安価でセキュリティ態勢を強化する8つの方法

すべてのCISOが知っているように、強力なサイバーセキュリティ態勢を維持することは費用がかかります。あまり知られていないのは、比較的軽微な投資の助けを借りてサイバーセキュリティを強化する多くの方法があるということです。単に創意的に考えることで、セキュリティリーダーは最小限のコストで企業の保護を大幅に強化できます。

貴社は低コストの追加保護から利益を得ることができるでしょうか？もしそうなら、予算に大きな負担をかけずに企業のサイバーセキュリティを改善する8つの方法があります。

1. MFAをより適切に実行する

リスク軽減は基本から始めるべきです、とコンプライアンステクノロジーサービス企業TrustNetのCISOTrevor Horwitz氏は述べています。「MFAは機密性とアクセス制御を直接サポートし、これらはコアセキュリティ目標です」と彼は述べています。「私たちが分析したほぼすべてのブリーチに侵害された認証情報が関与しています。」ほとんどの組織はすでにこの機能にアクセスできます。それをオンにしてください、特に特権アクセスの場合はHorwitz氏がアドバイスしています。

認定企業CompTIAのCISORandy Gross氏も同意しています。「重要なシステムとその次のレイヤーの重要なシステムを明確に定義することから始め、次にそれらの環境全体でMFAと最小限の特権を実行します」と彼は推奨しています。「次に、より広い環境への関心を拡大する前に、これらのシステムの意味のある脆弱性に対して時間制限付きの修復期待を確立します。」

追加の大きな支出をせずにエンタープライズセキュリティを強化する実用的な方法は、組織内にすでに存在するソリューションの機能を完全に活用していることを確認することです、とセキュリティサービス企業GuidePoint SecurityのCISOGary Brickhouse氏は述べています。

「ほとんどの組織はセキュリティソリューションに多額の投資をしていますが、ほとんどはそれらのツールが実行できることのほんの一部しか使用していません」と彼は説明しています。「既存のテクノロジーを最適化および運用することで、組織は少ない支出でサイバーセキュリティリスクの削減を実現できます。」

Brickhouse氏は、このアプローチが非常に効果的である理由は、より多くのテクノロジーソリューションを追加するのではなく、運用成熟度を向上させることに焦点を当てているためだと述べています。「このタクティックはまた、組織が既に所有しているソリューションから最大の価値を得ていることを確認することで、ROIを増加させます」と彼は述べています。

3. テーブルトップ演習を実施する

テーブルトップ演習の力を過小評価しないでください、とITサービスプロバイダーNew Charter TechnologiesのCISORyan Davis氏はアドバイスしています。「それらはほぼ正の行動を保証し、唯一のコストは時間です」と彼は述べています。

テーブルトップ演習では、参加者が理論的な立場ではなく、実行の観点からシナリオを見る必要があります。

「予期しないシナリオの練習により、チームは通常は使用しない筋肉を運動させることができます」とDavis氏は述べています。「これにより、チームメンバーが日常的なシナリオでは時間や明らかな必要性がないため、通常は尋ねないかもしれない質問をすることができます。」

彼は、このアプローチがさらなる注意を必要としない強みと同様に、閉じる必要があるギャップも迅速に強調すると付け加えています。

4. アプリケーションレイヤを活用する

カバレッジを強化し、全体的なリスクを低減する効果的な方法は、サイバーセキュリティ戦略にアプリケーションレイヤを含めることです、とサイバーセキュリティプラットフォームプロバイダーSecurityBridgeのマネージングディレクターBill Oliver氏は述べています。彼はERPシステムが企業の運用の中核に位置し、何年も前から悪意のあるユーザーの標的にされていることに注目しています。

「ERPシステムをセキュリティパッチの不足、不適切なセキュリティ設定、リアルタイムのセキュリティイベントなどについて監視することで、他のサイバーセキュリティイニシアティブと比較して比較的低いコストで優れたサイバーセキュリティ保護を得ることができます」と彼は述べています。「リアルタイムで何が起きているかを理解することで、貴社のサイバーセキュリティプログラムを大幅に強化し、初日からある弱点を修正できます。」

5. パスキーを実装する

パスキーは、ほとんどの組織が直面する単一の最大の攻撃ベクトルを排除します：盗まれた、またはフィッシングされた認証情報、と規制対象企業がインフラストラクチャを保護するのを支援する企業Fortify CyberのCISOJohn Coursen氏は述べています。

