破られた夢の通り：20年間のサイバー失敗

その終焉の予測が絶え間ないにもかかわらず、ユビキタスなセキュリティ情報とイベント管理（SIEM）プラットフォームはただ幽霊をあきらめません。 

セキュリティオペレーションセンター（SOC）でそれを置き換えるとして宣伝されている新興技術のどれも成功しませんでした。まずセキュリティオーケストレーション自動化および応答（SOAR）でした。その後拡張検出および応答（XDR）。行動分析；ビッグデータ；そして今もちろん、エージェントAI。しかし、これらのツールの多くは、SIEMに取って代わるのではなく、その中にブレンドまたは統合されています。

「SIEMが死んでいないのはコンプライアンスのためです」と、consultancy Digital Cyber ForgeのプレジデントでありCISO/CTO であるJesse Whaleyは述べています。「FedRAMP、CMMC [Cybersecurity Maturity Model Certification]、PCI DSS、[そして] SOC 2はすべてログの集約と相関を制御要件として扱っており、優先事項ではありません。監査人が義務付けたインフラストラクチャを排除することはできません。それは誰も大声で言わない部分です。」

しかし、所有コストと新しいAI機能の出現により、最終的にはこの頑固に永続的なプラットフォームを殺す可能性があります。少なくとも今日私たちが知っている形式では。SIEMのスーパーパワーは長い間セキュリティデータとログの収集と保存でしたが、それはセキュリティチームにとって維持する費用がかかる企業になりました。 

「SIEMが相関関係を行う能力は最高でも弱く、アナリストが相関関係を行うためにルールを作成する負担を置きます。これは熟練していない場合は困難です」と、DeVry UniversityのCISO であるFred Kwongは指摘しています。「AIで、シナリオが変わっています。AIエージェントはSIEM内のデータを取得し、困難な仕事を行うことができます。」

SIEMの場合、そのワークロードを処理するためのAIへのシフトは理にかなっていると彼は述べています。これにより、SIEMはより「本当に高価なデータベース」として残されます。彼は、データレイクはフロントエンドでAIエージェントと大規模言語モデル（LLM）を使用して、より機能的で安価な選択肢になると述べています。

一方、Whaleyは同様のシナリオを予測しており、来十年でSIEMが「純粋なアーキテクチャ、データベースのような」に進化し、SIEMが従来、様々なセキュリティツールと機器から集約した相関、オーケストレーション、およびアクションデータに基づいてAIベースのツール。 

「SIEMはデータの基盤になります。AIは推論エンジンになります。オーケストレーション層はそれらの間の結合組織であり、それは誰も完全に構築していません」と彼は指摘しています。今日のほとんどのSIEMは主にログ検索にAIを使用していますが、イベント、デバイス、および応答間の真のオーケストレーションは使用していません。

ADark Readingが実施した最近のオンライン投票は、SIEMの将来に関する様々な見解を発見しました。1,400人以上の回答者のうち、40％はそれをXDR、エンドポイント検出および応答（EDR）、または他のセキュリティ製品に統合する必要があると述べました。35％はAIとその他の更新がSIEMを生かしておくと述べました。そして15％はSIEMが滅びると述べました。 

2024年7月19日、CrowdStrikeのFalcon Sensorへのルーチンな夏の金曜日のコンテンツ更新は、急速に壊滅的な停止に螺旋を描き、最終的に850万台のWindowsデバイスに影響を与え、世界の重要なインフラストラクチャのセクションを混乱させました。 

視点だけでも恐ろしかった。Windowsの「ブルースクリーンオブデス」はどこでも点滅しました。空港ターミナルスクリーン、企業デスクトップ、ラスベガススフィアで放送されている人々に見られています。バグのあるコードはデバイスを絶え間ない再起動モードに閉じ込めました。グリッチが調整され、CrowdStrikeは迅速に修正をプッシュアウトしましたが、ダメージを取り消すのに十分ではありませんでした。各クラッシュしたシステムは、破損したファイルを削除するために、セーフモードで手動で再起動する必要がありました。 

全部で、中断は数日間続き、3,000以上のキャンセルされたフライト、11,800のフライト遅延、911のコールセンター停止、さらには手術のキャンセルさえも引き起こしました。 

