約 5,000 万のアカウントに影響を与えたネットワーク侵害を検出してから 3 日後、Facebook はユーザーにこの事件を通知し、侵害の拡大を防ぐためにどのように行動したかについて説明しました。

「私たちの調査はまだ初期段階にあります。しかし、攻撃者が Facebook のコードの脆弱性を悪用し、自分のプロフィールが他の人にどのように見えるかを確認できる機能である「View As」に影響を与えたことは明らかです」と Facebook 製品管理担当副社長のガイ ローゼン氏はソーシャル メディア会社の Web サイトへの投稿で述べています。 

「これにより、彼らは Facebook アクセス トークンを盗むことができ、それを使って人々のアカウントを乗っ取ることができました」とローゼン氏は説明しました。 「アクセス トークンは、Facebook へのログインを維持するデジタル キーに相当するため、アプリを使用するたびにパスワードを再入力する必要はありません。」

9 月 25 日に発生した侵害に対応して、Facebook は「View As」の脆弱性を修正し、法執行機関に通知し、影響を受けるアカウントに対して強制ログアウトを実施し、影響を受けるユーザーが再度ログオンするときに通知を表示しました。ローゼン氏はまた、Facebook が「View As」機能の完全なセキュリティレビューを実施すると述べた。

「調査を開始したばかりなので、これらのアカウントが悪用されたのか、情報がアクセスされたのかはまだ判断できていない」とローゼン氏は投稿の中で述べた。 「また、これらの攻撃の背後に誰がいるのか、どこに拠点を置いているのかもわかりません。」

最初の調査の後、Facebook は 3,000 万のアカウントのみが侵害の影響を受けたと判断しました。これらのアカウントのほぼ半数は、Facebook プロフィールから名前と連絡先情報が盗まれていました。

2018 年にサイバー侵害を経験したのは Facebook だけではありません。今年の最初の 203 日間で、米国で公表されたデータ侵害は 668 件ありました。つまり、この割合で推移すると、2018 年には 1,200 件以上の侵害が発生することになります。

米国にはおよそ 18,000 社の企業があります。 Balbix が後援した SANS Institute の最近のホワイトペーパーによると、年末までにそのうち 17,000 人近くがデータ侵害を回避できることになります。侵害の回避: 実行可能、実行する必要がある.

「結論としては、侵害は避けられないということです」と白書には書かれています。 「現在、スタッフと予算が限られている大企業でも中小企業でも、ほとんどの攻撃を回避または回避し、攻撃が成功した場合の被害を大幅に軽減できる実証済みの技術が使用されています。」

SANS の新興セキュリティ トレンド担当ディレクターで、元 Gartner の主任セキュリティ アナリストである John Pescatore 氏は、NotPetya ランサムウェアが FedEx と Maersk を襲い、両社間に 10 億ドルの被害をもたらしたことがこの論文を書くきっかけになったと述べています。 

それぞれの業界の他の競合他社は、ランサムウェア攻撃の可能性に備えていたため、同様の被害は受けていないとペスカトーレ氏は言います。

組織が適切な準備措置を講じているこれらの例に焦点を当てることは、業界全体にとって役立つと彼は付け加えました。

「飛行機の墜落やセキュリティ侵害が起こったとき、マスコミは事欠かない報道をするが、我々は決して聞くことがない。『あの人々はこれらのことから逃れるために何を正しい行動をとっているのか?』ペスカトーレは言う。 「特に、侵害の回避に関して、報道されるような侵害による被害を最小限に抑えたり、被害を完全に回避したりすることに成功した人々は、どのようにして取り組んでいたのでしょうか。彼らが共通して行っていたことは何でしょうか?」

それを知るために、ペスカトーレはデータ侵害を回避している世界中の CISO やセキュリティ責任者と話をし、どのように対処しているかを学びました。彼の調査によると、「重要なビジネス資産の脆弱性を軽減するためのプロアクティブなセキュリティ取り組みを重視する組織は、セキュリティ取り組みに優先順位を付けて重点を置くためのスキルやツールを持たない組織に比べて、ビジネスに重大な損害を被る可能性が低い。」

データ侵害を回避するために組織がとるべき最初のステップは、まず行動を起こすことです。具体的には、積極的な行動をとります。

ペスカトーレが書いたように、人間とソフトウェアには常に脆弱性があります。ただし、セキュリティ専門家とそのチームは、いくつかのベスト プラクティスを通じて、これらの脆弱性のリスクを軽減するための措置を講じることができます。

「状況認識 (何を保護する必要があるのか、どのような脆弱性が存在するのか、それらのターゲットに対してどのような実際の脅威が活動しているのかについてのタイムリーかつ正確な知識) を開発し、それを予防および軽減措置の優先順位を付けるためのツールやテクニックと組み合わせることで、セキュリティ チームは最も有害なインシデントを回避し、避けられないインシデントによるビジネスへの損害を大幅に軽減するための措置を迅速に講じることができます。」とホワイト ペーパーでは説明されています。

ただし、これは、組織がこれらのアクションを完了するために単に大量のセキュリティ製品を購入する必要があるという意味ではありません。セキュリティに費やされる額とセキュリティ インシデントによって引き起こされる損害のレベルとの間には限定的な相関関係があるからです。

「セキュリティ製品の層を追加するだけで複雑さが増し、セキュリティ スタッフのスキルが求められますが、そのスキルを見つけるのは困難であり、多くの場合、攻撃者よりも業務の中断が大きくなります。」とペスカトーレ氏は書いています。

インタビューで彼はこう語るセキュリティ管理セキュリティ侵害を回避できた組織の本当の差別化要因は、組織にいた人材が最も重要な事柄に最初に取り組んでいたということです。「これは、攻撃が実際に発生したときに彼らが時代の先を行っていたことを意味する傾向がありました。」

