予防的セキュリティ ツールだけでは会社を守るのに十分ではない理由
それを想像してみましょう
サイバーセキュリティ予防策 -ウイルス対策、ファイアウォール、侵入検知システム - この状況では、標準設定では、そのようなアクションはブロックされません。既知の悪意のあるリソースへのネットワーク接続を確立しようとする試み、悪意のあるファイルをダウンロードしようとする試み、コンピュータ上で追跡ツールを実行しようとする試みなど、サイバー攻撃の明らかな兆候を探します。また、アカウントに対する権利を要求したり、標準プログラムを使用してネットワークにリモート接続したりすることは、ほとんどの企業にとって完全に正当な行為です。
ただし、セキュリティの専門家はその方法を理解するでしょう。イベントはさらに発展する可能性があります。攻撃者が人事マネージャーのコンピュータに侵入すると、いつでもこのワークステーションへのリモート接続を開いて悪意のあるソフトウェアを導入できるようになり、アカウントに関する情報が攻撃の展開に役立ちます。
ハッキングの可能性を排除するには、そのような行為を監視し、制御する必要があります。これはまさにサイバーセキュリティ監視の主なタスクです。
効果的なサイバーセキュリティ監視とは
脅威を監視しなければ、企業はおそらくたとえば、サーバーやワークステーション上のデータを暗号化する場合など、ハッキングに気付かずにはいられなくなった場合に、事後的にハッキングについて知ることがあります。また、プロアクティブなアプローチにより、セキュリティ イベントの一元的な収集、体系化、分析を通じて、違法なアクティビティをタイムリーに特定することが可能になります。これはさまざまな方法で機能します。
一部の組織では、アラート (ウイルス対策などのセキュリティ ツールからの不審なアクティビティに関する通知) を監視する専門家。これもある程度は監視しますが、実際の保護を提供することはできません。専門家が制御するのはインフラストラクチャのごく一部だけです。
より高度なオプション - 多くの場合も同様です企業は SIEM システム (セキュリティ イベント管理システム) を導入します。インフラストラクチャのさまざまな部分からデータを収集し、一連のイベントを作成し、アラームを追跡します。残念ながら、単に問題を見つけるだけでは十分ではないため、これでも十分ではない可能性があります。
SIEM システムはインフラストラクチャのさまざまな部分からデータを収集し、一連のイベントを作成し、アラーム信号を監視します。
サイバーセキュリティに対する成熟したアプローチと完全な保護を実現するには、以下も必要です。
- 会社で発生する可能性のあるインシデントを事前に予測できます。
- イベントが発生した場合は、正確に何が起こったのかを分析します。
- インシデントに正しく対応します。
- 今後このような状況が繰り返されないように、間違いに対処してください。
このようなプロセスでは、セキュリティ イベントの監視とプロアクティブな脅威分析およびインシデント対応を統合する必要があります。
これを特別な範囲内で行うとより効果的ですこの部門は、サイバー脅威を監視し対応するセンター (セキュリティ オペレーション センター、SOC) と呼ばれます。これは、会社独自のリソースとサードパーティ チームの関与の両方で機能します。
SOC はテクノロジー、人員、サイバーセキュリティ プロセスを結び付けます。この組み合わせにより、攻撃がより高度になるにつれて最適な保護が提供されます。
次に、SOC の仕組みと、SOC から最大の結果を得る方法について説明します。
SOC がインシデント監視をより効率的にする方法
モニタリングを導入する前に、企業は次のことを行う必要があります。一般的な攻撃から保護するための予防的な保護措置を講じてください。この作業段階は予防として指定できます。実装された情報セキュリティ ツール (ISIS) は既知の攻撃を自動的にブロックできるようになりますが、多くの攻撃者は長い間、それらを回避する方法を学習してきました。 「目に見えない」脅威に対処するために、同社は他の手段、特に監視システムを必要としています。
本質的に、防止段階は脅威監視プロセスに直接含まれていませんが、脅威監視プロセスの重要な前段階です。
上で述べたように、大多数の企業は SIEM システムに基づいてサイバーセキュリティ監視を構築しています。この場合、プロセスは次の段階に分割できます。
1. セキュリティ情報システム (ウイルス対策、ファイアウォール、ネットワーク セキュリティ スキャナー、その他のシステム) がネットワーク上にインストールされます。その主な目的は、ハッキングの兆候を自動的に検出することです。
2.セキュリティ イベントは、これらの情報セキュリティ システムだけでなく、エンド デバイス、ネットワーク機器、アプリケーション、その他のソースからも、受動的に、またはエージェント プログラムのインストールによって収集されます。イベントは SIEM システムに入力され、相関ルールが適用されます。この分析の結果に基づいて、潜在的に危険な行為を特定することができます。
この作業段階は検出として指定でき、脅威監視プロセスにすでに組み込まれています。
3.ルールによって検出された警報信号は、専門家チームによって分析されます。脅威が確認された場合、対応を開始します。そのフレームワーク内では、IRP/SOAR(i) クラスの特殊なシステムを使用することができ、特定されたタイプのインシデントに対する対応シナリオ (プレイブック) を (アナリストの命令で、または事前設定されたルールに基づいて自動的に) 開始します。
作業のこの段階は応答として指定できます。