それは悪かったですが、その後もひどかった。インシデントの数日後、CrowdStrikeの高名なCEOであるGeorge Kurtzは米国下院国土安全保障委員会によって呼び出され、災害の説明を要求されました。数週間後、Kurtzはセキュリティソリューションの世界最大の買い手の一部を含むCISO Summitサイドハドルの間にテーブルからテーブルへチャットするためにBlack Hatに行きました USA。 

CrowdStrikeは評判の打撃に耐えましたが、業界、特にMicrosoftは、サイバーセキュリティ企業がWindows に深くカーネルアクセスを与えられていたことを再検討することを余儀なくされました。コード変更を行い、世界全体に一度にそれらをプッシュアウトします。それは明らかな単一の故障ポイントでした。 

「CrowdStrikeインシデントは集中リスクについてのウェイクアップコールでした」と、Bugcrowdのおつかいサーチェンジは述べています。「単一の更新が航空会社を接地し、病院をオフラインにしたり、銀行を世界中で凍結できるとき、それはベンダーの問題だけではなく、システミックな問題です。業界の教訓は、復元力は設計されなければならないということです。段階的なロールアウト、キルスイッチ、および厳格な展開前テストはカーネルレベルで実行されているものすべてのテーブルステークである必要があります。」 

Microsoftは数週間後に「セキュリティエコシステムサミット」を召集して、可能な解決策を議論しました。そして2025年の後半の6月に、Microsoftは2つの重要な更新を発表しました。CrowdStrikeのようなエンドポイント検出および応答（EDR）ソリューションはもはやカーネルレベルのアクセス権を持たず、「BSOD」はハッシュタグに少し簡単に貸し出す可能性があることを認識して、おそらく、ブルースクリーンオブデスの美学は黒と白のバージョンに置き換えられました。 

仕事だけでなく日常生活を混乱させた最近の世界的なクラウド停止は、私たちの接続性と仕事生活の多くがいかに多くが少数のベンダーによってコントロールされているかを明らかにしました。これは組織が進化する必要があるかを強調しています。セキュリティ姿勢は、事業運用、財務、および顧客信頼へのリスクに対抗します。

Amazon Web Services（AWS）、Cloudflare、CrowdStrike、およびAzureはパブリッククラウドマーケットに強力に握っており、過去20年間に複数回クラッシュし、企業アプリ、サービス、およびドメインをオフラインに凹ませています。 

特に過去10年間でクラウドサービスへの依存が大幅に増加しており、AI駆動データセンターの需要の増加の中でさらに重要になっています。データセンターはすべての国の重要なインフラストラクチャの一部になりました。しかし停止が続いています。

AWSは2025年と2026年だけで複数の停止を被りました。2つは、そのAIツールでのエラーに関連しています。10月に、あるAWSクラウドの停止は、世界中のサービスが無用に見えていた状態で、最低でも15時間のストレスを引き起こしました。 

一方、MicrosoftはAzureの顧客の失敗と遅延を開示しました先月。しかし、より長くAzureの中断は発生しました。分散型サービス拒否（DDoS）攻撃に続く2024年。 

最近のイベントは、パブリッククラウドプロバイダーが敵にとって価値があり、時には簡単なターゲットであることを示しています。SANS認定インストラクターであるAhmed Abugharbia。 

「過去数ヶ月間のクラウドの障害は、DNS関連の停止などの一般的で避けられない問題から、ドローンストライキによる物理的なデータセンターへの損傷など以前は予見されていなかったイベントに至るまで、非常に多様です」とAbugharbiaは述べています。

彼は、企業や他の組織がより復元力を持つようになるためには、防御戦略の転換の必要性に注目しています。これにより、クラウドの再アーキテクチャが生じる可能性があります。

「単一のクラウドプロバイダーに依存することはより単純で、より効率的で、より拡張性がありますが、このリスクの増加する範囲、多くの場合ますます避けられないもの、業界が戻って、複数のパブリッククラウドおよび民間のものでもデータとサービスの復元力に大きなものを配置せざるを得ないことを意味することができます」と彼は述べています。

それは世界最大のチップメーカーを新しい高さに押し上げることになっていたブロックバスター買収でした。しかし、IntelのMcAfeeの76億8000万ドルの購入は、スクエアペグとラウンドホールのオブジェクトレッスンになってしまいました。

