チームに効果的なセキュリティ スタックを構築する方法を学ぶ

公開: 2020-05-05

技術スタックの構築は、IT 管理者、サイバーセキュリティの専門家、およびビジネス オーナーが直面する最も困難なタスクの 1 つです。

これは、一連の生産性ツールとサイバーセキュリティ ツールを構築するには、慎重にバランスを取る必要があるためです。

原則として、展開するサイバーセキュリティ ツールが多ければ多いほど、システムの安全性は高まりますが、それは特定のポイントまでに限られます。スタックを複雑にしすぎると、管理が難しくなり、脆弱性が導入され、セキュリティが強化される可能性があります。技術システムへの先行投資。

Aberdeen と Cyber​​ adAPT のレポートによると、ネットワーク、ストレージ、物理サーバー、仮想化、管理、およびアプリケーション レイヤーで構成される典型的な 6 レイヤーのエンタープライズ テクノロジー スタックでは、CISO は 16 億以上のバージョンの57 のベンダーが提供する 336 製品の技術インストール。

この問題は、ほとんどの企業環境のますます動的な性質によって悪化しています。 リモート ワーク ソフトウェア ソリューションの台頭、仮想チームの管理に対する新たな関心、および過去 10 年間の VPN 使用の漸進的な増加は、多くの企業が現在、オフサイトで効果的に展開できるサイバーセキュリティ スタックの開発を検討していることを示しています。これにより複雑さが増します。

この記事では、基本に戻ります。 効果的なサイバーセキュリティ ツール スタックの構築は、基本的なレベルで、多くの重要な原則に基づいています。 これらを念頭に置いて独自のスタックを構築および開発すると、優れたツール スタックの特徴であるシンプルさと機能のバランスに到達できるようになります。

セキュリティ スタックを適切に構築する方法

サイバーセキュリティ ツール スタックを構築するための最初の最も重要なステップは、サイバーセキュリティと情報ガバナンスの戦略を策定することです。 当たり前のように聞こえるかもしれませんが、これは多くの組織がまだ見落としているステップです。PwC の 2018 年の情報セキュリティのグローバル ステート サーベイで調査された 9,500 人のエグゼクティブの 44% が、全体的な情報セキュリティ戦略が整っていないと述べています。

徹底した厳格なサイバーセキュリティ戦略がなければ、直面する脅威を真に軽減するツール スタックを構築することはほとんど不可能です。 戦略的な監視なしに開発されたツール スタックは、相互に関連する多くの問題に悩まされる可能性があります。 幅広い脅威プロファイルに対処するには範囲が不十分であるか、脅威の数が増えているためすぐに時代遅れになるか、またはガバナンスとコンプライアンスの法律を満たすためにデータを十分に監視することができなくなります.

これには 2 つの例を挙げることができます。 過去数年間のクリプトジャッキングの急激な増加は、多くの企業を驚かせました。なぜなら、彼らはコンピューティング リソースではなくデータを保護することに慣れており、定期的な脅威の監査がなければ、多くの企業が対応するのが難しいと感じているからです。 同様に、過去 10 年間のインターネット検閲の規模の拡大により、多くの従来のリモート作業ソリューションがほとんど役に立たなくなっています。企業は、オフサイトの従業員が必要なすべてのオンライン リソースとシステムに完全にアクセスできることを当然のことと考えているためです。

ただし、悪いニュースばかりではありません。 サイバーセキュリティ フレームワークの開発は、リスクを軽減するだけではありません。生産性を向上させることもできます。 Tenable の 2016 年の調査では、フレームワークを導入した回答者の 95% が、セキュリティ運用の有効性、契約上のコンプライアンス、成熟度、ビジネス リーダーに対してセキュリティの準備状況をより効果的に提示する機能などのメリットを実感しています。

ビジネスリスク領域が何かを発見する

効果的なリスク管理フレームワークが整ったら、ビジネスが直面する最も危険なサイバーセキュリティの脆弱性を正直に評価し、ビジネスの持続可能性に最大の影響を与えるリスクに優先順位を付けます。

