CISO には、侵害前と侵害後の 2 種類があります。侵害前の CISO はツールに重点を置きすぎ、予防テクノロジーへの投資を検討していました。その際、何か悪いことが起こった場合にサービスをタイムリーに復元および復元するという問題についてはほとんど考慮されていません。悪いことが起こるかどうかではなく、いつ起こるか (そしてどのくらいの頻度で起こるか) が重要であるため、「侵入頻度」は侵入の可能性よりも優れた KPI であると考えられます。
セキュリティ侵害が CISO に与える影響
今まで以上に、「もしもではなく、いつ」という信念をリスク管理の考え方に根付かせる必要があります。一方、侵害後の CISO は、人材とプロセスがはるかに重要であることを理解しています (多くの場合、「苦労して得た経験」としてかなり無視されます)。インシデント対応の状況では、「全力で対応」することはメリットというよりもデメリットの方が大きいです。誰かが侵入者の国外追放を手助けしようとしている可能性がありますが、実際には証拠を隠滅したり、事件がさらに刑事訴追された場合に備えて拘留連鎖を破壊したりしているのです。
侵害前と侵害後の CISO という単純な二分法は、あらゆる形態や規模の業界や企業におけるセキュリティ プログラムの視点、優先順位付け、準備状況における重要な違いを明らかにしています。ブレークスルーはあなたのビジネスを強化します。
Mike Wilkes は幸運にも、ラスベガスで開催された Black Hat およびそれに対応する Black Hat CISO Summit 2021 で講演することができました。このセッションは「命令の執行:会議室における認知的リスクと全身的リスク」と題され、多くの参加者が後に議事録のコピーを要求するなど、好評を博した。
現在その録音は入手できないが、ActualTech Mediaは昨年12月に録音をリリースした。このプレゼンテーションには、セキュリティ プロジェクトのガバナンスに影響を与える認知リスクの特定を中心に展開するため、この投稿の思考の種が含まれています。また、複雑なシステムの緊急特性としてのシステミック リスクの性質に関するセクションも含まれています。
特に、CISO コミュニティのリスク管理に関する議論に「セキュリティ カオス エンジニアリング」が参入し始めていることから、システミック リスクにはさらに注意を払う必要があります。
ブラックハットは、新型コロナウイルス感染症(COVID-19)によるロックダウン以降、初の「外出ミッション」となる。そこでは、CISO のボブ ロードが、「履歴書に脆弱性を追加し、ストーリーを伝えるために生きる方法」について非常に洞察力に富んだ講演を行い、レジリエンスの性質と、失敗を恐れるのではなく失敗をどのように受け入れるかについての私たちの考え方に大きく貢献しました。 。
CIO がサイバー侵入を受け入れる必要がある理由
ボブ・ロードは、DNC の初代セキュリティ担当者であっただけでなく、Yahoo! の CISO にもなったので、この侵害についてある程度の知識を持っていました。2015 年 11 月に Yahoo! に入社。2013 年と 2014 年に発生した史上最大規模の侵害の一部の暴露に関与しました。
彼のプレゼンテーションの中には、規制当局、サイバー保険会社、取締役会、CISO や A に対するほぼすべての紙ベースの批評家など、文書化されていない、または正式に認められていないことが多いインシデント対応ライフサイクルの一部を含むインシデント対応タイムラインの作成が含まれていました。出来事や侵入の前に彼らが行った仕事を振り返る瞬間。
最初の「攻撃」は、悪意のある攻撃者が何らかの方法でインフラストラクチャを侵害または危険にさらすことです。しかし、CISO が免れないことが多い 2 番目の「攻撃」があります。ほとんどの D&O (取締役および役員) の賠償責任保険から除外されている職業で働くことは、非常にイライラさせられます。この職業では、セキュリティ プログラムの強さに関係なく、CISO を今後の最下層に追い込むことが主な活動形態となります。このパターンを継続させるのは危険です。
毎回の漏洩は非常に貴重な経験です。「戦場でテストされた」CISOはもっと大切にされ、評価されるべきです。しかしその代わりに、CISOを破った後継者が昇給を獲得した人物であることを示す十分な証拠が見つかった(ふさわしいかどうかは別として)。
数年前、ニューヨークで開催された情報セキュリティに関するカンファレンスで、CISO は、大企業で年収 80 万ドルで働いていたにもかかわらず、実際には貴重な 10 万ドルをセキュリティ プログラム自体に費やした人 (彼らではありません) についての話をしました。その後、ランサムウェア事件が発生しました。
