出典: Paulaphoto via Adobe Stock
支出の増加、より多くのツールへの投資、業界への多くの才能の流入にもかかわらず、サイバーセキュリティの成果は悪化しているようです。先月ラスベガスでのパネルディスカッションで、サイバーセキュリティのリーダーたちのグループは、問題が攻撃者やテクノロジーより深くにあると述べました。「サイバーセキュリティの厳しい真実:恐怖、責任、業界の最大の嘘」というタイトルのパネルでは、サイバーセキュリティで何が壊れているかに焦点を当てました。
「毎年、私たちはより多くのことを行い、毎年、結果は悪くなります」とIllumioのCEOであるAndrew Rubinは述べました。「侵害の数、侵害の規模、経済的損失が増加しています。」
SolarWinds CISO Tim Brown、Microsoft副CISO Sherrod DeGrippo、Fortalice Solutions CEOおよび創業者で元ホワイトハウスCIO Theresa Payton、およびNationwide Building Society最高セキュリティ・レジリエンス責任者David Bodaは、投資と成果の間の断絶について議論しました。議論から浮かび上がったのは、結果がそれ以外を示唆しているにもかかわらず、業界が継続して依存している一連の仮定です。
嘘1:活動=進捗
サイバーセキュリティがどのように測定・管理されるかに不一致があります。
「サイバーセキュリティは根本的に壊れていると信じています」とPaytonは述べました。「それは脅威面の削減ではなく、活動の観点から測定されています。」
成果ではなく、チェックリスト、メトリクス、コンプライアンスフレームワークに重点を置くことで、組織は紙面では安全に見えながら、実際には暴露されたままのシステムが作られています。組織は、セキュリティコントロールがユーザーとビジネスオペレーションに実際にどのように影響するかから始まる成功の定義を再考する必要があります。「文字通りユーザーストーリーから始める必要があります」とPaytonは述べ、セキュリティプログラムと従業員および顧客がシステムと対話する方法の断絶を指摘しました。多くのセキュリティ意識啓発プログラムも日常的で効果がなくなっています。
「あなたのサイバーセキュリティ意識トレーニング—彼らは居眠りしている、彼らは負けています。だから再び想像し、再度活性化してください。」
定期的なトレーニングの代わりに、Paytonはインセンティブ、認識、セキュリティを日常のワークフローに統合することを通じて安全な行動を強化することを提案しました。
嘘2:すべてを防ぐことができる
予防が不足した場合、次は何ですか?「すべてを保護することはできません」とPaytonは述べ、組織にとって何が最も重要かを理解することを意味し、システムだけでなく、データ、ビジネスプロセス、および会社の「王冠の宝石」を理解する必要があります。Nationwide のBodaの場合、その変化は既にセキュリティチームがどのように動作するかに反映されています。「毎日のようにやられるわけではありませんが、私の時間の約50%を対応と復旧に費やしています。それは本当に正しくするのが難しいからです」とBodaは述べました。圧力下で対応し、オペレーション復旧する能力を構築するには、組織全体の調整と繰り返された練習が必要です。「組織全体が圧力下で効果的に対応・復旧することは本当に重要です」とBodaは述べました。これには、繰り返し可能なプロセスとチーム間の調整を構築する必要があり、単にコントロールを追加するだけではありません。と彼は追加しました。
嘘3:私たちは脅威を理解している
Microsoftの DeGrippoは、組織が脅威モデリングにどのようにアプローチするかのギャップに注目しました。多くの場合、彼らは攻撃がどのように起こるかについての仮定に基づいて操作しています。
「人々は脅威モデルについて多くを語っていますが、実際には書き落としたものは何もありません」とDeGrippoは述べました。「彼らは実際に研究を行っていません。」セキュリティチームは、脅威の風景のすべての部分からの攻撃に備える必要があります。動機がどうであれ、属性が起こるまでに、攻撃者は既に内部にいます。異なる脅威アクターの区別は実際には重要性が低いとDeGrippoは述べました。攻撃が経済的に動機付けられているか、国家主導であるかにかかわらず、戦術は似ていることが多く、アクセスが確立されると結果は同じです。DeGrippoはまた、攻撃者の成長する第3のカテゴリに注目しました:社会的に動機付けられたアクター。人工知能(AI)はエントリーのバリアを低下させ、単一の個人がかつてより洗練されたグループに関連していた規模と執続力で動作できます。これは、セキュリティチームが攻撃者が誰であるかについてのフォーカスを少なくし、攻撃者がアクセスを獲得して維持できる速度にもっとフォーカスする必要があることを意味します。
嘘4:より多くのテクノロジーが修正されます
AIは方程式の両側を加速させ、組織はそれをどのように使用するかを決定することを強制しています。テクノロジーは既に検出と応答の大きな部分を自動化することができますが、まだ100%の自動化の準備ができていないとFortalice のPaytonは述べました。組織は、さらに自動化を展開する前に、監査可能性、可視性、制御を構築することに焦点を当てるべきです。同時に、これらの同じ機能は脅威の風景を変えています。「エージェントは疲れません」とSolarWindsのBrownは述べました。「エージェントは1年間メールを読んでゆっくり物事を追いかけることができます。」その種の永続性は攻撃経済学を変えます。かつて大きなリソースを必要とした場合、現在は無期限に維持できます。AIの影響は既に見えます。「テクノロジーは国家規模の力を組織犯罪の手に入れました」とBrownは述べました。多くの組織は、署名ベースの検出や従来のデータ損失防止などのレガシーアプローチに依存しています。これらのコントロールは引き続き役割を果たしていますが、そうではないときに十分であると見なされることが多いとNationwideのBodaは述べました。組織は、これらの防御が実世界の攻撃シナリオに対してどのように実行されるかを評価する必要があります。
嘘5:私たちは何が機能しているかを知っている
もう1つの多くの場合不正な仮定は、システムが正しく構成されているということです。ほとんどの場合、セキュリティの問題は悪意の結果ではありません。問題はしばしば、増加したアクセスや誰も気付かなかった設定ドリフトなどのルーチン変更から来ています。チームは継続的に環境を監査およびテストして、従来のスキャンが逃す危険を捕捉する必要があります。セキュリティは機能していると想定されるのではなく、継続的に検証される何かとして扱われる必要があります。「仮定せず、信頼せず、確認してください」とBrownは述べました。
翻訳元: https://www.darkreading.com/cyber-risk/lies-damned-lies-cybersecurity-metrics
