コンテンツにスキップ

イラスト:

カジノサイト

パトロールの問題

ミーガン・ゲイツ著
2020 年 8 月 1 日

印刷問題:2020 年 8 月

FBI シチズン アカデミーは、FBI 局のコミュニティ構築イニシアチブの中心となっています。全米の都市で 6 ~ 8 週間にわたって開催され、FBI 捜査官がビジネス、宗教、市民、地域社会のリーダーに対し、FBI がどのように犯罪を捜査し、公共の安全を守るかについて教育します。

ベライゾン社のサイバーセキュリティ戦略およびマーケティングのグローバル責任者であるジョン・ラブランド氏がアカデミーに出席したとき、担当捜査官はFBIが爆撃機を発見し、ボストンマラソンなどの大規模なイベントで警備を提供するために使用する戦術について議論しました。一般的なアプローチの 1 つは、主要な交差点の近くにパトカーと警察官を配置して交通を監視し、不審な行為を特定することです。

「その過程で質問がありました。『トラック爆弾があるかどうかを発見するために、あの地下鉄警察官に頼っているのですか?』」とラブランドは言う。 「エージェントのコメントは、『そんな人たちに頼らなければならないなら、私は失敗した』というものでした。」

FBI はその代わりに、理想的には爆破犯の可能性があることを、ランプに配置されている警察官のそばを通り過ぎるずっと前に局に警告するような調査および検出方法に依存しています。しかし、これは多くの場合、組織がサイバーセキュリティに対して採用しているアプローチではありません。

「私たちは悪者を防ぐためにネットワークの入り口にパトカーを配備することに多くの時間を費やしていますが、結局のところ、その悪用は一部のハッカーが通り抜けるほどのものです」とラブランド氏は言う。 「企業は、システムに異常が発生した場合に迅速に検出するのに役立つ技術やソリューションに、それ以上ではないにしても、同等の費用を費やす必要があります。」

ラブランドの評価は、の調査結果に基づいています。(DBIR)、データ侵害の封じ込め時間は数日以内に短縮されているものの、「数カ月以上かかる発見が依然として侵害の 4 分の 1 以上を占めている」ことがわかりました。

13 年目を迎えたこのレポートは、81 か国の 81 人の寄稿者から提出されたデータから、合計 157,525 件のセキュリティ インシデントのうち 32,002 件のセキュリティ インシデントを分析するまでに成長しました。 Verizon は、インシデントを「情報資産の完全性、機密性、または可用性を損なうセキュリティ イベント」と定義しています。

2019 年に財務上の利益を目的として行われたデータ侵害の 86 パーセント.png

このレポートには、データ侵害(不正な当事者へのデータ開示が確認されたインシデント)の影響を防御し、軽減する能力を実務者が向上させるのに役立つ、16 の分野に分類された業界別の分析も含まれています。そのうち、2019 年には 3,950 件が確認されています。

今年のデータには、いくつかの重要なテーマが示されています。 1 つ目は、ランサムウェアの使用が増え続けており、2019 年のすべてのマルウェア関連侵害の 20 パーセントを占めています。ランサムウェア攻撃がより増加した業種は、教育、州および地方自治体に対するものでした。

「その方向に実際に火がついた傾向が見られました」とラブランド氏は付け加えた。 「あえて言えば、第 1 層と第 2 層の自治体の大部分が、何らかの形のランサムウェア攻撃に直面していると言えます。」

ランサムウェアは主にフィッシングを通じて環境に導入されており、ユーザーの資格情報を取得して Web アプリケーションにアクセスするために使用されます、とラブランド氏は言います。

世界がクラウドへの移行を続け、サービスとしてのセキュリティ (SaaS) アプリケーションに依存しているため、これはさらに大きな影響を及ぼします。

「[アマゾン ウェブ サービス] とこれらのプラットフォームには、侵入を防ぐための高度なセキュリティが備わっていることが期待されています」とラブランド氏は説明します。 「しかし、ユーザーの認証情報が侵害されると脆弱性が残ります。堅牢なセキュリティは可能ですが、誰かがあなたまたは私の認証情報を入手し、それを使用してシステムにアクセスした場合、それらの防御はすべて無駄になります。」

そして、これらの侵害の背後にある個人は、組織的な犯罪グループ (侵害の 55%) に通常関係している外部の関係者 (70%) であることがよくあります。これらの侵害のほとんどは金銭的利益を目的として実行され (86 パーセント)、数日以内に発見されました (81 パーセント)。

「マスコミの注目を集めていることの一つは国民国家の主体者知的財産を探しています。知的財産は盗まれたり、競争上の優位性のために使用されたりします。」とラブランド氏は言います。「それは製造業や公共部門で発生しますが、概して、これらの侵害は本質的に金銭的なものです。」

