人に依存しなくても済むように、代替要員を用意しておく必要があります。しかし、多くのインシデントでは、誰が責任者かが明確になっていなかったり、理解が異なったりして処理が遅れることがあります。プロセスが妨げられないように、インシデントが起きる前にこれらを適切に決める必要があります。
それはどのように行われるのか?
インシデント対応のためのプレイブックは非常に重要です。これは、シナリオの目的に関わらず、誰が何をすべきかに疑問の余地がないことを意味します。これは、対応のスピードにとって非常に重要です。
可視性
カバレッジ
スピードを高めるためのツールには、可能であれば100%のカバレッジで、御社の資産上のすべての活動からデータを供給する必要があります。ここでカバーされない資産には、攻撃者が潜り込んでしまう可能性があります。
迅速な対応を可能にする種類のカバレッジは、ほとんどの場合、エンドポイントから得られます。現代のサイバー攻撃のほとんどは、ここから始まるからです。複数のエンドポイントを横断して、可視性と制御の両方を提供するエンドポイント検出エージェントが必要です。
ログの取得
フォレンジック調査の担当者が適切な情報を見つけられるようにするために、資産から収集すべき適切なログの分量とは、どれくらいでしょうか?これには、RAMなどの揮発性のデータソースが含まれますが、DNSのログが特に重要です。さまざまなマルウェアファミリの多くは、最初の通信を始めるために依然としてDNSに依存しています。ゲートウェイのログからDNSクエリを処理するホストにトレースバックする機能がない場合は、対応のためのアクティビティが遅れる可能性があります。
また、ログの取得はそこで止まりません。ファイアウォールやActive Directory、Webプロキシからウイルス対策まで、ログはそれぞれさまざまな方法で価値を付加し、インサイトを得る機会を提供します。
カバレッジの管理と拡張
私たちが働いている環境は不安定です。脅威を取り巻く状況が変化し、新しいスタッフが参加し、新しい資産とソフトウェアが時には1時間毎に導入されることもあります。企業は、攻撃に晒される面が常に拡大していることを認識し、標準的な運用モデルに可視性のプラクティスを取り込む必要があります。これにより、新しいエンドポイント、既存のエンドポイント、レガシーのいずれであっても、エンドポイントが常にカバーされます。
なぜそれが重要なのでしょうか?
複雑なゲートウェイのセットアップを行う場合、変更が展開されるまで数時間かかることがあります。これは通常のビジネスなら問題ありませんが、ライブ対応のシナリオでは問題になる可能性があります。これらのことを事前に考え、適切に計画することで、数分以内に対応する能力が向上します。
専門知識
同じツールを持ち、同じ額をセキュリティに投資している2つの企業を比較する場合、差別化の要因は「人」です。適切な専門知識と正しいマインドセットを持つ優秀な人材は、ストレスに晒され脅威を取り巻く状況が不確実な場合でも、迅速かつ効率的な対応が可能です。これは、エンドポイントやその他のデータリポジトリを照会する能力だけではなく、そのデータを解釈し、入手した証拠に基づいて正しい意思決定を行うことです。
自社の資産の異なる領域について、オーナー(責任者)を決めておくことは最も重要です。これは、特定の資産に関する情報が必要なときに連絡すべき相手がわかっていることを意味します – それがたとえ、午前2時だったとしても。
トレーニング
あらゆるレベルの従業員は、攻撃を受けたときに何をすべきかについてのトレーニングを受ける必要があります。一部の人は、他の人よりも多くのトレーニングが必要でしょう。「ファーストレスポンダ」として防衛の最前線にいる人は、より頻繁にトレーニングを受ける必要があります。企業内の誰がメインの対応チームになるかを検討し、机上演習や攻撃シミュレーションを行い、全員が自分の役割に精通していることを確認します。
10%の準備でも、準備なしよりは良い
準備は多くの側面に関連し、ほとんどの企業は完璧ではありません。
しかし、誰が何を管理しているか、ビジネス上最も重要な資産のカバレッジを明確にし、検知と対応のための一連のツールを用意できれば、攻撃を数分で停止するための準備が進んでいることを確認できます。
カテゴリ