(i) インシデント対応プラットフォーム/セキュリティオーケストレーション、オートメーション、およびレスポンスは、セキュリティ システムを調整および管理するためのソフトウェア製品のクラスです。これらのソリューションを使用すると、セキュリティ イベントに関するデータをさまざまなソースから収集し、処理して、一般的な対応シナリオを自動化できます。
SOC は、さらに 2 つのステップでサイクルを延長します。脆弱性を継続的に特定し(予測)、将来の教訓を学ぶ(教訓)。脆弱性をタイムリーに閉鎖し、サイバー犯罪者によって悪用される可能性を減らすために、継続的に脆弱性を特定することが重要です。また、企業はインシデントに対応する際に、予防段階で防止できた可能性のある出来事を特定し、対応ポリシーを補うための教訓を学ぶことができます。これらを総合すると、最も完全な保護アプローチを策定することができます。
モニタリングを最大限に活用する方法
標準的なサイバーセキュリティインシデントに加えて、企業では、ビジネス プロセスの継続性を混乱させる可能性のある他のイベントも発生する可能性があります。このようなインシデントを SOC で特定することも重要です。つまり、インシデントを監視する必要があります。
地元の下水処理施設を例に挙げてみましょう。自動プロセス制御システム (APCS) への攻撃、オペレーターのミス、または規制されていないコマンドにより、未処理の廃水が排出される可能性があります。その結果、環境災害が発生し、巨額の罰金が科せられ、さらには責任者に対する刑事訴訟さえも引き起こされます。事故による被害を軽減するために、バルブ センサーの動作を 24 時間監視できます。たとえば、非アクティブな洗浄モード中にバルブ センサーが開いた場合、エンジニアは直ちに措置を講じることができます。 SIEM でイベントを関連付けるためのルールを準備し、プレイブックを作成する場合、SOC はこれに適した技術ベースです。
そのようなイベントを特定し、イベントを充実させる方法モニタリング用の最も多くの画像はありますか?ビジネス影響分析 (BIA) を実施することをお勧めします。これにより、さまざまなインシデントのリスクが何であるかを正確に把握でき、外部のサイバーセキュリティを含むリスク要因を見つけるのに役立ちます。
各段階(予知、予防、検出、対応、学んだ教訓)この分析により、プロセスの最適化、リスクの優先順位付け、さまざまな攻撃の特定と防止のためのロジックの作成、および起こり得る損害を最小限に抑えるための効果的な対応策の開発が可能になります。
次の場合は、BIA を自分で実施できます。同社には、事業継続管理プロセスを理解し、標準を志向する経験豊富な専門家チームがいます。スタッフにそのような専門家がいない場合は、外部の専門家を作業に参加させることができます。
どの企業にも SOC が必要ですか
Ответ зависит от рисков, которые станут понятны по итогам BIA. При этом нужно рассматривать ущерб не только для ИТ-инфраструктуры: нарушить непрерывность бизнес-процессов могут, например, и сбои внешних сервисов, которые также важно выявлять в SOC.
По итогам анализа на одной чаше весов будут затраты на внедрение собственного или подключение внешнего SOC, а на другой — ущерб от запоздалой реакции на события безопасности. Руководство сможет принимать решения, оценивая конкретные сценарии. Если станет ясно, что потери от каких-либо инцидентов недопустимы для компании, а SOC при этом не создаст чрезмерную нагрузку на бюджет, есть смысл потратить средства, чтобы исключить те критические потери.
Может быть и наоборот: потенциальные потери бизнеса не оправдают расходы на SOC. Тогда компания может поставить на мониторинг отдельные ключевые события и выстроить процедуры реагирования на самые опасные сценарии.
SOC: 社内か外部委託か?
Когда компания определилась, что ей действительно нужен SOC, остается решить, будет ли он работать на ее собственных ресурсах или нужно обратиться в экспертную организацию.
Принять такое решение помогут следующие вопросы.
- あなた自身、監視の観点からシステムの重要性を評価できますか?
Компании считают, что чем ценнее информация, которая хранится и обрабатывается в системе, тем критичнее эта система и тем важнее вести ее мониторинг. Но такой подход не всегда будет верным.
