ネットワーク セキュリティ インシデントの調査は、現代の企業ネットワーク セキュリティ システム構築の重要な要素です。セキュリティ インシデントは常に発生するため、ネットワーク攻撃を防ぐには、セキュリティ ツールの適用効果だけに焦点を当てるだけでは十分ではありません。セキュリティ チームが攻撃者の居場所と攻撃経路を完全に理解して初めて、さらなる攻撃の発生をより適切に防ぐことができます。
ネットワークセキュリティインシデントの調査は、企業のITシステムの稼働データを収集し、その異常状況を分析することができれば、それほど難しいことではありません。しかし、この一見単純な作業の背後には多くの不確実性が隠されています。ネットワークセキュリティインシデントの調査では、法的かつコンプライアンスに準拠した調査方法を採用し、適切なテクノロジーやツールを使用する必要がありますが、分析能力、コミュニケーション能力、チームワーク能力などの非専門的なスキルも設定する必要があります。調査結果の正確性を確保し、妥当性と準拠性を確保します。
ネットワークセキュリティインシデント調査の重要性
企業のデジタル化に伴い、さまざまな種類のネットワーク セキュリティ インシデントが発生しますが、すべてのインシデントを完全に調査する必要があるわけではありません。ネットワークセキュリティインシデント調査の主な適用シナリオは、ネットワークの攻撃と防御の対立です. 激しい対立で発生するセキュリティインシデントは、企業のセキュリティ調査員が詳細な調査と分析を行う必要があります. 調査の難易度も従来のネットワークウイルスと比較するのが困難です.襲撃事件。
セキュリティ インシデント調査と従来の脅威検出はどちらも、強力な脅威インテリジェンス ライブラリと検出ルールに依存する必要がありますが、最大の違いは、脅威検出は異常な状況を適時に検出してアラームを送信することであるのに対し、インシデント調査は異常な動作を分析することであることです。包括的な調査と分析、およびそれに対応する抑制と修復。
企業組織が直面する一般的なセキュリティ リスクとなっているランサムウェア攻撃の調査を例に挙げます。しかし、多くの企業がランサムウェア攻撃を調査する際、データを復号化して回復する方法に重点を置いていますが、これは非常に間違っています。企業は、システムがランサムウェアにどのように侵入されたのかを十分に理解し、フィッシング、ソフトウェアの脆弱性、脆弱なパスワード、悪意のある内部関係者などのさまざまな脅威の経路を包括的に調査し、自社のビジネスシステムの不正な制御を完全に排除する必要があります。ランサムウェア攻撃者を排除し、そのようなインシデントの再発を根本的に防ぎます。
多くの顧客は、攻撃元や背後のハッキング グループなど、攻撃の詳細にはあまり関心がありません。彼らは主に、ビジネス プロセスを復元し、そのような悪意のある行為が二度と起こらないようにすることに関心を持っています。同時に、捜査官はマルウェア コードをリバース エンジニアリングして、ハッカーの出所を示す可能性のある貴重なデータを収集できます。典型的なインシデント調査シナリオでは、データの収集と分析のサイクルを使用して調査の進行状況を表すことができ、新たな反復を繰り返すたびに、企業はネットワーク セキュリティ構築の次のステップをより正確に理解できるようになります。
事件調査の準備をする
ネットワークセキュリティインシデントの調査は通常、手がかり収集、データ分析、レポート要約の段階に分かれており、その中でも手がかり収集は非常に重要な準備となります。十分な攻撃証拠が得られた場合にのみ、攻撃者の所在と攻撃経路をより正確に分析できます。
重大なネットワークセキュリティインシデントが発生した場合、調査担当者は、資産の被害状況や攻撃手法の特徴に応じて廃棄作業の優先順位を設定し、必要に応じて迅速な判断を下し、必要に応じて除外手法を使用する必要があります。 . 襲撃事件の真相を探る。
セキュリティ インシデントの調査プロセスを開始するとき、セキュリティ アナリストはインシデント関連情報を可能な限り包括的に理解する必要があり、そのためには日常業務における自分の役割と責任を十分に理解する必要があります。急速に変化する IT 環境では、多くの場合、アナリストはクラウド コンピューティングやビッグ データなどを理解するなど、スキル セットをリアルタイムで同期して更新する必要があります。セキュリティ インシデントを調査する場合、アナリストは担当するすべての資産の運用状況を迅速に特定し、脆弱性管理およびスキャン検出プロセスに積極的に参加できる必要があります。
