サイバーセキュリティを理解する – GigaOm
12 月に開催された Black Hat Europe カンファレンスで、私は当社の上級セキュリティ アナリストの 1 人である Paul Stringflow と話をしました。会話の最初の部分では、サイバー セキュリティ ツールを操作し、ROI とリスクを測定するための関連指標を定義することの複雑さについて話します。
ジョン: ポール、エンドユーザー組織は何が起こっているのかをどのように理解しているのでしょうか?私たちはここ Black Hat にいますが、さまざまなテクノロジー、オプション、テーマ、カテゴリがたくさんあります。私たちの調査では、ポスチャ管理、サービス管理、資産管理、SIEM、SOAR、EDR、XDR など、30 ~ 50 の異なるセキュリティ トピックがあります。しかし、エンド ユーザー組織の観点からすると、40 ~ 50 の異なることについて考えたくありません。彼らは 10、5、あるいは 3 つまで考えたいと考えています。あなたの役割は、これらのテクノロジーを実装することです。彼らはそれについてどのように考えたいと考えていますか? ここで見られる複雑さを彼らが求めているシンプルさに変換するのをどのように支援しますか?
ポール: 私がこのようなイベントに参加するのは、課題が非常に複雑で急速に進化しているためです。サプライヤーや業界一般と時間を費やさずに、CIO や現代のセキュリティ リーダーになることはできないと思います。 Black Hat Europe では必ずしもそうではありませんが、仕事を遂行するにはサプライヤーとやり取りする必要があります。
40 ~ 50 人の販売者についての話に戻りますが、その通りです。調査している調査にもよりますが、組織内のサイバーセキュリティ ツールの平均数は 40 ~ 60 です。それで、どうやってやるのですか?このようなイベントに参加するとき、私は 2 つのことを行うのが好きですが、GigaOm で働き始めてから 3 つ目が追加されました。 1 つは、販売者と会うことです。人々から頼まれたからです。 2つ目は、プレゼンテーションに参加することです。 3 つ目は、エキスポのフロアを歩き回って、特に私が会ったことのない出店者と話をして、彼らが何をしているのかを見ることです。
昨日セッションに参加したのですが、私の注意を引いたのは、「価値をもたらすサイバーセキュリティ指標を特定する方法」というタイトルでした。アナリストの観点からこのことに衝撃を受けたのは、GigaOm での業務の一部が、特定のトピックに関するソリューションの有効性を測定するための指標を作成することだからです。しかし、SecOps または IT 運用の一部としてテクノロジーを導入している場合は、意思決定を行うために多くの指標を収集することになります。セッションで彼らが話し合った内容の 1 つは、ツールが多すぎてノイズが多すぎるため、非常に多くのメトリクスを作成するという問題でした。価値を発見するにはどうすればよいでしょうか?
あなたの質問に対する長い答えは、彼らが私が非常に賢明なアプローチだと思うことを提案したということです。それは、一歩下がって、何が重要な指標について組織として考えるというものです。企業として知っておくべきことは何ですか?そうすることでノイズを軽減でき、また、それらのメトリクスを提供するために使用するツールの数も削減できる可能性があります。特定のメトリクスがもう価値がないと判断した場合、そのメトリクスを提供するツールを保持し続ける必要はありません。そのメトリクスを提供するだけの場合は、削除してください。とても興味深いアプローチだと思いました。まるで、「これだけのことはやった。さて、何がまだ重要かを考えよう」というようなものです。
これは進化する空間であり、それを扱う方法も同様に進化する必要があります。 5年前に買ったからといって、まだ価値があるとは考えられません。おそらく、今では同じことを行うツールが他に 3 つあるでしょう。それは脅威への取り組み方を変え、セキュリティへの取り組み方も変えました。これらのツールのいくつかに立ち戻って、「本当にこれはもう必要ですか?」と自問する必要があります。
ジョン: 私たちはこれによって成功を測り、それによって私たちは変わります。
ポール: はい、それはとても重要なことだと思います。最近、ある人と自動化の重要性について話していました。自動化に投資する場合、導入後 12 か月後よりも今のほうが良いでしょうか?私たちは自動化ツールにお金を費やしていますが、どれも無料ではありません。私たちは、これらのツールが私たちの問題を解決してくれるだろうと確信しました。 GigaOm での仕事以外で、私が CTO の役割で行っていることの 1 つは、ベンダーの夢やビジョンを取り入れ、顧客が求めているものを実現することです。
営業担当者は、自社の製品があなたのために世界を変えるという願望を持っていますが、現実には、相手の顧客が必要としているものです。それは、ある種の統合と理解です。何かを実装する前に何が起こったのか、そしてその後何が起こったのかを測定できるようになります。改善を示すことができますか?また、その投資には実際の価値がありましたか?
ジョン: 結局のところ、これが私の仮説です。重要な尺度はリスクだけです。それを風評リスク、ビジネスリスク、または技術リスクに分類できます。たとえば、データは失われますか?データが侵害され、ビジネスに損害を与えることはありますか?それとも、データを公開して顧客を怒らせ、大打撃を受ける可能性がありますか?しかし、その裏には、リスクを軽減するために必要以上に多くのお金を費やしていませんか?
