サイバー攻撃に備えて集中的に準備する企業は、攻撃の結果に対処する必要が大幅に少なくなります。 インシデント対応 (IR) の計画を持つことは大いに役立ちます。
サイバーセキュリティは主に予防に重点を置いています。 そのための最善の方法は、インシデントから学ぶことです。 それにもかかわらず、企業が攻撃されることは何度も起こります。 そのような場合、それは被害を最小限に抑え、既知の経験から可能な限り学ぶことが問題です. では、「ベストプラクティス」とは何ですか?
プランで得られるものは大きい
IT セキュリティ チームは、セキュリティ違反または攻撃が発生した場合に有効にする必要があるサイバー攻撃 (インシデント対応、IR) に対応するための計画を定義します。 次の質問は、IR 計画の基礎を形成します。
- 事件の深刻度は?
- 重要なシステムはどこにあり、それらを分離する方法は?
- どのように、誰とコミュニケーションを取るべきですか?
- 誰に連絡し、どのような行動を取るべきか?
- バックアップコピーはどうですか?
IR 計画は、プレッシャーのかかる状況でも簡単に実行できるように、単純明快なものにする必要があります。 SANSインシデントハンドブック と ソフォスのインシデント対応ガイド 計画を立てる際に非常に役立ちます。
サイバー攻撃後に助けを求める
攻撃後にコンピュータやシステムの復元を試みる前、または身代金の交渉を試みる前に、企業は助けを求める必要があります。 攻撃への対応には専門的なスキルが必要であり、ほとんどの組織はインシデント対応の専門家を雇用していません。
プランには、IR サービス プロバイダーの連絡先の詳細が含まれています。 攻撃がサーバーとエンドポイントに対して向けられた場合 (ランサムウェア インシデントなど)、特に IR サービスを提供している場合は、最初にエンドポイント セキュリティ プロバイダーに連絡する必要があります。 彼は影響を受けた環境のテレメトリを持っている可能性が高く、EDR/XDR などのプリロードされたツールにアクセスして、すぐに役立つようにしています。
援助を拡大し、当局と協力する
地元の法執行機関に連絡することをお勧めします。 この事件で犯罪が行われた可能性が高く、適切な当局が役立つリソースを持っている可能性があります。 もちろん、保険が存在する場合、サイバー攻撃はサイバーセキュリティのために保険会社にも報告する必要があります。 テクノロジー プロバイダーまたはシステム インテグレーターと協力している場合は、バックアップなどの復旧を支援できる場合があります。
システムを迅速に分離し、インシデントを封じ込めます
インシデントはできるだけ隔離し、封じ込める必要があります。 これには、電源のオフ、インターネットとネットワークの切断、ソフトウェアベースの分離、すべて拒否のファイアウォール ルールの適用、および重要なシステムのシャットダウンが含まれます。 機能しているドメイン コントローラーが使用可能な場合は、可能であればサーバーをシャットダウンしたり、ネットワークから切断したりして、ドメイン コントローラーを維持することが重要です。 バックアップも隔離し、ネットワークから切断する必要があります。 さらに、侵害された疑いのあるすべてのパスワードを変更し、アカウントをリセットする必要があります。
インシデント対応サービスを使用する際に重要なのは、影響を受けたシステムと接続を運用に戻す方法に関するアドバイスです。
重要: 身代金を支払わないでください
身代金を支払うことは「簡単な」方法のように聞こえますが、犯罪者がさらなる犯罪を犯すことを助長します。 さらに、中程度の身代金要求の時代はとうの昔に過ぎ去りました。Sophos State of Ransomware Report 2021 は、中規模企業が昨年平均 147.000 ユーロの身代金を支払ったことを示しています。 ソフォスの調査では、身代金が支払われた後、暗号化されたデータの 65% しか回復できず、いずれにせよデータの XNUMX 分の XNUMX 以上が失われたこともわかりました。
さらに、身代金の支払いに関する法的状況は世界中で異なります。 したがって、組織が運営されている国 (または複数の国) の法律について調べておくことをお勧めします。
既存の証拠を保持する
多くの場合、サイバー攻撃の被害者は、システムとサービスをできるだけ早く復元することを第一に考えています。 その過程で、原因を特定し、セキュリティ違反の範囲を理解するのに役立つ多くの情報が失われます。 ただし、これらはインシデント対応チームに、彼らが対処している人物と、そのグループが通常使用する戦術を伝えることができます. まったく新しい種類のランサムウェアと、使用されている Tactics, Techniques and Procedures (TTP) が明らかになる可能性さえあります。
システムと仮想マシンのイメージを保存することは、マルウェアを隔離して保存することと同じくらい重要です。 保険金請求の司法審査が行われた場合、企業は証拠を提示したり、開示規則に違反していないことを政府機関に証明することもできます。
報復はさらなる被害をもたらす
多くの場合、複数のグループがランサムウェア攻撃の背後にあります。 たとえば、身代金メモからの情報と、戦術、技術、および手順 (TTP) の共通点を使用して、通常、経験豊富なインシデント対応チームは、対処している人物を迅速に特定できます。 いわゆる「ハックバック」と呼ばれる報復を試みることは、強く推奨されません。 そもそもそれはおそらく違法であり、状況を悪化させるだけです。
サイバー保険の役割
サイバー保険の対象となるサイバー攻撃が発生した場合、保険会社の損害査定人がまず外部の弁護士に依頼します。 これにより、インシデントが解決されるまで、内部および外部のリソースが編成され、活動が調整されます。
保険に加入する場合は、サイバー攻撃が発生した場合にどの活動とどの専門プロバイダーが補償されるかを事前に明確にしておくことをお勧めします。 ほとんどのサイバー保険会社は、既存のサービス プロバイダーの利用を受け入れています。
常に連絡を取り合う
通信は、サイバー攻撃によって深刻な影響を受けることがよくあります。 電子メール システムがオフラインになったり、保険証券や IR 計画の電子コピーが暗号化されたり、攻撃者が通信を監視したりする可能性があります。 そのため、インスタント メッセージ アプリケーションなど、代替の通信手段を用意することをお勧めします。 別のチャネルを使用すると、チーム全体と関係者全員がコミュニケーションできます。 保険データ、IR 計画、および IR スペシャリストへの連絡先は、個別に物理的な形で保管する必要があります。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。