サイバーインシデント復旧を加速させるための7つのヒント

強力で冗長的な防御手段がありながらも、企業は様々なサイバー攻撃に対して脆弱性を持っています。また、攻撃とサイバーインシデントは必ず起こるため、迅速で包括的かつ調整された、インシデント対応と復旧プロセスを開発することが不可欠です。

インシデント復旧時間を短縮することは重要です。なぜなら、障害が長く続くほど、コスト、リスク、ビジネス中断の問題がより増加するからです。これはプロフェッショナルサービス企業のDeloitteの米国サイバーディフェンス・レジリエンスリーダーであるSharon Chandが述べています。

「AI駆動の攻撃は攻撃者のアクションと適応を加速させるため、緩慢な復旧は再侵害のウィンドウを広げる」と彼女は付け加え、延長された障害は相互に依存する内部および第三者のシステム全体にわたる連鎖故障を引き起こす可能性があると警告しています。

さらに、攻撃中および後に展開される手動の対応策は、データ整合性を脅かし、コンプライアンスリスクを増加させる可能性があります。「内部的には、延長された「ウォーラーム」復旧によって、サイバー部門全体に負荷がかかり、バーンアウト問題、エラー率、および離職が増加し、最終的には将来のインシデント対応がさらに難しくなる」と彼女は説明しています。

インシデント復旧時間を最小化するために、あなたができるすべてのことをしていますか？ここは、インシデント復旧を加速させ、企業のセキュリティを保つための7つのヒントです。

インシデント対応チームのスキルと調整を強化する

サイバーインシデントからの迅速な復旧を確保するためには、十分に定義され、十分に準備されたインシデント対応チームが不可欠です。統一通信サービスプロバイダーであるAvayaのCISO、Chris Hillが述べています。「弾力性のある組織では、このチームはすでに準備が整い、テストされ、遅延なく動く準備ができています」と彼は述べています。

対応チームは状況を素早く定義し、何が起こっているのかを正確に理解し、問題を抑制し、さらなる悪影響を防ぐために訓練され、磨かれるべきです。Hillが述べています。並行して、対応チームは根本原因を調査し、ビジネスへの影響を評価し、法務および通信チームと調整する能力に優れている必要があります。

セキュリティ組織およびIT全体内での調整が不可欠です。Hillが付け加えています。ITとサイバーセキュリティは対応が進行中であっても、「サービスを復元し、セーフガードを強化するための復旧アクション」に協力する必要があります。

Hillによると、最終的な目標は、最小限の中断で完全なサービスを復元しながら、同時にセキュリティプラットフォームのレジリエンスを強化して、企業がインシデントから強化され、より良く保護された状態で脱出することです。

テーブルトップ演習は、対応チームが準備されていることを確保するために重要です。

最初からスコーピングと封じ込めを強調する

止められないものから復旧することはできないため、スコーピングと封じ込めはインシデント復旧中の絶対的な最優先事項である必要があります。貨物海運会社International Seawayのディレクター兼CISOであるAmit Basuが述べています。

「何よりもまず、出血を止める必要があります」と彼は述べています。これは侵害の真の範囲を理解し、影響を受けたシステムを識別・隔離し、危険にさらされた認証情報を取り消すことを意味します。「何が危険にさらされたかを完全に理解する前に修復に急ぐと、不完全な復旧と再感染につながる可能性があります」とBasuは警告しています。

Basuは、封じ込め後のプロセスは5つのフェーズを通じて流れるべきだと考えています。削除（マルウェアの除去、攻撃ベクトルのクローズ、脆弱性のパッチ適用）、証拠保全（法的および規制上の目的に不可欠なシステムをワイプする前のフォレンジックイメージング）、システム復元（危険にさらされたシステムにパッチを適用するだけでなく、既知のクリーンなバックアップまたはゴールデンイメージから再構築）、検証とテスト（復元されたシステムが再接続される前にクリーンで機能していることを確認）、および監視（再進入を検出するための復旧後の監視強化）です。

状況認識を確立する

悪役の評価、脅威ベクトル、影響を受けたアセット、および重要なサービスまたは製品への潜在的な影響を含む状況認識を作成することはすべて考慮され対処される必要があります。グローバルコンサルティング企業ProtivitiのテクノロジーコンサルティングディレクターであるDugan Krwawiczが述べています。

状況認識が確実に展開されたら、関連するインシデント対応とクライシスマネジメントガバナンスに注意を向ける必要があります。Krwawiczが述べています。「これは、既知の重大度レベルに合わせた必要な役割の割り当てと、タイムリーでオープンなコラボレーションを可能にするワールームまたはコールブリッジの開始を含みます。」彼は、その後の取り組みは3つのコアエリアに焦点を当てるべきだと述べています。削除、復旧、および調整されたコミュニケーションです。

