サイバーセキュリティインシデント対応管理とベストプラクティスの紹介

サイバー攻撃は、その量、多様性、巧妙さが増大し続けており、さらに破壊的で被害も大きいため、組織はそれらに効果的に対処する準備ができている必要があります。

効果的なセキュリティ ソリューションと実践方法を導入することに加えて、攻撃を迅速に特定して対処し、損害、中断、コストを最小限に抑えることができる必要があります。

すべての IT システムはサイバー攻撃の潜在的なターゲットであり、サイバー攻撃が起こるかどうかではなく、いつ起こるかが問題であることにほとんどの人が同意します。ただし、その影響は問題にどれだけ迅速かつ効果的に対処するかによって異なるため、インシデント対応の準備が必要になります。

サイバーセキュリティ インシデント対応 (IR) とは、組織が IT システムへの攻撃に対処するために実行する一連のプロセスを指します。これには、適切なハードウェア ツールとソフトウェア ツールの組み合わせに加えて、組織内の全員による適切な計画、手順、トレーニング、サポートなどの実践が必要です。

セキュリティインシデント前、セキュリティインシデント中、セキュリティインシデント後のベストプラクティス

サイバー攻撃が発生すると、複数の活動が同時に行われる可能性があり、調整や適切なインシデント処理手順がなければ多忙になる可能性があります。

ただし、事前に準備し、明確でわかりやすいインシデント対応計画とポリシーを確立することで、セキュリティ チームが調和して作業できるようになります。これにより、不必要なビジネスの中断を回避するだけでなく、IT システム、データ、評判への潜在的な損害を制限する重要なタスクに集中することができます。

インシデント対応計画の準備

インシデント対応計画には、攻撃やその他のセキュリティ問題が発生した場合に従うべき手順が文書化されています。実際の手順は環境によって異なる場合がありますが、SANS (SysAdmin、Audit、Network、および Security) フレームワークに基づく一般的なプロセスには、準備、識別、封じ込め、排除、回復、インシデントの通知、および事後処理が含まれます。事件のレビュー。

準備には、関連情報を含む計画の作成と、コンピュータ インシデント対応チーム (CIRT) がインシデントに対処するために従う実際の手順の作成が含まれます。

これらには次のものが含まれます。

• インシデント対応プロセスの各ステップを担当する特定のチームおよび個人。
• 何がどのような種類の対応を保証するのかなど、インシデントの構成要素を定義します。
• さらなる保護と保護が必要な重要なデータとシステム。
• 影響を受けるシステムの影響を受けた状態をフォレンジック目的で保存する方法。
• セキュリティ問題についていつ、誰に通知するかを決定する手順。インシデントが発生した場合、影響を受けるユーザー、顧客、スタッフの法執行者などに通知する必要がある場合がありますが、これは業界やケースによって異なります。

インシデント対応計画は、理解しやすく、実行しやすく、他の計画や組織のポリシーと整合するものでなければなりません。ただし、戦略とアプローチは、業界、チーム、脅威、潜在的な損害によって異なる場合があります。定期的なテストと更新により、計画が有効で効果的であることが保証されます。

サイバー攻撃発生時のインシデント対応手順

セキュリティ インシデントが発生したら、チームは迅速かつ効率的に行動して、インシデントを封じ込め、クリーン システムへの感染の拡大を防ぐ必要があります。セキュリティ問題に対処する場合のベスト プラクティスは次のとおりです。ただし、これらは組織の環境や構造によって異なる場合があります。

コンピュータインシデント対応チームを編成または関与させる

多分野の社内または外部委託の CIRT チームに、適切なスキルと経験の両方を備えた適切な人材がいることを確認します。この中から、指示を与え、対応が計画とスケジュールに従って確実に進むようにする中心人物となるチーム リーダーを選択します。リーダーはまた、特に運営に関して重要な決定を下す必要がある場合、経営陣と協力して働きます。

インシデントを特定し、攻撃の種類とソースを特定する

脅威の兆候があれば、IR チームは社内外を問わず、それが実際にセキュリティ上の問題であるかどうかを確認するために迅速に行動し、可能な限り迅速に脅威を封じ込める必要があります。問題があるかどうかを判断する一般的な方法には次のようなものがありますが、これらに限定されません。

• セキュリティ監視ツールからのアラート、システム内の誤動作、異常な動作、予期しないまたは異常なファイルの変更、コピーまたはダウンロードなど
• ユーザー、ネットワーク管理者またはシステム管理者、セキュリティ担当者、または外部のサードパーティ パートナーまたは顧客によるレポート。
• 複数回のログイン試行の失敗、大きなファイルのダウンロード、高いメモリ使用量、その他の異常など、異常なユーザーまたはシステムの動作の兆候を含む監査ログ。

攻撃の影響を評価および分析する

攻撃が引き起こす被害は、攻撃の種類、セキュリティ ソリューションの有効性、チームの対応速度によって異なります。ほとんどの場合、問題が完全に解決されるまで、被害の程度を確認することはできません。分析では、攻撃の種類、その影響、影響を受ける可能性のあるサービスを明らかにする必要があります。