軍隊で言うところの「バン!」。「左側のブーム」は事故や妨害行為につながったイベントであり、「右側のブーム」はイベントやマイルストーンの後に発生するタイムラインの一部です。
その結果、CISOは解雇され、新しいCISOには120万ドルが支払われた。セキュリティ プログラムの予算は業界の業界ベンチマークと「一致」しており、IT 支出総額の約 5% を占めています。身代金を支払い、セキュリティ予算を増やし、CISO の報酬をそのような組織の市場価格に引き上げるよりも、妥当なセキュリティ プログラム予算で組織を保護する方が安くなります。
サイバーセキュリティに対する「脆弱性対策」アプローチの採用
武道を研究している友人は、ナシム・ニコラス・タレブの『アンチフラジャイル』という本について言及しました。この本のテーマの一つは、壊れやすいシステムや壊れやすいものはストレスやストレスを受けると壊れやすいということです。例えば、骨は圧力や外力を加えることで改善し、硬くすることができます。彼らはストレスやショックに耐えられるように生まれてきました。
したがって、信頼性が高く堅牢なシステムを構築するために、反脆弱性はおそらくよりよく理解したい特性です。実際、システムはボラティリティやランダムな攻撃から恩恵を受ける可能性があります。もちろん、脆弱性対策システムは、脆弱性対策コンポーネントを使用して構築されています。堅牢かつ脆弱なシステムとは、延性強度や引張特性に関連する機械工学的な意味ではなく、教育的および心理的な意味での弾性を示すシステムです。
クラウド インフラストラクチャが攻撃された場合、私たちはクラウド インフラストラクチャを以前の形状に復元するだけではなく、既存の機能や機能を復元するだけで済みます。むしろ、オリンピックによってインフラが改善され、変革され、さらに良くなるのを見たいと考えています。この意味で、サイバーレジリエンスとは適応することを意味します。これはシステムのモジュール性を示しており、追加の作業や費用をかけずに新しい方法でその要素を組み合わせることができます。適切に設計されたクラウド インフラストラクチャは、障害が発生したときに「点滅して消える」のではなく、正常に障害を起こすのに役立つ設計原則を示す必要があります。これは、「人を殺さないものは人を強くするだけだ」という格言の一側面にすぎません。
以下に、最新の情報セキュリティ プログラムに見られるべきと思われる設計原則をいくつか示します。
-
フォールトトレラント、堅牢、適応性
-
スケーラブル、復元力、自己修復性
-
セグメント化/分離された環境
-
複雑さを改善および軽減する
-
完全に失敗するのではなく、正常に機能を低下させる
-
アトミックでシンプルなモジュール式コンポーネント
-
密接な統合と疎結合
-
徹底したセキュリティ
-
最小特権の原則を遵守する
-
認証または認定だけではない、信頼できる設計
CISO がネットワーク侵入から抜け出す方法
結論として、あなたとあなたの仲間たちに、失敗の中で強さを見つけるよう勧めたいと思います。セキュリティインシデントやセキュリティ侵害を経験したとき、あなたの勇気が試されます。ストーリーを伝えることを恥ずかしがらずに、それを使って、あなたにふさわしい敬意をもたらしましょう。他人がそれを与えてくれるわけではないので、自分自身がそれを与えなければなりません。この侵略により、あなたは実際に「侵略後」のコミュニティを飛び越えて自分の知名度を高めました。
たとえば、現在 Dell Technologies の最高セキュリティ責任者を務める John Simonyi 氏を考えてみましょう。彼の部下には60人のCIOがいる。2019 年、彼は、RSA を含む、デルが所有および運営する多くの組織全体で情報セキュリティ人材を見つけるという課題について語りました。同氏はまた、2014年11月にソニーが北朝鮮によってハッキングされたとき、彼はソニーのグローバル最高情報技術責任者(CIO)だったことにも言及した(同氏がその職にあったのはわずか2カ月だということは注目に値する)。ですから、別れた後も人生はあります。それを履歴書に記載する最善の方法を見つけて、なぜこの出来事があなたを強くしたのかについての本物の物語を書く必要があります。
SecurityScorecard はサイバーセキュリティ インシデントから前進するのに役立ちます
あなたとあなたのビジネスがサイバー攻撃にどのように適切に備え、対応できるかを理解したい場合は、SecurityScorecard のインシデント対応ソリューションを使用すると、CISO がインシデントを修復し、攻撃発生時のリスクを軽減するための即時行動を起こすことができます。