企業が2010年に提案された買収を発表したとき、サイバーセキュリティは上昇していて、McAfeeはSymantecとTrend Microと一緒にマーケット内の「ビッグスリー」アンチウイルスベンダーの1つでした。Intelの戦略は、McAfeeのソフトウェアをチップと組み合わせて「ハードウェア強化セキュリティ」を大衆にもたらすことでした。

高い価格タグは当時眉をしています。サイバーセキュリティは重大な成長への道と見なされていました。元Intelの最高経営責任者Paul Otelliniはセキュリティをコンピューティングの「3番目の柱」と宣言しました。エネルギー効率の高いパフォーマンスとインターネット接続とともに。 

しかし、柱は最終的にひびが入ります。McAfeeはIntel Security Groupに改名されましたが、シリコン巨人のロードマップに完全に組み込まれたことはありませんでした。 

「残念ながら、Intelが新しいIntelセキュリティ部門から期待していた相乗効果は、実質的な形式では決して到着しませんでした」とCerniveraのプレジデント兼チーフアナリストであるEric Parizoは述べています。「セキュリティソフトウェアと半導体エンジニアリングは、異なるタレントプール、販売動作、顧客関係、およびイノベーションサイクルを備えた基本的に異なるビジネスであることが判明しました。」

タイミングも素晴らしくありませんでした。ハードウェアとソフトウェアの融合に移動する代わりに、テクノロジー業界とサイバーセキュリティ市場はクラウドコンピューティングに向かって急いだ。2016年、Intelはその損失を削減することを決定し、McAfeeの大部分のステークをTPG Capitalに31億ドルで売却しました。 

新しく独立したMcAfeeは2020年に別のIPOを開始しましたが、わずか2年後に再び民間に連れ戻されました。有名なサイバーセキュリティベンダーは最終的に分割され、その企業ビジネスはTrellixを形成するFireEyeと組み合わされました。 

全部で、Intelの30億ドル以上のMcAfee買収による損失は、「ハードウェア・ソフトウェア収束戦略の限界における費用がかかる教訓として」Parizoのメモリに残っています。

最近の数年間で、法執行機関と防御者はサイバー犯罪者を解体するためにゲームを強化してきましたが、脅威グループが完全に取り下げられるのは稀です。 

ケースバイケースベースで、多くのセキュリティ専門家は、LockBit、Cl0p、BlackSuitなどのグループを破壊する際の国際法執行機関の役割を高く評価しています。法執行機関のアクションは、多くの攻撃者を後ろ足に置き、ランサムウェアの厳しさに対して肯定的な影響を与えました。復号化キーの回復を含む。

しかし、実際に対処しているのは、サイバー犯罪者が実質的に自分自身を運営することを許可する永続的で国際的な法的および技術的インフラストラクチャ由来のはるかに大きなシステムの失敗です。 

サイバー犯罪者は非引き渡し国から運営し、国際法のギャップを悪用し、正当なインフラストラクチャと防弾ホスティングサービスを利用することなく実質的な悪影響、その他。帰属は困難であり、起訴さえより難しい。 

1つの脅威グループが破棄されると、それはしばしば1つまたは複数の他の犯罪企業にブランド変更されます。例えば、DarkSideはBlackMatterになり、最終的にALPHV/BlackCatになりました。 

またはそれは時々ヒドラのように戻ってくる。LockBitの場合を見てください。1つ（またはそれ以上）の頭部は、深く破壊的な法執行機関のアクションに関わらず残っています。ギャングは他の犯罪企業と一緒に融合したり、Scattered Lapsus$ Huntersのようなカルテルのようなエンティティを形成したりします。散布されたクモ、ラプススのメンバーで構成されているサイバー犯罪集合、およびShinyHunters、様々なメンバーの逮捕後。

サイバー犯罪自体の進化もあります。過去20、10、さらには5年です。ランサムウェア・アズ・ア・サービス（RaaS）は、個人がスケーリング時に組織を攻撃できるアフィリエイト経済を確立しており、技術的な能力はありません。RaaSSグループが破棄されても、小さな軍隊の悪意のあるスクリプトキディがスクリーニング後に残され、次の大きなランサムウェアブランドを作成する準備ができています。

