インシデント対応計画は、サイバー攻撃が発生した場合に企業が危機を管理し続けるのに役立ちます。 Sophos Labs と Sophos Managed Response および Rapid Response チームは、XNUMX の重要なステップを含むガイドを作成しました。
サイバー攻撃の可能性はかつてないほど高まっています。 次のようなソフォスによる調査 「2021 年のランサムウェアの現状」 は、調査対象の企業の 37% がランサムウェアだけの影響を受けていることを証明しています。 ランサムウェアは、おそらく近年で最も壊滅的な損害を与える形態ですが、ビジネスに深刻な問題を引き起こす唯一のタイプのマルウェアではありません。
インシデント対応戦略
したがって、組織と IT チームは、効果的なセキュリティと、よく考え抜かれて試行錯誤されたインシデント対応戦略の両方を備えておくことを強くお勧めします。 このような計画は、サイバー攻撃のフォローアップ コストを最小限に抑えるだけでなく、他の多くの問題やビジネスの中断さえも未然に防ぐことができます。 Sophos Labs は、Sophos Managed Response および Sophos Rapid Response チームと協力して経験を収集し、その結果を インシデント対応ガイドが利用可能.:
1. 関係者および影響を受けるすべての人を特定する
セキュリティ チームだけが責任を負って攻撃の影響を受けるだけでなく、社内の他の多くの人々も攻撃を受けます。 経営幹部から部門長、法務部門または人事部門に至るまで、主要人物を特定し、インシデント計画に積極的に関与させることが重要です。 IT 障害は従来の通信チャネルにも影響を与える可能性があるため、この時点で代替の通信オプションも検討する必要があります。
2. 重要なリソースを特定する
保護戦略を策定し、緊急時に攻撃の範囲と結果を判断できるようにするには、企業にとって最も優先度の高いリソースを決定する必要があります。 これは、最も重要なシステムを的を絞った方法で緊急時に高い優先度で復元する唯一の方法です。
3. 緊急事態のシナリオを練習して遊ぶ
演習により、サイバー攻撃が発生した場合に、調整された迅速かつ的を絞った方法でアクションを実行できるようになります。 最初に指示を探したり、直感的に行動したりするのではなく、関係者全員が常にすぐに何をしなければならないかを正確に知っている場合、計画は特に優れています。 演習では、さまざまな攻撃シナリオも定義する必要があります。
4. セキュリティ ツールを提供する
保護の非常に重要な部分、したがってインシデント対応計画の非常に重要な部分は、予防措置です。 これには、エンドポイント、ネットワーク、サーバー、クラウド、およびモバイル デバイスと電子メールに適したセキュリティ ソリューションも含まれます。 可能な限り早い時点で潜在的な攻撃を検出し、理想的にはそれらを排除するために、透明で統合された管理およびアラーム コンソールと同様に、AI の使用など、高度な自動化がツールにとって重要です。自動的。
5.最大限の透明性を確保する
攻撃中に何が起こっているかを把握するために必要な可視性がなければ、組織は適切に対応するのに苦労します。 IT チームとセキュリティ チームは、攻撃の範囲と影響を判断するためのツールを用意する必要があります。これには、攻撃者のエントリ ポイントと持続ポイントの特定が含まれます。
6.アクセス制御を実装する
攻撃者は脆弱なアクセス制御を悪用して防御を覆し、権限を昇格させます。 したがって、効果的なアクセス制御が不可欠です。 これには、とりわけ、マルチレベル認証の提供、管理者権限を可能な限り少数のアカウントに制限することが含まれます。 企業によっては、追加のゼロ トラスト コンセプトを作成し、適切なソリューションとサービスで実装することが理にかなっている場合があります。
7. 分析ツールでの使用
必要な透明性を確保することに加えて、調査中に必要なコンテキストを提供するツールは非常に重要です。 これには、EDR (Endpoint Detection and Response) や XDR (Extended Detection and Response) などのインシデント対応ツールが含まれます。これにより、環境全体を検索して侵害の痕跡 (IOC) と攻撃の痕跡 (IOA) を見つけることができます。
8. 対応策を決定する
攻撃を適切なタイミングで認識するのは良いことですが、戦いの半分にすぎません。 発見後の目的は、攻撃を制限または排除することだからです。 IT チームとセキュリティ チームは、攻撃の種類と潜在的な損害の深刻度に応じて、攻撃者を阻止および排除するためのさまざまな対応アクションを開始できる必要があります。
9. 意識向上研修の実施
会社のすべての従業員は、自分の行動がもたらす可能性のあるリスクを認識する必要があります。 したがって、トレーニングはインシデント対応計画または予防の重要な部分です。 攻撃シミュレーション ツールを使用すると、従業員に対する実際のフィッシング攻撃をセキュリティ リスクなしでシミュレートできます。 結果に応じて特別研修を実施し、従業員の意識向上を図っています。
10. マネージド セキュリティ サービス
すべての企業が、社内のインシデント対応計画を実施するためのリソースを持っているわけではありません。また、何よりも、実績のある専門家を擁するインシデント対応チームを持っているわけではありません。 MDR プロバイダー (Managed Detection and Response) などのサービス プロバイダーが役立ちます。 24 時間年中無休の脅威ハンティング、分析、インシデント対応をマネージド サービスとして提供しています。 MDR サービスは、組織がインシデントに対応するのに役立つだけでなく、インシデントの可能性も減らします
サイバーセキュリティ インシデントでは、一秒一秒が重要です
ソフォスのセキュリティ エキスパートである Michael Veit は次のように説明しています。 「この知識は新しいものではありません。 企業は主に、適切な予防措置を講じてこの知識を実装するかどうか、または企業の存在を危険にさらすリスクを冒すかどうかで異なります。 これは、車のシートベルトを締めるのと似ています。シートベルトがなければ、事故で無傷になる可能性はほとんどありません。 社内の影響を受けるすべての関係者がすぐに実行できる、十分に準備され、よく考えられたインシデント対応計画は、サイバー攻撃の影響を大幅に軽減することができます。」
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。