出典: Prostock-studio via Alamy Stock Photo
コメント
攻撃者はあなたのルールを気にしない—それなのになぜ私たちはまだそれに基づいてセキュリティプログラムを構築しているのか?
書類上では、すべてが堅固に見える:文書化された手順、エスカレーションフロー、承認ゲート。しかし、物事がうまくいかなくなると、特にすべてを規則通りに行うことに執着している組織では、同じ計画が数分で崩壊するのを見てきました。
私が関わったある侵害は、基本的な フィッシングメールから始まりましたが、それほど巧妙なものではありませんでした。チームはそれを見逃しました—監視していなかったからではなく、プロセスに埋もれていたからです。彼らはそれをエスカレーションし、確認を待っている間に攻撃者は動き続けました。
システムが厳格であればあるほど、予測が容易になります。そして攻撃者は予測可能性を好みます。
プロセスへの執着が攻撃者より遅くなるとき
プロセスは私たちを守るはずです。しかし、実際のインシデントでは、しばしば攻撃者に最も必要なもの、つまり時間を与えてしまいます。
私が関わった大規模な侵害では、対応チームはプロトコルに従ってステップバイステップで対応しました。エスカレーションが記録され、チケットが追跡されました。その間に攻撃者はすでに横方向に移動し、深く埋め込まれていました。誰かがそれに気づいたときには、被害は数千万ドルに達していました。
これはツールの問題ではありませんでした。これはマインドセットの問題でした—文書化が保護に等しいという信念。しかし、攻撃者はより賢くなる必要はありません。彼らは、チェックリストを信じ続けるチームよりも速く動く必要があるだけです。
関連記事:重要なSAP NetWeaverの脆弱性に対するサイバー攻撃の猛攻
本当のリスクは遅延ではなく、リーダーシップのパニック
皮肉なことに、プレッシャーの下で苦しむのは最前線のチームだけではありません。しばしば最初に崩れるのはリーダーシップです。
私が関わった ランサムウェア のケースでは、経営陣がパニックに陥るのを見てきました。ダウンタイムが増え、ステークホルダーが電話をかけ始め、突然、優先順位が封じ込めから見た目にシフトしました。ある会社は攻撃者が完全に排除されたことを確認する前にシステムを復旧しました。彼らは再び、そしてより激しく攻撃されました。
攻撃者は新しいエクスプロイトを必要としません。彼らはあなたが手を抜くことを必要としています。急いだ復旧は元の侵害よりも多くの損害を引き起こす可能性があります。リーダーが封じ込めよりも「解決の見た目」を追い求めるのをやめるまで、これらの失敗は繰り返され続けるでしょう。
プロセスのミニマリズム: なぜ少ない方が強い対応を生むのか
プレッシャーの下で最も成果を上げるチームは、大量のプレイブックを持っているチームではありません。彼らは何を無視すべきかを知っているチームです。
ライブインシデント対応の経験を重ねた結果、1つのパターンが浮かび上がりました:シンプルさが効果的です。高機能のチームは、いくつかの基本原則に基づいて運営されています。彼らは何に対処し、何を回避するかを知っており、誰も彼らの首を絞めることはありません。
彼らはPDFに頼りません。彼らは本能、パターン認識、そして問題が発生したときに鋭敏でいることに頼っています。それがプロセスのミニマリズムです:ノイズを取り除き、人々が対応できるようにすることです。
関連記事:RSAC 2025: AIが至る所に、信頼はどこにもない
構造を捨てることではありません。考えるチームを構築することです。ほとんどのセキュリティプログラムはそれがどれほど重要かを理解していません—計画が崩壊し、次に何をすべきかわからなくなるまで。
攻撃者が気づく前にドリフトを明らかにする
ほとんどのセキュリティプログラムの最大の盲点の1つはツールではなく、チームがプロセスを正確に書かれた通りに従っているという仮定です。
ほとんどの組織は監査と事後報告に依存しています。しかし、それらは書類を測定するだけで、実際に何が起こったかは測定しません。ある案件では、リアルタイムの対応行動を追跡しましたが、それは公式のプロセスと一致しませんでした。