コストや効率などが問題になりますが、組織はそれをどのように考えているのでしょうか?それが私の古い見方だからです。もしかしたら彼は引っ越したのかもしれない。
ポール: あなたは正しい道を進んでいると思います。業界として、私たちは小さなエコーチェンバーの中に住んでいます。したがって、私が「業界」と言うときは、私が見ている、業界全体のほんの一部を意味します。しかし、その部分では変化が見られると思います。クライアントとの会話では、リスクについての話が多くなります。彼らは支出とリスクのバランスを理解し始めており、どのくらいのリスクを許容できるかを把握しようとしています。すべてのリスクを排除することはできません。どれだけ多くのセキュリティ ツールを導入しても、誰かが会社を脆弱性にさらす愚かな行為を行うリスクが常にあります。そしてそれは、AI エージェントが他の AI エージェントと仲良くなって悪意のあることをしようとする前の段階です。それは全く別の会話です。
ジョン: ソーシャルエンジニアリングは好きですか?
ポール: はい、たくさんあります。それはまったく別のショーです。しかし、リスクを理解することはより一般的になりつつあります。私が話す人々は、これがリスク管理の問題であることを理解し始めています。すべてのセキュリティ リスクを排除することはできませんし、すべてのインシデントを管理することもできません。ビジネスに対する本当のリスクがどこにあるのかを特定することに重点を置く必要があります。たとえば、CVE スコアに対する批判の 1 つは、人々はスコア 9.8 の CVE を見て、それが大きなリスクであると想定するが、その周囲の背景がまったくないというものです。彼らは、CVE が野生で観察されたかどうかを考慮していません。そうでなかった場合、最初に発見されるリスクは何ですか?そして、もしその偉業があまりに複雑で、実際に世に出ていないとしたら、誰かがそれを実際に使うことはどれくらい現実的でしょうか?
これは悪用するのが非常に複雑なので、誰も悪用することはありません。これはバージョン 9.8 で、脆弱性スキャナーに「これは本当に管理する必要があります」と表示されます。実際には、コンテキストが適用されていない変更が実際に行われているのをすでに確認していることになります。
ジョン: リスクは確率に影響を乗じたものに等しい。つまり、確率について話しているのですが、それはあなたのビジネスに影響を与えるのでしょうか? 6 か月に 1 回のメンテナンスのために中古システムに影響を及ぼしますか? それとも、Web サイトは顧客向けですか?しかし、私が興味を持ったのは、1990 年代に私たちがこの実践を行っていたとき、リスク回避の波を経験し、その後、リスク軽減やリスク優先順位付けなども含めて、「すべてを停止しなければならない」ということになったのです。
しかし、クラウドの進歩と、デジタル世界でのアジャイルのような新しい文化の台頭により、私たちは「そうなら、これが起こらないようにして、すべてのドアをロックし、ゼロトラストを実装する必要がある」という方向に戻っているようです。そして今、「これをもう少し賢く考える必要があるのではないか」という波が起きています。
ポール: それは非常に良い点であり、実際にあなたが提起したのは興味深い類似点です。これを録音している間、少し議論するつもりです。議論してもよろしいでしょうか?ゼロトラストの定義について少し質問させていただきます。そのため、ゼロトラストはすべてを止めようとするものとして見られることがよくあります。自信がゼロの場合はおそらくそうではありません。ゼロトラストはむしろアプローチであり、テクノロジーはそのアプローチをサポートするのに役立ちます。とにかく、それは私との個人的な議論です。しかし、ゼロトラスト…
さて、後でここで切り戻して自分自身と議論するつもりです。つまり自信ゼロ… 例として挙げれば、それは良いことです。私たちが以前行っていたのは暗黙の信頼でした。あなたがログインすると、私はあなたのユーザー名とパスワードを受け入れます。その後、安全なバブル内であなたが行ったことはすべて、悪意のあるアクティビティがなければ有効であると見なされます。問題は、アカウントが侵害された場合、サインインするだけで済む可能性があることです。ログインすると、侵害されたアカウントが実行しようとすることはすべて悪意のあるものになります。暗黙の信頼を行っている場合、私たちはあまり賢明ではありません。
ジョン: では、その逆はアクセスを完全にブロックすることなのでしょうか?
ポール: それは現実ではありません。ユーザーのログインを単に阻止することはできません。ゼロトラストを使用すると、ユーザーのサインインは許可されますが、すべてを盲目的に信頼することはできません。私たちは当面はあなたを信頼し、あなたの行動を継続的に評価します。あなたが私たちを信頼できなくなるような行為をした場合、私たちはそれに基づいて行動します。それは、自分の活動が適切であるか、それとも悪意がある可能性があるかを継続的に評価し、それに応じて行動することです。
ジョン: 私はあなたの言うことにすべて同意するので、これは非常に残念な議論になるでしょう。あなたは私ができる以上に自分自身と議論してきましたが、私はあなたが言ったように、城の防御モデル、つまり一度入ったら、もう中に入ると思います。
そこでは 2 つのことを混ぜ合わせていますが、城の中に入ったら何をしてもいいという考えです。それは変わりました。
それで、それについて何をすべきでしょうか?費用対効果の高い対応を提供する方法については、パート 2 をお読みください。
この投稿「サイバーセキュリティを理解する – パート 1: 複雑さを見抜く」は、最初に Gigaom に掲載されました。