ラブランド氏はまた、侵害は内部関係者によって行われるが、それは必ずしも内部関係者が悪意を持って行動していることを意味するわけではないと説明しています。これらの侵害の多くは、システム内のエラーや構成ミスが原因で、不用意にデータ侵害を引き起こします。

私たちは悪者を排除するために、ネットワークの入り口にパトカーを配置することに多くの時間を費やしています。png

「…人づてに聞いた話にもかかわらず、当社のデータでは内部攻撃者よりも外部攻撃者の方がはるかに一般的であり、これまでも常にそうでした。」と報告書には記載されています。 「これは実際には直観的な発見です。特定の組織に何人の人がいるかに関係なく、組織の外部には常により多くの人々が存在します。それでも、内部関係者が組織のセキュリティに対する最大の脅威であるというのは広く受け入れられている意見ですが、それは私たちが誤っていると信じています。確かに、ここ数年間のデータセットでは内部関係者が明らかに増加していますが、これは内部関係者による実際の悪意の証拠というよりも、内部エラーの報告が増加した結果である可能性が高いです。」

報告書の作成者は、医療分野でこのような状況を最も頻繁に目撃しており、そこでは内部関係者が侵害の約 50% に関与していました。これは、彼らが「膨大な量の作業を行わなければならず、また紙によって促進されるペースの速い環境」で働いているためである、とラブランド氏は言う。 「多くの場合、十分なコントロールが備わっていないため、エラーが発生する余地が多く残されています。」

行政や医療など、報告が義務付けられている業界では、エラーは常に一般的でしたが、現在は他の業界でも増加傾向にあります。

「他の業界でも間違いがより明らかになっているという事実は、私たちが単に間違いを隠蔽しようとするのではなく、自分の間違いを認めることが上手になっていることを意味しているのかもしれない」と報告書は述べている。 「もちろん、非常に多くの被害者がセキュリティ研究者や第三者によって捕らえられているため、被害者は『まったくの罪だ』と言うしかないということも意味する可能性があります。」

実際、データ侵害を組織に最も警告する可能性が高いのはセキュリティ研究者であり、組織に通知する確率は約 50% で、2018 年の 6 倍となっています。内部従業員によって報告された侵害は 10% 未満です。

これは、侵害が発生した場合に組織の検出能力にギャップが依然として存在しており、検出と対応ではなく境界保護に焦点を当てるのが間違っていることを示しています。

たとえば、組織は、ネットワーク内およびデバイス上の動きを監視するポイントをさらに作成することで、検出および対応能力を強化することを検討する必要があります。コロナウイルスのパンデミックに対応してリモートワークが増加していることを考えると、これらの対策も不可欠です。

「企業はどのようにしてセキュリティ ファブリックを四方の壁の外側に拡張していますか?」ラブランドは尋ねる。 「オフィスと同じ行動や警戒心を自宅でもどのようにして身につけることができますか?」

データから得られた前向きな発見の 1 つは、組織を侵害するために使用される脆弱性エクスプロイトが着実に減少していることだと、ラブランド氏は付け加えました。この戦術の一般的な例は次のとおりです。エクイファックス違反。企業が既知のセキュリティ上の欠陥にパッチを当てなかったために Web アプリケーションが侵害されました。

「パッチ適用とパッチ管理が、一部の脆弱性悪用を減らし、トロイの木馬などの減少にも影響を及ぼし始めていることがわかります」とラブランド氏は言います。 「衛生状態は向上しており、従来の攻撃を減らすのに役立っています。」

世界で最も多くの侵害が発生したのはどこですか?

第 13 版ベライゾン データ侵害インシデント レポート、2019 年に収集されたデータに基づいて 2020 年に発表されたところ、世界中で合計 157,525 件のセキュリティ インシデントが特定され、そのうち 32,002 件が Verizon の分析品質基準を満たしていました。

北米が 18,648 件でこの分野をリード。次いでヨーロッパ、中東、アフリカが4,209件。アジア太平洋地域は 4,055 件。報告書によると、5,003件の事件が報告されたが、それらは未知の場所で発生した。

北米でインシデント数が最も多い理由の 1 つは、医療や行政などの業界のデータ報告基準にあります。

「したがって、事件や侵害の数は、開示要件がそれほど厳しくない地域よりも高くなる可能性があります。」と報告書は述べています。 「また、このレポートの範囲はますます世界規模になってきていますが、私たちの寄稿者の多くは北米の組織に居住しており、主に北米の組織に関係していることも認めなければなりません。」

北米の組織では、ソーシャル エンジニアリング攻撃を通じて取得した盗まれた資格情報を利用した、Web アプリケーション インフラストラクチャに対する金銭目的の攻撃が多数発生しました。ヨーロッパ、中東、アフリカは、盗まれた資格情報や既知の脆弱性を利用したハッキン​​グ技術を組み合わせた攻撃者の標的になることがよくありました。アジア太平洋地域では、金銭目的の攻撃者が多数のシステムを標的にしていることがわかりました。

arrow_upward