ほとんどのサイバーセキュリティ分析会社は、平均的な企業が直面する脅威の種類を次の 5 つの要素に分類します。

  • システムとハードウェアの物理的なセキュリティ。これには、アクセス コントロールとゼロ トラスト フレームワークが含まれます。
  • 侵入の検出、その緩和、およびエンドポイントの強化を組み込んだネットワーク境界セキュリティ
  • 内部通信のセキュリティ。 これは、データの漏えいや損失を制限するための戦術や、企業が直面する最も危険な脆弱性の一部である内部の脅威に対抗するためのシステムを含む幅広い分野です。
  • インシデント対応も、サイバーセキュリティ戦略の不可欠な部分である必要があります。 最も安全なサイバーセキュリティ ツール スタックでさえ、すべての脅威に対して 100% の保護を提供することはできず、成功した攻撃にどのように対応するかは、多くの場合、継続的なビジネスの持続可能性にとって最も重要な要素です。
  • 最後に、戦略には、成功した攻撃への長期的な対応を含める必要があります。これには、攻撃後のサイバー フォレンジック、調査、および訴訟戦略のプロセスが含まれます。

これらの 5 つの要素は、サイバーセキュリティ戦略を計画するための最も完全なフレームワークである NIST フレームワークにも含まれています。 このフレームワークには、上記の原則を反映した 5 つの原則 (脅威の特定、検出、保護、対応、回復) が含まれており、サイバー脅威に対処するための最初から最後までのアプローチを示しています。

セキュリティに対して多層的なアプローチを取る

サイバーセキュリティ戦略が整ったら、データ (およびスタッフ) をサイバー脅威から保護するために必要なツールへの投資を開始できます。 システムを一連の要素として考え、これと並行して NIST フレームワークに従うことの価値は、このアプローチがネットワークがモノリシックな全体ではないことを強調することです。 システムの各レベルを防御する必要があり、これらの各防御ツールは最後のものに基づいて構築する必要があります。

上記で説明した種類の分析から得られる主な教訓が 2 つあります。 1 つは、最終的にはシステムのセキュリティは最も弱い部分のセキュリティと同程度にしか得られないため、企業はネットワーク セキュリティの 5 つの要素すべてにわたってサイバーセキュリティへの支出のバランスを取る必要があるということです。 2 つ目は、NSA によって最初に普及されたが、現在ではほとんどの企業のサイバーセキュリティ戦略の基本的な部分である「多層防御」という防御パラダイムを示していることです。

スタックのバランスをとる

この2つの考え方を順番に見ていきましょう。 上記のルーブリックによるリスク評価の主な価値は、企業が保有するデータの種類や、脆弱性が最も深刻な場所に応じて、サイバーセキュリティ スタック ツールへの投資のバランスを取ることができることです。

たとえば、大量の知的財産を保護する必要がある企業にとって、バックアップ システムの脆弱性は最優先事項である可能性が高く、より高度なサイバーセキュリティ ツールを展開する必要がある分野です。 この種の企業は、貴重な (したがって潜在的に脆弱な) データを保持しているため、違反保護と侵入の軽減にも注力する必要があります。

別のタイプの企業、たとえば SaaS ツールの提供に重点を置いている企業は、スタックの別の部分に優先順位を付ける必要があります。 ほとんどのサービスを Web 経由で提供している企業は、DDoS 保護とサーバーの整合性にもっと注力する必要があります。 この種の企業の持続可能性は、データに保持される価値ではなく、アップタイムによって表されます。これは、サイバーセキュリティ ツール スタックを構築する際の購入決定に役立つはずです。

多層防御

「多層防御」の概念は、サイバーセキュリティの「スタック」の概念に本質的に含まれるものです。 実際には、これは防御を一連の防御層として編成し、それぞれを最後に構築する必要があることを意味します。 また、これらの防御メカニズムによって使用される方法が十分に多様化されている必要があることも意味します。

ここでの中心的な考え方は、ハッカーに一連のエスカレートする防御と対策を提示する必要があるということです。 これは、スタックが上記の 5 つのレベルで保護されていると考えるだけでなく、ツールが次の手法を可能な限り多く利用する必要があることも意味します。