究極的には、防御者と法執行機関はネットワークと個人に危害を加えるものに対して永続的な賭けに留まっています。ここ数年、法執行機関は犯罪者を重く支持するゲームをしてきました。全てのポジティブな仕事にもかかわらず。

良いニュースは、FTI Consultingマネージングディレクターのブレット・キャロウが暗い読み取り、それは全てこの作品が凹むしていることです。

「ランサムウェアグループが迅速に再ブランド化されても、法執行機関の中断は重要です。彼らは実際の運用コストと摩擦を課しているからです」と彼は述べています。「インフラストラクチャが押収され、暗号通貨ウォレットが凍結され、関連会社が分散され、信頼できるリレーションシップがそれほど信頼できなくなり、グループが攻撃をする代わりに再構築するのに時間とお金を費やすことを余儀なくされています。」

Ocean’s 11スタイルの手の動きは必要ありません。キーボードを持つティーンエイジャーのグループがラスベガスストリップの2つの最大のカジノを解体するために必要なのはVishing攻撃と少しの独創性だけでした。 

MGM ResortsとCaesarsのヘルプデスクを甘い話すことで、後のとして有罪判決を受けた指輪「キングボブ」を含む後期ティーンのサイバー小悪党は、ALPHV（別名BlackCat）ランサムウェアの破壊的な部分を両社のシステムに落とすことができました。 

突然、スロットマシンは暗くなり、ホテルのキーカードは一度に何千人もの観光客のために機能を停止しました。アイデアについては、MGM Resortsは当時ラスベガスストリップに約50,000のホテルの部屋を持っていました。 

次に来たのは、2つの異なるインシデント対応アプローチのおとぎ話でした。 

Caesarsが支払った。組織は1500万ドルの身代金を提供し、ビジネスに戻りました。MGM Resortsは拒否しました。そしてそれは長く、高価な10日がかかってしまいました その前にホテルとカジノは再び運用されていました。どちらの企業もデータを保護していませんでした。 

全部で、MGMは推定1億ドルを失いました。これはCaesarsによって支払われた1500万ドルと比較して大きな損失のように見えるが、どちらも迅速に回復した。インシデント後のSEC提出に従って、保険は損失のいくつかの支払いを出しました。そして、驚くべきことに、どちらも投資家が懸念すべき長期的な経済的損害を予想していませんでした。 

しかし、全体的なインシデントは、アイデンティティに執着するサイバーセキュリティ業界にとって重要な教訓でした。キングボブと彼のカジノのサイバースレイヤーのバンドは、防御者が予見していなかったものを完成させました。彼らはソーシャルエンジニアリングを使用して多要因認証、特にOktaユーザーの管理者認証情報を回避しました。MGMのOktaサーバーに潜んでいる脅威アクターは、ランサムウェアを落としたい時間を選ぶだけでした。 

「サイバーセキュリティ業界は、MGMとCaesarsの攻撃によるウェイクアップコールがありました」とHuntressサイバーセキュリティアドバイザーのBryson Byrdは述べています。「これらの攻撃は、アイデンティティに焦点を当てた攻撃がもたらすことができる本当の影響を前景に持ってきました。防御者は、運用復原力の名の下にエンドユーザーの成功のためのシステムを設計しなければならないということを学びました。」

キングボブと4つの追加のScattered Spiderの兄弟は2024年1月に逮捕されました。彼らはカジノハックおよび他の様々なサイバー犯罪の有罪を認めた。（家は常に勝ちます！）Scattered Spiderとともに、連邦政府は最終的にALPHV/BlackCatの後ろRaaS操作を追い越して、2023年の初め12月にはインフラストラクチャを解体しました。 

一般的なルール：そこにいる必要がない場合、インターネットにデバイスを公開しないでください。 

脅威アクターは、ルーター、VPN機器、およびネットワーク接続ストレージ（NAS）デバイスなどの公開されたデバイスについて、パブリックインターネットを定期的にスキャンして、被害者組織への簡単なフロントドアアクセスを獲得しています。それでも、世界は開いたIPポートを備えたデバイスと無視されたクラウドの誤構成で満ちており、この攻撃ベクターがもたらす危険についての緊急の警告にもかかわらず。