Если киберпреступники смогут добраться до этих критически важных систем и, например, выложить в сеть базу данных, защищать информацию поздно — ее уже скомпрометировали. Но на пути к цели злоумышленнику нужно получить доступ в инфраструктуру, провести разведку, создать себе учетную запись с максимальными правами и так далее. Задача компании — как можно раньше заметить нелегитимные действия и среагировать, не дожидаясь, пока взломщик получит доступ к критическим активам. Поэтому мониторинг должен охватывать не только такие активы, но и все точки, которые пройдет злоумышленник. Это могут быть почтовые серверы, рабочие станции пользователей, второстепенные информационные системы. Все это — элементы инфраструктуры, которые обычно не считаются критически важными.
Чтобы создать эффективный собственный SOC, компании нужны специалисты, которые смогут правильно ранжировать системы по значимости. Если у организации нет таких работников, ей помогут сторонние эксперты.
2.インシデントを規制当局に報告するには法的要件に従う必要がありますか?
Субъекты критической информационной инфраструктуры (КИИ) должны передавать информацию об инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Для этого необходимо выстроить взаимодействие с регулятором, проработать регламенты, выполнить интеграцию, наладить автоматизированную передачу сведений об инцидентах и т. д.
Все это можно делать самостоятельно. Если же у компании нет возможности выделить собственные ресурсы на такую работу, можно поручить эти задачи внешнему SOC, у которого есть статус корпоративного центра ГосСОПКА.
3.監視を開始するにはどのくらいの速さで開始する必要がありますか?
Чтобы построить и ввести в работу свой SOC, компании может потребоваться несколько лет. SOC должен достичь определенного уровня зрелости, чтобы действительно начать выявлять инциденты, которые не заметили стандартные превентивные средства защиты. Наращивание экспертной базы правил, по которым выявляются подозрительные события, постоянная их актуализация, выстраивание процессов, подготовка плейбуков — все это требует очень много времени и ресурсов. Например, 1 300 правил (на январь 2023 года) в базе нашего SOC мы разрабатывали более четырех лет. При этом запустить внешний SOC можно за несколько недель.
4.あなたにとって重要なインシデント対応速度は何ですか?
Анализ воздействия на бизнес покажет, в какие рамки нужно уложиться при реагировании на инцидент. Может оказаться, что одночасовой сбой никак не скажется на бизнесе, через два часа начнутся проблемы в процессах, а два дня простоя будут грозить крупным финансовым и репутационным ущербом. Все это нужно учитывать в плейбуках, из которых будет понятна процедура реагирования. На некоторые инциденты необходимо реагировать в течение нескольких минут, в том числе и ночью. Следовательно, SOC должен работать круглосуточно, а если потребуются узкопрофильные эксперты, им нужно будет подключиться как можно скорее.
Собственный круглосуточный SOC — это большие затраты. Основную часть расходов составят кадры — людей нужно найти и адаптировать к работе в компании. Во внешнем SOC уже есть опытные специалисты, которые ежедневно в режиме 24/7 разбираются с инцидентами у компаний из различных отраслей.
5.一時的に多額の費用を負担する準備はできていますか?
Вопросы бюджета при создании SOC у себя или с привлечением аутсорсинга решаются индивидуально, однозначного ответа насчет того, какой вариант будет дешевле, нет. Все зависит от численности и квалификации штата, используемых технических решений и сервисов, прочего инструментария.
Стоит учитывать, что собственный и внешний SOC относятся к разным статьям бюджета. В первом случае речь о капитальных вложениях: оборудование, программное обеспечение, лицензии, помещения, мебель. Во втором расходы будут операционные.
Соответственно, для создания своего SOC понадобятся крупные первоначальные инвестиции, а при аутсорсинге — нет.
6.資格のある従業員がいますか?
В SOC нужно изначально набирать высококвалифицированных специалистов, которые должны постоянно накапливать опыт. При этом решить кадровый вопрос сегодня нелегко. Во всем мире не хватает нескольких миллионов профильных сотрудников, в России счет приближается к ста тысячам человек. Сбор команды в штат может занять месяцы, а в стороннем SOC она уже есть. Кроме того, при планировании расходов на собственный центр мониторинга нужно учитывать не только зарплаты экспертов, но и затраты на профессиональное обучение, сертификацию и повышение квалификации.
要約する
Без мониторинга инцидентов невозможно говорить о кибербезопасности — нельзя защититься от угроз, которые не видишь. Но, пожалуй, еще хуже потратить деньги и не добиться результата.
Начните с анализа воздействия событий на бизнес, чтобы определиться, какой мониторинг даст ожидаемый результат. Постоянно обновляйте список событий безопасности, которые влияют на устойчивость компании. Так вы улучшите общее качество мониторинга и значительно повысите уровень киберзрелости в вашей организации.
続きを読む:
科学者たちは、地球に似た惑星からの奇妙な電波信号の性質を解明しました
専門家は、2100年までに地球上に何人の人々が住むかを予測しています
地球の「宇宙の裏庭」に潜む新しいタイプのブラックホールが発見される