多くのセキュリティリーダーは、異なる時代に構築されたフレームワークで依然として活動しています。長年にわたり、成功は監査の合格、脆弱性の解決、コンプライアンスの維持などの固定的なチェックポイントで測定されていました。これらのマーカーは依然として価値がありますが、予測可能で線形に移動する脅威環境を想定して設計されていました。
今日、その環境はリアルタイムで変化しています。AIは攻撃者が弱点を特定し悪用する方法を加速させています。一方、クラウド環境と自律システムは常に状況を変えています。その結果、リスクの測定方法と実際の展開方法の間にギャップが生じ、静的なシグナルが動的な脅威に追いつきません。
CISOは2つの方向からプレッシャーを受けています。リスクが増加している一方で、それを測定することを意図したツールが追いつくのに苦労しています。従来のインジケータは昨日の脅威環境を反映することが多く、セキュリティリーダーは彼らが実際にどこにいるかについて不完全な情報しか得られません。
Mythosシグナル
Anthropicの Claude Mythos Preview に関する最近のレポートは、脆弱性発見に非常に効果的であるため、アクセスが制限されていることで説明されており、サイバーセキュリティがどこへ向かっているかについて明確なシグナルを提供しています。このようなAIモデルは、搾取の速度とスケールが根本的に変わったことを示しています。かつて熟練した攻撃者が数日から数週間かかっていたことが、今では数分で発生し、ますます人間の介入なしに行われます。
この変化が重要なのは、攻撃者の能力がほとんどの組織がそれを測定できるよりも速く加速しているからです。リスクがどのように展開されるかと、セキュリティチームがそれを追跡する方法の間のギャップは拡大しています。「合格」した監査は、あなたがどこにいたかを教えてくれますが、あなたがどこにいるかは教えてくれません。姿勢ダッシュボードは、継続的に変化する環境ではなく、ある時点を反映しています。ペンテストは、条件が絶えず進化する世界でのスナップショットです。
今四半期の会話を研ぎ澄ます
あなたの会話がこの新しい現実に合わせて進化していない場合、あなたの組織には重大な盲点があります。CISOが現在のシフトをアクションに変えるために使用すべき5つの質問は以下の通りです:
レポートを待たずにランタイムで何が見えますか?
設定ツールは何が真実であるべきかを教えます。ランタイムの可視性は、今何が真実であるかを教えてくれます。(フォローアップ:攻撃者が今日、私たちのクラウド環境で横方向に移動を開始した場合、数分か数日で知ることができますか?)
非人間的なアイデンティティを含む、完全なアイデンティティインベントリがありますか?
ビジネス環境は従業員を超えたアイデンティティでいっぱいです。ベンダー、契約者、サービスアカウント、APIキー、自動化、マシンアイデンティティ、クラウドプリンシパルはシステム全体に広がっています。攻撃者はその拡散を愛しています。なぜなら、認証情報の盗難はマルウェアを書くよりも簡単なことが多いからです。
(フォローアップ:人間と非人間のアイデンティティがいくつあり、どの認証情報が機密データにアクセスするか、または重要なインフラストラクチャを変更できますか?)
どこで過剰な権限を付与されており、どのくらい速くそれを減らすことができますか?
過剰な権限を付与されたアカウントはマスターキーのように機能します。侵害されるまでは便利ですが。最小権限は願望的ではなく、測定可能である必要があります。(フォローアップ:最高リスクのアクセスパスを示すことができ、30日以内に何を削除または厳しくすることができますか?)
AIを使用してノイズを減らし、決定を速めているのか、それともスクリーンを追加しているだけですか?
多くのチームはアラートに圧倒されています。AIは文脈を追加することで役に立つことができます(リスクの高いアイデンティティ+脆弱なワークロード+公開されたシークレットを接続)。これにより、レスポンダーは切断された警告を追うのではなく、迅速に行動することができます。(フォローアップ:アラート量は何か、何パーセントが実行可能であり、対応時間が改善されたのか?)
現実的なインシデント全体を決定ポイント付きで説明してもらえますか?
防止は重要ですが、何かが通り抜けるときに組織を区別するのはレジリエンスです。インシデントは避けられません。重要なのは、検出速度、封じ込め、復旧、通信です。(フォローアップ:シナリオを選択してください—認証情報の盗難、ランサムウェア、ベンダーの侵害—ここで何が起こるのか、誰が何を決定するのか、いつ経営陣が知る必要があるのか。顧客が知る必要があるのか?)
回答への対応
これらの質問がギャップを明らかにする場合、前進の道は通常実践的です。重要なサービスと機密データをサポートするシステムでのランタイムの可視性の優先順位付けから始めます。アイデンティティをインフラストラクチャのように扱う—インベントリする、権限を適切にサイズし、継続的に監視します。チケットが閉じられたコントロールがチェックされたなどのアクティビティメトリックではなく、検出、封じ込め、復元の時間などの結果に向けた測定値をシフトします。そして、通信を含む技術チームとリーダーシップの両方と一緒に困難な状況を稽古します。
脅威がAIの速度で移動する時代では、利点は明確に見え、すぐに行動することができるチームに属しています。今の定義上の質問は、リスクを特定し、その影響を理解し、エスカレートする前に対応することができる速さです。
Rinki Sethiは、Upwind Securityのチーフセキュリティ・戦略責任者であり、Twitter、Rubrik、BILL、Palo Alto Networks、IBM、eBayでの役割から20年以上のサイバーセキュリティリーダーシップの経験を持っています。彼女はLockstep Venturesの創設パートナーであり、ForgeRockとVaultreeの理事会に所属しており、女性スカウト協会のための最初の全国サイバーセキュリティカリキュラムの開発を含む、サイバーセキュリティコミュニティへの貢献で広く認識されています。
翻訳元: https://cyberscoop.com/ciso-strategy-ai-real-time-risk-op-ed/