  • エンドポイントまたはウイルス対策ソフトウェア
  • クラウド メール セキュリティまたは高度な脅威保護
  • 認証とパスワードのセキュリティ
  • アーカイブ
  • 生体認証
  • データ中心のセキュリティ
  • メールの継続性と DRP
  • 暗号化
  • ファイアウォール (ハードウェアまたはソフトウェア)
  • パスワードのハッシュ
  • 侵入検知システム (IDS)
  • ロギングと監査
  • 多要素認証
  • 脆弱性スキャナー
  • 時限アクセス制御
  • インターネットセキュリティ意識向上研修
  • 仮想プライベート ネットワーク (VPN)
  • サンドボックス
  • 侵入防御システム (IPS)

多層防御とは、企業が自社の防御を、すべての侵入者を抑止する侵入不可能な「壁」と見なすべきではないことも意味します。 代わりに、最終的には第一線の防御の一部が破られることを受け入れる必要があります。

これの良い例は、電子メール セキュリティです。 大多数の企業は、Microsoft または Google が提供する電子メールを使用します。 これらのシステムはどちらも既知のセキュリティ脆弱性を伴い、サイバー攻撃の大部分がフィッシング メールから始まることもよく知られています。

従業員が生産的に働くために必要な柔軟性と機能を提供しながら、従業員の受信トレイのレベルでこれらすべての攻撃を阻止しようとすることは、基本的に不可能です。 代わりに、企業は次のレベルのセキュリティに目を向ける必要があります。電子メールが保存される場所は、ほとんどの企業にとってクラウド ストレージになります。

したがって、電子メールの暗号化とスタッフのトレーニングは、サイバー攻撃を防ぐために重要です。多層防御を確保することは、電子メール用の暗号化されたクラウド ストレージ ソリューションを導入し、これらの暗号化されたアーカイブをバックアップすることも意味します。

ネットワーク セキュリティをマスターする

上記のフレームワークを使用すると、安全なサイバーセキュリティ スタックを構築するには、複数のベンダーの複数のツールに投資する必要があることがすぐにわかります。 私たちが指摘したように、この多様性は、強力なサイバーセキュリティ防御を確保するために重要ですが、問題を引き起こす可能性もあります.

これは、企業が、各ベンダーに与えられるべき責任について慎重に検討することなく、サイバーセキュリティ スタックのさまざまなレベルのセキュリティ サービスを下請けに出す傾向があるためです。

したがって、サイバーセキュリティ戦略には、高品質のツールへの投資に加えて、システムのどの部分に対してどのベンダーが責任を負っているかを慎重にマッピングする必要があります。これは、運用ベースでも、サイバー攻撃後の訴訟の可能性に関しても同様です。

理想的には、ベンダーとの関係は、単純なバイヤーとサプライヤーの関係ではなく、ビジネス パートナーシップと考えるべきです。 質の高いベンダーは、お客様のニーズを理解するための時間と労力、およびそれらへの対応によって認識できます。 立派なベンダーは、データの保護に関して、正確な運用上および法的責任の概要を説明することもできます.

結論

サイバーセキュリティ スタックの構築に関して言えば、多くの企業は依然として「ターゲット固定」を示しています。 彼らが所属するセクターによっては、サイバーセキュリティ インフラストラクチャの一部のみに焦点を当てたくなるかもしれません。たとえば、ビジネス モデルが分析とデータ取得に基づいている場合はデータを保護したり、アウトリーチ プラットフォームを 100% 安全にしようとしたりします。マーケティングの仕事をしている場合。

上で示したように、この種のアプローチは、「スタック」モデルの中心的な洞察を実現できないため、問題があります。 ネットワークの周りに侵入できないと思われる壁を構築する代わりに、最終的に誰かがネットワークに侵入することを受け入れる必要があります. その時点で、彼らはエスカレートする一連の困難に直面するはずです。

より全体的なアプローチを採用することで、スタックのあらゆるレベルでセキュリティを向上させることができます (マーケティング データを扱う場合でも、IoT エコシステムを扱う場合でも)。