収集されるセキュリティ インシデント情報の量と質によってインシデント調査の結果が決まり、アナリストが直面する脅威の範囲と予想される結果を正確に理解するのに役立ちます。多くの攻撃グループが「サービスとしての攻撃」Saas ビジネス モデルを使用し始めているため、これらの攻撃手法を正確に理解することは難しくないことに注意してください。ただし、一部の機密性の高いシナリオ (エネルギーなどの主要なインフラ分野への攻撃など) では、セキュリティ アナリストは、さらに型破りな攻撃方法が存在するかどうかに注意を払う必要があります。
多くの場合、アナリストは不十分な情報、時間、権限の欠如に直面する可能性があり、調査が混乱とパニック状態に陥る可能性があります。この場合、十分な訓練を受けたインシデント調査チームが専門知識を明確にし、企業の理解と支援を得て、インシデント調査を推進する必要があります。
調査員の責任
ネットワーク セキュリティ インシデントの調査者は大量のインシデント情報にアクセスすることができ、その機密性をどのように保つかは非常にデリケートな問題であり、調査者はこのことを十分に認識している必要があります。企業がデータ侵害に遭った場合、経営破綻や法的結果につながる可能性があることを理解する必要があります。したがって、調査員は故意にそのような危害を決して起こしてはなりません。
インシデント調査に携わる担当者は、自身の調査タスクを完了するために必要なデータのみに注意を払い、収集する必要があります。これには、通常、ログインしているユーザー アカウント、起動されたプログラム、プログラムの起動時間などが含まれます。特に要求されない限り、調査員は開示を恐れる顧客に関する機密情報を収集すべきではありません。調査中に収集されたすべての情報は、厳格なセキュリティプロトコルの下で適切に保管されることは注目に値します。指定した期間が経過すると、データは削除されます。
捜査官が事件に関する情報を他の人と共有する可能性も懸念されている。実際、被害に遭った企業の経営者と実際の被害者が報告するかどうかを決定するため、調査チームのメンバー全員に捜査中の事件に関する情報を第三者(警察を含む)に提供する義務はありません。そういった事件。
さらに、調査員の仕事や行動は、情報セキュリティ部門を混乱させたり処罰したりすることを目的としたものではありません。事件後に過失の可能性を理由に警備員を解雇することが常に適切であるとは限りません。このようなことは時々起こりますが、完璧なセキュリティ システムは存在せず、必ず抜け穴が存在します。セキュリティ インシデントに対する説明責任は、セキュリティ インシデントの調査とは関係なく、企業の経営者が行う必要のある決定です。
捜査官が提出するインシデント調査報告書には、インシデントのプロセスに関する完全な情報が含まれている必要があります。未解決の既存の既知の脆弱性によってインシデントが発生した場合は、見つかった脆弱性の全範囲をレポートに添付する必要があります。捜査官はそのような情報を差し控えてはなりません。
法的異議申し立て
ネットワーク セキュリティは国家安全保障の一部となっているため、多くのネットワーク攻撃インシデントは企業だけでは効果的に解決できません。多くの場合、企業は司法に協力することを選択する必要があり、さらにはインシデントの最終処理を裁判所に委ねて判断を仰ぐ必要があります。
司法情報は公開されているため、これを行うとセキュリティ インシデントが公になる可能性があり、企業の評判リスクにつながる可能性があります。このため、一部の企業では、のれんを懸念してネットワークセキュリティインシデントの調査を意図的に隠し、問題への対応が遅れ、セキュリティ上の危険が増大する結果となった。
したがって、特定のセキュリティ インシデントを司法手続きを通じて解決する必要がある場合、企業経営者はできるだけ早く決定を下す必要があり、それには包括的なリスク評価が必要です。この場合、企業は許可なくネットワーク インフラストラクチャに変更を加えず、ただちに法律事務所に相談することが最善です。専門の弁護士がカウンセリングサービスを提供し、適切な行動を推奨します。
サイバーセキュリティインシデントの調査における法的リスクのもう 1 つの課題は、データのコピー、削除、または上書きのプロセスが適切に管理され、文書化されていることを確認する方法です。証拠収集が正しく行われなかった場合、または法的要件に違反した場合、裁判所は訴訟においてデータの有効性に異議を唱え、データの使用を拒否する場合があります。