Krwawiczは、インシデント対応のあらゆる努力の目標は、許容可能なサービスレベルで事前に決定された期間内に重大なビジネス活動の安全な再開を含むべきだと述べています。しかし彼は、CISOがシステムおよびデータ整合性よりも復旧速度を優先する場合、追加の課題が発生する可能性があると警告しています。「また、テクノロジーおよびサイバーチームがビジネスアラインメントまたはエグゼクティブ調整なしにサイロで運営することも誤りです。」Krwawiczが付け加えています。

外部サポートを求める

サイバーインシデントに直面する際、CISOはインシデント指揮を迅速に構築または拡張し、利害関係者を調整し、重大なサービスの安全な復元を加速させるのに役立つ経験豊かなインシデント復旧プロバイダーを直ちに確保する必要があります。Chandがアドバイスしています。

多分野にわたるパートナーは通常、デジタルフォレンジックスおよびインシデント対応（DFIR）、および封じ込め・削除サポート、クラウド復旧スペシャリスト、および構造化された安全な復元アプローチを提供します。彼女が述べています。

「プロバイダーは、外部の違反弁護士、サイバー保険会社・違反コーチ、主要なテクノロジーベンダー、および必要に応じて危機通信と規制準備との並行ワークストリームを調整するのにも役立ちます。」Chandが述べています。「この結果は、より迅速で、より良く管理された復旧、より明確な決定、より清潔な証拠、および運用上の驚きが少ないことにつながります。」

ビジネスの重要性による復旧を優先する

サイバーインシデントがビジネスシステムに影響を与える場合、停止時間の毎時間は、より大きな財務的損失、顧客信頼の低下、および規制的エクスポージャーにつながります。AmazonのセキュリティエンジニアリングマネージャーであるAparna Himmatramkaが述べています。「より遅い復旧は悪質なアクターにより多くの滞在時間を与え、データ流出・漏洩のリスクと量を増加させます」と彼女は付け加えています。

しかし、たとえ誘惑的であっても、勝利を早すぎて宣言すると、将来の失敗につながる可能性があります。Himmatramkaが警告しています。「私たちはバックアップしている」と言うための組織的プレッシャーは、根本原因分析をスキップし、複雑な永続化メカニズムを見落とし、バックアップ整合性を検証しない状況につながる可能性があります。「侵害はシステムがオンラインに戻った時点では終わりではありません。何が起こったかを正確に理解し、ギャップを成功裏に閉じた時点で終わりです」と彼女は述べています。

Himmatramkaは、技術的な便利さではなく、ビジネスの重要性による復旧を優先することを推奨しています。「検証されたクリーンバックアップを使用して最初に収益を生成し、安全性を重視するシステムを復元し、各段階で整合性を検証し、リーダーシップ、法務チーム、および規制当局に情報を知らせながら、並行ワークストリームとして通信を実行してください。」

規律を保ち、即興を避ける

復旧に落ち着いて論理的に対処することが重要です。システムインテグレーターおよびクラウドサービス企業Blue MantisのCISO、Jay Martinが述べています。彼は、プレイブックを規律立てて実行し、即興ではなく実践的な手順に頼ることを提案しています。

「インシデント対応チームがNIST 800-61フレームワークと責任、説明責任、相談、情報（RACI）マトリックスに従って、技術分析、コミュニケーション、法的問題、およびサイバー保険会社との相互作用を処理するかを明確にしてください」Martinが述べています。「このタイプの構造化されたアプローチは、必要なすべてのアクションが対象となり、対応が調整され効率的であることを保証します。」

Martinは、CISOがインシデント対応チーム、危機通信専門家、法的助言、サイバー保険プロバイダー、および管理セキュリティサービスプロバイダー（MSSP）または管理サービスプロバイダー（MSP）などのサードパーティベンダーを含むさまざまなソースから強力なサポートを構築する必要があることに注目しています。

「インシデントが長引く場合、信頼が失われ、気性が高ぶり、内部的な摩擦がプロセスを損なわせ始める可能性があります」と彼は警告しています。「チームを一緒に保つ、対応機能を正しい方向に進め続けるために、強力なリーダーシップが不可欠です。」

将来のために学んだ教訓を実装する

ほこりが落ち着いたら、完全な封じ込め、削除、および修復を達成したことを確認することが重要です。サイバーセキュリティ企業Blackwire LabsのCEOであるJosh Rayが述べています。「あなたが自信を持って検証を確認するまで、他は何も起こらないはずです」と彼は述べています。

誘惑にもかかわらず、Ray即座にペネトレーションテストを起動しないよう警告しています。「攻撃者はあなたのためにそれを実行しました、そしてあなたはそれに失敗しました」と彼は述べています。「代わりに、防御を固めるためにお金を費やし、学んだ教訓が実装され、新しいコントロールが自分たちを証明するチャンスを持った後にテストで検証してください。」