なぜ私たちは間違った人々に助けてもらうよう頼んでいるのか。
サイバーセキュリティで金科玉条となったフレーズがあります。「従業員は最後の防線である」
私たちはこれを中心に全産業を構築してきました。セキュリティ認識プログラム、強制シミュレーション、エンドポイント、アプリケーション、コラボレーションツール全体のユーザー報告ワークフローに数十億ドルが費やされています。すべては、実際に何を求めているのかを検証するまでは合理的に見える前提に基づいています。
私たちが求めていることは次の通りです:マーケティングコーディネーター、買掛金担当者、営業担当者が、高度なセキュリティツールと訓練を受けた専門家が見落としたものを見つけることです。
それはセキュリティ戦略ではありません。農民に傭兵を撃退するよう求めているのです。
私たちが語らない階層構造
典型的な組織における実際の防御能力を考えてみてください。
あなたのセキュリティチームは数年の専門的訓練を受けており、SIEMプラットフォーム、脅威インテリジェンスフィード、フォレンジックツールにアクセスできます。彼らの本業は防御です。
あなたのCISOは数十年の経験、組織全体の戦略的可視性、アーキテクチャの決定を行う権限を持っています。防御は彼らの専門的アイデンティティ全体です。
あなたの従業員は短い年1回の訓練モジュール、報告ワークフロー、そして実際に雇用された仕事から割くことができる注意力を持っています。
私たちは3番目のグループが最初の2つが失敗しているところで成功するという考え方を中心に、数十億ドル規模の産業を構築しました。
証拠はすでに存在する
これは理論的な苦情ではありません。実際のSOCの動作方法に関する研究に現れます。SOC従事者との調査と面接に基づくオックスフォード大学の研究では、使用中のツールの誤検知率が高いことが確認され、多くの「誤検知」は実際には人間による検証を必要とする良性のトリガーであることが分かりました。
それは従業員の失敗ではありません。それは従業員が私たちが訓練したとおりのことをしている、という意味です。そして訓練は明確さよりも量を生み出しています。
ユーザー報告システムはノイズアンプリファイアになりました。従業員は、不通常なアクセスプロンプト、予期しないシステムメッセージ、自動化されたワークフロー、新しい統合、時間的に敏感なリクエストなど、パターンから外れているように感じるものに旗を立てるよう励行されています。これらの信号はかつてリスクを示していました。今日では、現代の自動化されたビジネスがどのように実際に機能するかを反映しています。従業員に不信感を持つよう教えた手がかりはますます通常の仕事を説明しています。
セキュリティの人間要素について語るとき、私たちはインシデント中に4時間の睡眠で走行しているCISOについて語るべきです。数千の信号全体でパターンマッチングを行うアナリスト。認証ログで何か少しおかしいことに気づく脅威ハンター。ブリーチになる前に構造的な弱点を見つけるアーキテクト。
これらはエリート防衛者です。訓練を受けた専門家。あなたのセキュリティ態勢における実際の人間知能。
彼らが追いつけない場合、つまり彼らの能力が誤検知のトリアージ、ユーザー提出レポート、運用上のエスカレーション、キューをクリアする絶え間ないプレッシャーによって消費されている場合、エンドユーザーのための認識訓練の量では、そのギャップを埋めることはできません。
圧倒された特殊部隊を補うために農民にライフルを配ることはありません。
不快な計算
ほとんどの組織で実際に起こっていることを説明します:
セキュリティチームは毎日数百のアラートを受け取ります。多くは自動制御、ユーザー報告ワークフロー、注意に基づいてエラーするように設計された予防的検出から発生しています。有意なパーセンテージが調査を必要としています。調べるまで、何かが害がないかどうかを知ることはできません。各調査には15~20分かかります。計算は迅速に利用可能なアナリストの能力の100%を消費します。
誤検知の量が容量に達すると、戦略的脅威狩猟はゼロに低下します。複数の信号間のパターン認識、脅威インテリジェンスとの相関関係、洗練された攻撃を捕捉する遅い慎重な分析の時間はありません。
洗練された攻撃は自分自身をアナウンスしません。彼らは他のすべてのようにキューで待機します。検出はランダムになります。デザインではなく運の関数。
これは防御の実際の人間層が直面している危機です。そして私たちは、すでに自動化された制御のレイヤーを通過したシステムとワークフロー内の微妙な異常を特定するよう第一線従業員に求めることでそれに対処しています。
これが意味すること
私は基本的なセキュリティ衛生が無価値だと主張していません。従業員は賢明な実践に従い、明らかに危険な行動を避けるべきです。基本的な規律は重要です。
しかし、私たちは認識訓練を「基本的な衛生」から「戦略的防御」に昇格させました。そしてその昇格は危険です。偽のカバレッジ感を作り出します。それは、組織が「人間要素に対処した」ために、実際の防御能力への投資不足を許可します。
対処する必要がある人間要素は、セキュリティチームの能力です。彼らのツール、彼らのプロセス、ノイズに溺れる代わりに戦略的な仕事をする彼らの能力。
しかし、解決策はエンドユーザーへのより多くの訓練ではありません。それは、実際にあなたを防御するために訓練された人々に能力を回復することです。
農民は世話をする畑があります。彼らを農業させてください。
問題は、あなたの傭兵が戦うための部屋を持っているかどうかです。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したいですか?