静かなシフトを発見しました。アナリストは騒がしいアラートをスキップしていました—怠惰からではなく、生存のために。回避策が静かに標準となっていました。どの監査もそれを見つけることはありませんでした—なぜなら、どの監査もそれを見ていなかったからです。
その行動のドリフトは致命的になり得ました。しかし、それを早期に表面化させることで、チームはそれを修正する機会を得ました—攻撃者がそうする前に。プレッシャーの下でチームがどのように機能しているかを見ていないなら、リスクを管理しているのではありません。それに署名しているだけです。
心理的レジリエンスはソフトスキルではない。それが真の準備である
インシデントはシステムだけでなく、人々を試します。そして、どんなにプレイブックを磨いても、火の中での精神的な明晰さに代わるものはありません。
経験豊富なアナリストでも、プレッシャーがかかるとフリーズしたり、トンネルに入ったり、誤射したりします。実際、厳格なプロセスはしばしばそれを悪化させます—彼らが考える必要がある正確な瞬間に人々をルーチンに閉じ込めます。
私が関わったある金融機関では、技術的に優れたチームがいましたが、実際のプレッシャーの下で対応が崩壊し続けました。いくつかの高額なインシデントの後、彼らは方向を変えました—プレイブックを簡素化し、ハイプレッシャーの訓練を行い、技術的な深さだけでなく精神的な持久力を訓練しました。
次の大きな攻撃が来たとき、彼らは動じませんでした。チームは適応し、冷静さを保ち、以前の対応を崩壊させた燃え尽き症候群を避けました。
私たちは準備を技術スタックのように話します。しかし、真の準備は、すべてが炎上しているときに明確に考えることができるチームです。それは「持っていると良い」ものではなく、唯一機能するものです。
現実に直面しても生き残る文化を構築する
これを修正するのは、プレイブックを書き直すことから始まるのではありません。プレッシャーに対するセキュリティプログラムの考え方を変えることから始まります。
私が関わった最もよく運営されている組織では、賢明な決定が報われます、たとえそれがスクリプトから外れていても。最悪の組織では、アナリストが凍りつきます—何をすべきかを知らないからではなく、「間違った」方法で行うことを恐れているからです。その恐怖がすべてを遅らせます。
もう一つの文化の変化:インシデントを燃料として使うこと。ある組織では、迅速で生の事後レビューを行い、交渉の余地はありません。スライドも、責任追及もありません。ただ何が起こったのか、何が壊れたのか、明日何が変わるのか。
そして、最高のチームは事後分析を待ちません。ある企業では、週に一度、アジェンダのない集まりを開催し、チームメンバーが奇妙な出来事、直感的な判断、または怪しいエッジケースを表面化させました。その信頼はプロセスを改善しただけでなく、プレッシャーがかかる前に迅速に動くための訓練にもなりました。
脅威は時間単位で進化します。ほとんどのプロセスはそうではありません。コンプライアンスは監査人を喜ばせるかもしれませんが、アクティブな攻撃を止めることはできません。セキュリティ文化がリアルタイムで柔軟に対応できないなら、それはすでに障害となっています。
根本的な正直さの時
率直に言いましょう:コンプライアンスチェックリストと手続きへの執着に基づいたセキュリティプログラムは、単に効果がないだけでなく、攻撃者が勝つのを容易にしています。
私はそれを直接見てきました。アナリストは手続きに麻痺しています。対応が遅くなり、リーダーシップは家がすでに燃えているときにプロセスにしがみついています。
レジリエンスはより厚いプレイブックから来るのではありません。それはスクリプトを捨てる時を知り、プレッシャーの下でチームがどのように機能するかを理解し、重要なときに対応するためのスペースを与える文化を構築することから来ます。
攻撃者は毎時間適応します。ほとんどの組織はまだ2019年のようにポリシーを書いています。先を行く組織は最もコンプライアントな組織ではなく、実際に機能するものについて最も正直な組織です。