コンプライアンスに重点を置くのではなく、ビジネスの保護を優先するように設計されたサイバーセキュリティ フレームワークを使用することで、組織が侵害を防止および回避するためにどのような措置を講じるべきかを決定できるようになります。

「コンプライアンスを達成するだけで、ある程度の罰金は回避できますが、ビジネス情報や顧客情報の実際の保護が保証されるわけではありません。また、事件が発生した場合に法的補償や責任軽減が提供されることも示されていません。」

代わりに、SANS は組織がビジネス保護とリスク軽減をサポートするために、米国国立標準技術研究所サイバー セキュリティ フレームワーク、インターネット セキュリティ クリティカル セキュリティ コントロール センター、PCI データ セキュリティ標準優先順位ガイドライン、または Health Information Trust Alliance 共通セキュリティ フレームワークなどのサイバーセキュリティ フレームワークを使用することを推奨します。

「ビジネス リスクに応じてアクションとコントロールに優先順位を付けるサイバーセキュリティ フレームワークの使用は、事業運営の中断や顧客情報の漏洩を引き起こすインシデントを回避するために、どのセキュリティ プロセスとコントロールが最も重要であるかに焦点を当てる鍵となります。」とペスカトーレ氏は書いています。

侵害を回避することに成功している組織は、フレームワークに加えて、システムの完全かつ正確かつ優先順位を付けた継続的な監視も導入しています。これには、組織のビジネス側と協力して、隙間に漏れがないようにすることも必要です。 

「セキュリティ専門家は、最新かつ正確なリスク評価がすべての重要なシステムを確実にカバーできるように、IT 資産にマッピングされたビジネス運営に関する同様の最新の知識を必要としています」とホワイトペーパーは説明しています。 

継続的な監視が実装されると、セキュリティ担当者が対処すべき多数の脆弱性アラートが生成される可能性があります。ただし、侵害を回避している組織は、アラートがビジネスにもたらすリスクに基づいて、最初に対処するアラートに優先順位を付けています。 

これにより、ビジネスへの影響が明確になるため、セキュリティ専門家は脆弱性に対処し、対策を講じるために組織全体でより多くのサポートを得ることができます。 

「脆弱性がまずそれらの脆弱性を悪用するアクティブな脅威に対してマッピングされ、次にビジネス運営への重要性によってマッピングされる場合、セキュリティ チームは直ちにパッチ適用、再構成、またはシールド措置を講じる必要性を正当化できます。」とホワイトペーパーは説明しています。

さらに、侵害を回避している組織は、ハンドブックを使用してインシデントに対処しています。これは、物理的セキュリティの専門家がハンドブックを使用して施設内での火災や銃撃犯への対応を段階的に説明しているのと同じです。

これらのハンドブックでは、セキュリティ アナリストが組織へのリスクを軽減するための指示に従うことができるように、「資産の重要性と脅威の分類に基づいた緩和とシールドの手順」を推奨する必要があるとホワイトペーパーには記載されています。

組織が使用している IT システムやソフトウェアの変更に対応するために、ハンドブックも定期的に更新する必要があります。

侵害を回避している組織は、これらの手順を実行した後、現在のリスク状況がどのようなもので、セキュリティ チームがそれにどのように対処する準備ができているかを CIO、CEO、取締役会に伝えるための指標を使用してセキュリティ体制を追跡しています。

「最も効果的なセキュリティ プログラムは、セキュリティと IT 運用の両方で戦術的な意思決定に使用されるデータに由来するものであっても、経営者が理解できるリスクの概要を提供するプロセスと方法論を開発します。」

これを行うために、SANS はセキュリティ専門家が、検出までの時間、応答までの時間、復元までの時間という 3 つの主要な指標を追跡することを推奨しています。

「上で説明した 3 つの『所要時間』指標は、セキュリティ オペレーション センターの効率と有効性を測定し、向上させるために重要であることが証明されています」とホワイトペーパーには記載されています。 「セキュリティ プログラム全体を管理し、経営幹部や取締役会に効果的にプレゼンテーションするには、より高いレベルの指標と測定が必要です。」

過去 1 年間、CISO にとって取締役会との効果的なコミュニケーションが最優先事項であったとペスカトーレ氏は説明します。取締役会は、リスクの内容だけでなく、ビジネスに対するリスクに対処する戦略を CISO に求めているからです。

「その一環として、CISO はビジネス面で考え抜く必要があります。どのようなリスクがビジネスに最大の影響を与えるのか、またそれらのリスクを除去する戦略は何なのかを検討する必要があります。」とペスカトーレ氏は言います。

ホワイトペーパーで詳述されている実際の例としては、パッチ適用やシールドの迅速化、サイバーセキュリティ衛生の改善、ソフトウェアの脆弱性回避への重点の改善によるリスクの低下が挙げられます。 

「脅威、脆弱性、ビジネスへの影響の傾向分析により、CISO は成功を証明できるだけでなく、失敗から学んだ教訓を文書化し、全体的な戦略的サイバーセキュリティ アプローチと必要な戦術的行動の正当性をサポートできるようになります。」

これらすべての要素が組み合わさることで、組織はサイバーセキュリティ侵害を回避したり、侵害が発生した場合にはタイムリーに対応してビジネス全体への影響を軽減したりできます。

「セキュリティ業界で私たちがいつも言っているのは、成功している人は皆、人、プロセス、テクノロジーを組み合わせる方法を見つけているということです」とペスカトーレ氏は言います。 「人、プロセス、テクノロジー、そして優先順位を付けることができること。これらのことを言うのは簡単ですが、その焦点を絞り、優先順位を組み込むことが違いを生み出すのです。」