また、攻撃者が残した可能性のある痕跡を探し、活動のタイムラインを判断するのに役立つ情報を収集することもお勧めします。これには、影響を受けるシステムのすべてのコンポーネントを分析し、フォレンジックに関連する情報を取得し、各段階で何が起こった可能性があるかを判断することが含まれます。

攻撃の範囲と調査結果によっては、発生状況を関連チームにエスカレーションする必要がある場合があります。

封じ込め、脅威の排除、および回復

封じ込めフェーズには、攻撃の拡散を阻止することと、システムを初期の動作状態に戻すことが含まれます。理想的には、CIRT チームは脅威と根本原因を特定し、侵害されたシステムのブロックまたは切断、マルウェアまたはウイルスの駆除、悪意のあるユーザーのブロック、サービスの復元によってすべての脅威を除去する必要があります。

また、攻撃者が悪用した脆弱性を確立して対処し、今後の同様の発生を防ぐ必要もあります。一般的な封じ込めには、短期および長期の対策と現在の状態のバックアップが含まれます。

クリーンなバックアップを復元したり、システムをクリーニングしたりする前に、影響を受けるシステムのステータスのコピーを保存しておくことが重要です。これは現在の状態を保存するために必要であり、フォレンジックの際に役立ちます。バックアップが完了したら、次のステップは中断されたサービスの復元です。チームはこれを 2 つのフェーズで達成できます。

• システムとネットワーク コンポーネントをチェックして、すべてが適切に動作していることを確認します。
• 感染または侵害され、その後クリーニングまたは復元されたすべてのコンポーネントを再チェックして、それらが安全でクリーンで動作していることを確認します。

通知と報告

インシデンス対応チームは、分析、対応、レポートを行います。インシデントの根本原因を調査し、影響に関する調査結果、問題の解決方法、回復戦略を文書化し、関連情報を経営陣、他のチーム、ユーザー、サードパーティプロバイダーに渡す必要があります。

侵害が法執行機関への通知を必要とする機密データに関わる場合、チームはこれを開始し、IT ポリシーに定められた手順に従う必要があります。

通常、攻撃により、機密情報、個人情報、プライベート情報、ビジネス情報などの機密データに対する盗難、悪用、破損、またはその他の不正行為が発生します。このため、影響を受ける人々が予防策を講じ、財務情報、個人情報、その他の機密情報などの重要なデータを保護できるように、影響を受ける人々に通知することが重要です。

たとえば、攻撃者がユーザー アカウントへのアクセスに成功した場合、セキュリティ チームは攻撃者に通知し、パスワードを変更するように依頼する必要があります。

インシデント後のレビューを実施する

インシデントを解決することで教訓も得られ、チームはセキュリティ ソリューションを分析して、インシデントの脆弱なリンクに対処できます。 今後同様の事故が起こらないようにする。改善点には、内部および外部の両方の脅威に対するより優れたセキュリティおよび監視ソリューションの導入、フィッシング、スパム、マルウェアなど避けるべきセキュリティの脅威についてスタッフとユーザーを啓発することが含まれます。

その他の保護手段としては、最新の効果的なセキュリティ ツールの実行、サーバーへのパッチ適用、クライアントおよびサーバー コンピューター上のすべての脆弱性への対処などが挙げられます。

ネパールの NIC Asia Bank のインシデント対応事例

検出能力や対応が不十分な場合、過度の損害や損失が発生する可能性があります。一例として、2017 年にビジネス プロセスの侵害により一部の資金が失われ、一部の資金が回収されたネパールの NIC Asia Bank のケースがあります。攻撃者は SWIFT を侵害し、銀行から英国、日本、シンガポール、米国のさまざまな口座に資金を不正に送金しました。 。

幸いなことに、当局は違法取引を発見しましたが、盗まれたお金の一部しか回収できませんでした。もっと優れた警告システムがあれば、セキュリティ チームはより早い段階で、おそらく攻撃者がビジネス プロセスの侵害に成功する前にインシデントを検出できたでしょう。

これは他国が関係する複雑な安全保障問題であったため、同行は法執行機関や捜査当局に通報する必要があった。また、その範囲は銀行の内部インシデント対応チームの範囲を超えており、そのためKPMGや中央銀行などの外部チームの存在が必要でした。

中央銀行の外部チームによるフォレンジック調査により、このインシデントは重要なシステムを暴露する内部不正によるものである可能性があることが判明しました。

報告書によると、当時のオペレーター6名は、SWIFTシステムの専用コンピューターを他の無関係な業務に使用していたという。これにより SWIFT システムが公開され、攻撃者によるセキュリティ侵害が可能になった可能性があります。事件後、銀行は6人の従業員を他のそれほど機密性の低い部門に異動させた。

教訓: 銀行は、従業員に適切なセキュリティ意識を植え付け、厳格なポリシーを施行することに加えて、効果的な監視および警告システムを導入する必要がありました。

結論

綿密に計画されたインシデント対応、優れたチーム、関連するセキュリティ ツールと実践により、組織は迅速に行動し、幅広いセキュリティ問題に対処できるようになります。これにより、損害、サービスの中断、データの盗難、評判の低下、潜在的な責任が軽減されます。