サイバー攻撃が発生した場合、企業や組織は多大なプレッシャーにさらされます。インシデントへの適切な対応には時間がかかると同時に、迅速な対応が必要になるからです。
そのため、ソフォスのインシデント対応の専門家は、企業がこの困難なタスクに取り組むのに役立つガイドを作成しました。 これらの XNUMX つのヒントは、何千ものサイバーセキュリティ インシデントに協力して対応してきたマネージド スレット レスポンスおよび迅速な対応チームの実際の経験に基づいています。
1. できるだけ早く対応する
企業が攻撃を受けているときは、一秒一秒が重要です。 ただし、企業内のセキュリティ チームは、迅速に対応するには時間がかかりすぎることがよくあります。 これの最も一般的な理由は、彼らが状況の深刻さと時間の緊急性を認識していないことです. また、祝日、週末、夜間に多くの攻撃が発生します。 ほとんどの IT およびセキュリティ チームは人員が大幅に不足しているため、これらの時点での攻撃への対応は、攻撃の影響を時間内に封じ込めるには遅すぎることがよくあります。
注意アラーム疲労
さらに、特定のアラーム疲労は迅速な行動を減らします。 また、適切でタイムリーな対応があったとしても、セキュリティ チームは適切な措置を講じるのに必要な経験を持っていないことがよくあります。 したがって、起こりうるインシデントとそれらへの対応は、事前に詳細に計画する必要があります。 ソフォスは、このようなサイバー クライシス プランの最も重要な XNUMX のステップをインシデント レスポンス ガイドにリストしています。.
2. 行動を「使命は達成された」と宣言するのを性急にしないでください。
サイバーインシデントが発生した場合、症状を治療するだけでは十分ではありません。 原因も調査する必要があります。 たとえば、マルウェアの削除とアラートのクリアが成功しても、攻撃者が環境から追い出されたことを意味するわけではありません。 攻撃者が直面している防御を判断するためのテスト実行にすぎない可能性があるためです。 攻撃者がまだインフラストラクチャにアクセスできる場合、攻撃者は再び攻撃する可能性がありますが、破壊力はより大きくなります。 攻撃者はまだエリア内に足を持っていますか? 彼は第二波を発射する予定ですか? 経験豊富なインシデント対応の専門家は、いつ、どこでさらに調査を行うべきかを知っています。 攻撃者がネットワーク上で行っている、行った、または行う予定の可能性があるすべてのものを探し、それらの活動も無力化します。
3. 完全な可視性が鍵
攻撃では、正確で高品質なデータにアクセスできることが重要です。 この情報のみが、攻撃の潜在的な兆候を正確に特定し、原因を特定することを可能にします。 専門のチームが関連データを収集してシグナルを検出し、それらに優先順位を付ける方法を知っています。 その際、次の点に注意してください。
信号を集める
環境の可視性を制限することは、攻撃を見逃す確実な方法です。 ここでビッグデータ ツールが役立ちます。 これらは、攻撃を調査して対応するための有意義な洞察を提供するのに十分なデータを収集します。 さまざまなソースから適切で高品質なデータを収集することで、攻撃者のツール、戦術、手順を完全に把握できます。
ノイズフロアを下げる
攻撃の全体像を示すデータがないことを恐れて、一部の企業やセキュリティ ツールは一般に、利用可能な情報をすべて収集します。 ただし、このアプローチでは攻撃の検索が難しくなり、必要以上のデータが生成されます。 これにより、データの収集と保存のコストが増加するだけでなく、潜在的なインシデントのノイズ フロアが高くなり、アラーム疲労や真の誤報を追跡するための時間の浪費につながります。
コンテキストを適用
効果的なインシデント対応プログラムを実行できるようにするためには、コンテンツ (データ) に加えてコンテキストが必要です。 シグナルに関連付けられた意味のあるメタデータを適用することにより、セキュリティ アナリストはそれらのシグナルが悪意のあるものか良性のものかを判断できます。 効果的な脅威の検出と対応の最も重要な要素の XNUMX つは、シグナルの優先順位付けです。 最も重要なアラートを特定する最善の方法は、セキュリティ ツール (つまり、エンドポイントの検出と対応のソリューション)、人工知能、脅威インテリジェンス、および人間のオペレーターの知識ベースによって提供されるコンテキストを組み合わせることです。 コンテキストは、シグナルの発信元、攻撃の現在の段階、関連するイベント、および潜在的なビジネスへの影響を判断するのに役立ちます。
4. 助けを求めても大丈夫
インシデントを調査して対応する資格のあるリソースが不足していることは、今日のサイバーセキュリティ業界が直面している最大の問題の XNUMX つです。 多くの IT およびセキュリティ チームは、サイバー攻撃の際に大きなプレッシャーにさらされ、対処する経験やスキルがない状況に陥っています。 このジレンマは、マネージド セキュリティ サービスという別の方法に取って代わられました。 具体的には、Managed Detection and Response (MDR) サービスです。 MDR サービスは、専門家チームによって提供される外部委託されたセキュリティ オペレーションであり、会社の社内セキュリティ チームの延長です. これらのサービスは、人間主導の調査、リアルタイムの監視、およびインシデント対応と、インテリジェンスの収集および分析テクノロジを組み合わせたものです.
専門的なインシデント対応サービス
まだ MDR サービスを利用しておらず、アクティブな攻撃に対応する必要がある組織の場合、専門のインシデント対応サービスが適切なオプションです。 セキュリティチームが圧倒され、外部の専門家が攻撃を評価して攻撃者を無力化する必要がある場合、インシデント対応者が呼び出されます。 有資格のセキュリティ アナリストのチームを擁する企業でも、インシデント対応サービスを利用することでメリットが得られます。 たとえば、カバレッジのギャップ (夜間、週末、休日など) を埋めたり、インシデント対応に必要な専門的なタスクを割り当てることができます。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。