目次:
企業は、驚くべき速さでサイバー攻撃の標的にされています。 2013年12月のTargetおよび2014年1月のNeiman Marcusでの重大な侵害は、多くの小売店がセキュリティインフラストラクチャに持っている不備に大きな注目を集めました。 その結果、大小を問わず、ますます多くの企業が、取り組みを強化し、専任のセキュリティチームを持つ必要性を感じています。
ロイターが2014年5月に発表したレポートによると、ペプシやJPモルガンチェースなどの多くの大企業は、セキュリティ慣行を強化するために新しい最高情報セキュリティ責任者(CISO)を探しています。 これが反映しているのは、ビジネスのエグゼクティブレベルでのセキュリティとその重要性に対する意識の高まりです。
CISOと最高サイバーセキュリティ責任者は、雇用主とクライアントの両方のテクノロジーのセキュリティに没頭していますが、その役割と責任は、セキュリティコミュニティ間だけでなく、一般大衆の目でより顕著になり、不可欠になっています。
「5年前、情報セキュリティは取締役会のトップ10の懸念をほとんど解決しませんでした。1年前は2位でした。興味深いことに、情報セキュリティだけでなくデータセキュリティになりました」と、人材会社Heidrick&会社が制作したYouTubeビデオでの闘争。)
CISOの機能
CISOの役割は非常に広く、多くの場合、さまざまな帽子をかぶっています。 仕事には、知的財産のセキュリティ管理などの内部セキュリティから、顧客のセキュリティに責任を持つまでのすべてが含まれます。
Sumo LogicのCISOであるJoan Pepin氏は次のように述べています。「セキュリティバイヤーにとって興味深い機能を製品に実装するために、製品チームおよびエンジニアリングチームとも協力しています。
昨年のターゲット侵害は確かに多くの人に話されましたが、Pepinは彼女がそれほど驚いたわけではなく、セキュリティコミュニティのほとんどもそうではなかったと説明しています。 だからといって、セキュリティコミュニティに「流域の瞬間」がなかったわけではありません。そこでは、誰もが前進するために作業を強化する必要がありました。
ハッカーが情報セキュリティ会社のサーバーを侵害し、政府や企業の機密データへのアクセスを提供する認証トークンを盗んだ2011年のRSA違反により、多くのセキュリティ専門家が騒ぎ立てました。 セキュリティ会社がそのようなハッカーの餌食になるのはどうしてでしょうか? わずか2年後、その懸念は以前はレーダーの下で飛んでいたターゲット、つまり小売顧客にシフトします。 TargetやNeiman Marcusで見られるような攻撃は、日常の顧客のセキュリティに注意を移しました。
「明らかに、何千人もの従業員で大規模な小売業を営んでいる場合、これらのさまざまなサイト、POSマシンのすべてが非常に貧弱な種類のシステムであり、こうしたタイプの攻撃はその上で発生しなかったという事実スケールの種類が早くなることは、実際には少し驚きです」とペピンは言いました。
この問題は、セキュリティが常にポリシングされたビジネスの側面ではなく、単に企業がチェックアウトするチェックボックスと見なされることに起因しています。 これは、サイバー犯罪者がゆるいので、そのまま侵入できるという意味ではありません。実際、サイバー犯罪者はますますスキルを高めています。
「非常に洗練された侵害であり、BMCエージェントやこれらの種類のステルスなものになりすますことができました。ターゲットネットワーク全体で横方向の動きをすることは非常に賢明でした、とPepinは言いました。
「それを取り去りたくはありませんが、ターゲットの難しさ、しゃれを意図していないため、小売チェーンをハードターゲットのリストに載せることは決してありません。セキュリティ企業はハードターゲットです。政府はハードターゲットです。靴下を販売している小売チェーンは、安全な店になるとは思いません。」
セキュリティ専門家の展望
2014年6月、Targetは最初のCISOであるBrad Maiorinoを雇いました。BradMaiorinoは、会社のセキュリティ慣行のオーバーホールを監督するゼネラルモーターズの元幹部です。
企業は、その分野や規模に関係なく、潜在的な違反に対処するための意識と権限を高めつつ、増え続ける脅威に対応してセキュリティゲームに注意を払い、強化する必要があります。
「ターゲットケースでは、誰も応答しなかったというアラートが生成されたこと、そして管理されたセキュリティからの私の経験では非常に典型的であることが明らかでした」とPepin氏は言いました。
「世界最高の侵入検知システムは依然として非常に高い誤検知率を持っているため、セキュリティレスポンダーは基本的にシステムによってシステムを無視するよう訓練されています。最初のレスポンダーは何千もの無感覚になります。ターゲットの場合、追跡されなかったいくつかの兆候があり、その影響をより早く最小化するのに役立つ可能性がありました。」
多くの場合、セキュリティの専門家は、階層の上位にいる他の誰かからのクリアランスまたは承認が必要なため、すぐに問題に対処することはできません。 これを変更する必要がある、とPepin氏は、企業のセキュリティチームが主導権を握るには、より多くの自主性と権限が必要であると説明しています。
「最高情報セキュリティ責任者がCIOに報告すべきではないという点で、それは依然としてガバナンスの問題だと感じています」と、トレンドマイクロの最高サイバーセキュリティ責任者、トムケラーマンは言います。 「彼らは最高リスク管理責任者またはCEOに直接報告すべきです。」 これにより、中間業者の多くが排除され、潜在的な緊急事態への応答時間が短縮されます。
Pepinは、セキュリティの専門家が社内で「トップに報告する」必要があることに同意します。 「私は幸運にもCEOに報告することができます。それは非常にうまくいきます。これはセキュリティを真剣に考えている組織にとって本当にお勧めです」
中小企業のための他の予算とセキュリティ
CISOを雇用してセキュリティチームを拡大することは、予算があれば十分ですが、中小企業はどうでしょうか。 小さなチェーンやローカルのハードウェアストアへの攻撃は、ターゲットやニーマンマーカスを攻撃することと同じハッカーにとってのメリットを享受することはできませんが、何らかの方法で脆弱性を残すことは依然として賢明ではありません。 それでは、攻撃のリスクを軽減するために何ができますか? Pepinは、インシデント対応の請負業者またはコンサルタントのサービスを雇うことを強くお勧めします。
「攻撃を受けた場合、電話をかけることができる人がいるので、Googleを開いて探し始める必要はありません」と彼女は言いました。
ビジネスは必要なときにのみサービスを使用するため、これは中小企業にとってより経済的な意味があると彼女は説明します。 これらのサービスは、スタッフが中断した場所からのピックアップにも非常に特化しています。
「トリアージのための素晴らしいチームを作ることができます。攻撃を受けていることを理解しますが、その攻撃に対応し、ネットワークからルーティングして、証拠を収集するために必要なスキルとはまったく異なります。法廷で使用されます。」
企業には、サイバー犯罪と闘うために自由に使える多くのリソースがあります。 最近の歴史は、もう一つの大きな攻撃がすぐそこにあることを示唆しています。