「それらは認証から人的要素を取り除きます」と彼は説明しています。Coursen氏は、パスワードは再利用される傾向があり、フィッシングされ、認証情報データベースに詰め込まれることに注目しています。「パスキーは盗むべき共有シークレットがないため、フィッシングすることはできません。」

Coursen氏は、Azure ADやOktaなどのほとんどの最新のアイデンティティプロバイダーがすでにパスキーをサポートしていることを観察しています。「テクノロジーの実装は難しくありません。行動の変化とユーザーへの採用です。」

Coursen氏がアドバイスするように、経営幹部、財務チーム、および機密クライアントデータまたは送金権限にアクセスできるユーザーを含む、最高リスクのユーザーから始めてください。

6. 心を狙う

攻撃者が実際に悪用するものを標的にしてください、とセキュリティテクノロジープロバイダーAikido SecurityのCISOMike Wilkes氏は提案しています。「冗長なDNSプロバイダーを設定してください。低コスト、高インパクト、および大幅に未利用です」と彼は述べています。「Cloudflareのフリープランをパブリックフェーシングアプリの前に置くと、DDoS軽減とWAFレイヤーが即座に得られます。」

メールがまだNo. 1の初期アクセスベクトルであり、これらのDNSコントロールの実装に数時間しかかからないため、SPF、DMARC、およびDKIMをオンにしてください。「無料のGoogle Authenticatorを使用してMFAをどこでも有効にしてください」とWilkes氏は述べており、DNSレコードのチェックとギャップのためのMFAの監査も推奨しています。

7. 人的リスク管理を検討する

サイバー攻撃の大多数が人々を含む時代に、人的リスク管理は企業を安全に保つための重要で費用対効果の高い方法です、とサイバーセキュリティ認識トレーニング企業NINCIOの最高革新・セキュリティ責任者Matt Lindley氏は述べています。

人的リスク管理は、組織のあらゆるレベルでサイバーセキュリティ文化を確立することで、ほとんどの企業が直面する最も緊急のサイバー脅威に対処するため機能します、とLindley氏は述べています。

「従業員を組織のサイバーセキュリティ態勢の弱いリンクとして扱うのではなく、最大のセキュリティ資産と見なすべきです」と彼は述べています。「従業員がサイバー攻撃を特定、報告、および阻止する権限を与えられると、企業は分散された適応型のサイバーセキュリティレイヤーを持つようになります。」

効果的な人的リスク管理は、セキュリティリーダーが従事度が高く、実行可能で、個人化されたセキュリティ認識トレーニングを提供することが必要です、とLindley氏は述べています。また、高度な説明責任が必要です。彼は、セキュリティリーダーが完了率などの虚栄心のメトリックス以外のベンチマークを使用して、行動介入が実際に機能しているかを判断できるべきであることに注目しています。

「これは、フィッシュレポート報告および組織のサイバーセキュリティ態勢に対する他の実世界の改善についてのデータを提供することを意味し、すべてがC-スイート全体での買収を生成します」と彼は述べています。

8. サイバーセキュリティの基本を重視する

最も効果的な低コストセキュリティ戦略の1つは、アイデンティティ保護、パッチ適用、可視性、およびユーザー認識などの基本を重視することです、とテクノロジーサービス企業Resultantのサイバーセキュリティ副社長Jeff Foresman氏は述べています。

ほとんどの組織はすでにMicrosoftやGoogleなどのプラットフォーム、およびエンドポイントとメールセキュリティスタックを通じて必要なツールを持っています、とForesman氏は述べています。彼が指摘する本当の機会は、より良い構成と規律ある実行にあります。例えば、MFAを至る所で強制する、不要な管理者アクセスを削減する、インターネット向けシステムに迅速にパッチを適用する、およびフィッシング報告と対応を改善するなどです。「これらのステップだけで実際のリスクを大幅に軽減します」とForesman氏は述べています。

Foresman氏は、基本主義的なアプローチが攻撃者が実際にアクセスする方法を標的にすることで機能することに注目しています。ブリーチの大多数はまだ、高度なゼロデイエクスプロイトではなく、侵害された認証情報、フィッシング、公開されたシステム、または構成ミスで始まります、と彼は説明しています。アイデンティティ、メール、および攻撃サーフェスの削減に焦点を当てることで、組織は最も一般的なエントリーポイントに対処できます。