高くプロファイルの例は、公開のウェブサイトが修正されていないソフトウェアを実行していたEquifaxの漏洩に戻ります。そしてWannaCry。ランサムウェアは、インターネット公開デバイスを標的にしました。Microsoft Windowsオペレーティングシステムの修正されていないバージョン。Colonial Pipelineへのランサムウェア攻撃はより最近の例です。脅威アクターは、オフラインに取得する必要がある従来のVPN機器を標的にしました。

言い換えれば、基本は重要です。 

一部のデバイスはより明らかにインターネット接続されていますが、組織はインターネットオブシングス（IoT）デバイスの影響が少ないかもしれません。これは急速に職場を引き継ぎます。温度計、プリンタ、およびIP対応カメラのような。脅威アクターは簡単にこれらのデバイスをハックし、ネットワークを横方向に移動することができます。 

責任はまた、組織のセキュリティ衛生をより簡単にするためにベンダーにも落ちます。Rapid7のプリンシパルセキュリティ研究者であるDeral Heilandは、過去30年間のキャリアの中で多くが変わったことに注目しています。まず、多くの技術はまだデフォルトで有効にされた複数のオープンサービスで出荷されています。    

「これを展開の取り組みと組み合わせるとき、テクノロジーの効果を与え、制限的なタイムフレーム内で配信することに焦点を当てて、デバイスとクラウドサービスが適切なセキュリティを硬化させずに配置されている場合があります。これらを分割する恐れから出て、影響の期限に影響を与えます」とHeilandは述べています。 

そして、IT部門はしばしば慎重さより生産性を強調しています。 

「デバイスがサービスとポートが無効になって表示される場合では、「テストのためにこの展開をできるだけ早く実行し、後で少し固めるだけで、それを取得できるようにすべてを有効にしましょう。」という問題があります。」彼は指摘しています。「残念ながら、後は決して起こりません。」

2010年、SymantecはVeriSignの有利な認証ビジネスの買収で世界で最大の独立したサイバーセキュリティベンダーとしての位置を強化するために大きな動きを行いました。

買収にはVeriSignのPKIオペレーションが含まれました。2015年までに、Symantecは世界で最大の認証局（CA）でした。Web上すべてのSSL証明書の3分の1近くを発行し、インターネット上の最も訪問されたウェブサイトのほぼ半分を説明しています。

しかし2年後、物事は解き始めます。2017年1月、SSL Mateの創立者Andrew Ayerは、サイバーセキュリティの巨人が100以上の不正な証明書を発行したことを発見しました。適切な検証がありませんでした。発見はGoogleとMozillaがさらに調査するようにしました。SymantecがSymantecが30,000の証明書を数年間にわたって誤発行したことを明かしています。

その結果、Google、Mozilla、およびCA/ブラウザーフォーラム内の他の主要なブラウザープロバイダーはSymantecに対して深刻な措置を講じました。同社の証明書への信頼の増分削除を発表しています。つまり、Symantec証明書を持つ何百万ものウェブサイトは、主要なWebブラウザーの多くでは機能しなくなります。彼らは、一言で言えば、完了していました。

ブラウザメーカーはSymantecに最終通告も与えました。PKIをスクラッチから再構築するか、売却するか。いくつかの初期の反発後、Symantecは最終的に後者を選択して、2018年にCAビジネスをDigiCertに売却しました。

これは主要なCAに対する前例のない罰文と見なされました。「ブラウザーラシー」は以前のCAを明らかな詐欺と虐待に禁止していました。しかし、Symantecのケースは異なっており、市場基準が何であるべきかについて新しい標準を設定しました。Ayerは述べています。 

「それは、CAが不信をしたり、詐欺的ではなく、被害を受けていなかったかもしれないだけで不信された可能性があることを確立しました」と彼は述べています。

SectigoのチーフコンプライアンスオフィサーであるTim Callanは、SymantecのケースがCA市場にとって極めて重要だったと述べています。 

「それは、大きすぎないので失敗する精神は安全な仮定ではないことを示し、最も根拠のあるパブリックCAでさえ最終的に置き換えられることを示しました」と彼は述べています。